Page 1 sur 1

Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Publié : 19 mars 2016 13:38
par loversmoon
Bonjour
J'ai un PC qui a un ransomware RSA 4096, en effet tous mes fichiers sont en extension .MICRO.

Comment faire pour m'en débarrasser et existe t 'il une méthode pour décrypter ces fichiers. Merci

D'après ce que j'ai lu sur votre forum, cela semble difficile de décrypter mais bon je demande quand meme...

:- )

En tout cas, j'attends votre aide pour supprimer ce virus.

Re: Infecté par RSA 4096

Publié : 19 mars 2016 13:42
par Malekal_morte
Salut,


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Re: Infecté par RSA 4096

Publié : 19 mars 2016 15:16
par loversmoon

Re: Infecté par RSA 4096

Publié : 19 mars 2016 16:05
par angelique
  1. Passe un coup de TDSSKiller : tdsskiller-kaspersky-t28637.html
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Tu devrais avoir une détection sur C:\Windows\system32\Drivers\volsnap.sys choisi CURE et si est détecté eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys choisi delete sur celui là
    Poste le rapport ici.
  2. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
    Copie/colle dedans ce qui suit :

    U5 eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys [97752 2016-01-14] () <===== ATTENTION Necurs Rootkit?
    "eb49e83145aabf5a" => service n'a pas pu être déverrouillé. <===== ATTENTION
    R2 syshost32; C:\Windows\Installer\{588256FF-E3B2-5A7C-5232-071E3172EF62}\syshost.exe [138240 2016-01-12] () [Fichier non signé]
    HKLM-x32\...\Run: [rimage-v5] => C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    HKU\S-1-5-21-2352971959-862115284-3922626981-1001\...\Run: [rimage-v5] => C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html [2016-02-10] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png [2016-02-10] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt [2016-02-10] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html [2016-02-10] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png [2016-03-18] ()
    Startup: C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt [2016-02-10] ()
    BHO-x32: Bing Bar Helper -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> Pas de fichier
    C:\Windows\Installer\{588256FF-E3B2-5A7C-5232-071E3172EF62}
    C:\Users\Anthony\AppData\Roaming\fpijkew.exe
    C:\Windows\System32\Drivers\eb49e83145aabf5a.sys
    2016-02-10 01:36 - 2016-02-10 01:36 - 0012752 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:36 - 2016-02-10 01:36 - 0068386 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:36 - 2016-02-10 01:36 - 0002121 _____ () C:\Program Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:35 - 2016-02-10 01:35 - 0012752 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:35 - 2016-02-10 01:35 - 0068386 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:35 - 2016-02-10 01:35 - 0002121 _____ () C:\Program Files\Common Files\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:34 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\kxcrhan.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\lpcnkap.exe
    2016-02-10 01:30 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\muikkrb.exe
    2016-02-10 01:30 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\ngbilqw.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\typxddp.exe
    2016-02-10 01:33 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\vgitkyt.exe
    2016-02-10 01:32 - 2016-02-10 01:29 - 0536576 _____ () C:\Users\Anthony\AppData\Roaming\wabickm.exe
    2016-02-10 02:00 - 2016-02-10 02:00 - 0012752 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 02:00 - 2016-02-10 02:00 - 0068386 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 02:00 - 2016-02-10 02:00 - 0002121 _____ () C:\Users\Anthony\AppData\Roaming\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:56 - 2016-02-10 01:56 - 0012752 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:56 - 2016-02-10 01:56 - 0068386 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:56 - 2016-02-10 01:56 - 0002121 _____ () C:\Users\Anthony\AppData\Roaming\Microsoft\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2016-02-10 01:43 - 2016-02-10 02:02 - 0012752 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:43 - 2016-02-10 02:02 - 0068386 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:43 - 2016-02-10 02:02 - 0002121 _____ () C:\Users\Anthony\AppData\Local\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    2014-02-11 11:29 - 2014-02-11 11:29 - 0000000 _____ () C:\Users\Anthony\AppData\Local\{0955A7B9-8100-4791-A485-A0EC59C141B8}
    2014-02-11 11:29 - 2014-02-11 11:29 - 0000000 _____ () C:\Users\Anthony\AppData\Local\{9C5DAB69-BE03-497E-B373-F9C02C02009E}
    2012-02-24 03:42 - 2010-10-06 18:45 - 0131984 _____ () C:\ProgramData\FullRemove.exe
    2016-02-10 01:38 - 2016-02-10 01:40 - 0012752 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.html
    2016-02-10 01:38 - 2016-02-10 01:40 - 0068386 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.png
    2016-02-10 01:38 - 2016-02-10 01:40 - 0002121 _____ () C:\ProgramData\_H_e_l_p_RECOVER_INSTRUCTIONS+nvb.txt
    EmptyTemp:
  3. Menu Fichier / Enregistrer-sous
    Place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton fix/Corriger
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Re: Infecté par RSA 4096

Publié : 19 mars 2016 17:55
par loversmoon
FIXLOG
http://pjjoint.malekal.com/files.php?id ... 2b8o6q12u9

Concernant kaspersky, je n'a pas eu les erreurs que tu m as dit mais d'autres, j'ai juste exécuter les actions par défaut.
En fait là je me retrouve un w7 en mode test est ce normal ??

TDSS LOG
http://pjjoint.malekal.com/files.php?id ... 3q15i9d8e9

Re: Infecté par RSA 4096

Publié : 19 mars 2016 18:16
par Malekal_morte
Refais un nouveau scan FRST et donne les rapports via pjjoint.

Re: Infecté par RSA 4096

Publié : 19 mars 2016 18:30
par loversmoon

Re: Infecté par RSA 4096

Publié : 19 mars 2016 19:04
par Malekal_morte
Ca me semble correct.

Change tous tes mots de passe.

Fais un nettoyage Tutoriel MBAM version gratuite

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Re: Infecté par RSA 4096

Publié : 19 mars 2016 20:11
par angelique
Concernant kaspersky, je n'a pas eu les erreurs que tu m as dit mais d'autres
non ça en faisait parti de ce que je t'ai dit !

et si est détecté eb49e83145aabf5a; C:\Windows\System32\Drivers\eb49e83145aabf5a.sys choisi delete sur celui là
16:42:07.0919 0x094c C:\Windows\System32\Drivers\eb49e83145aabf5a.sys - copied to quarantine
16:42:07.0933 0x094c HKLM\SYSTEM\ControlSet001\services\eb49e83145aabf5a - will be deleted on reboot
16:42:07.0954 0x094c HKLM\SYSTEM\ControlSet002\services\eb49e83145aabf5a - will be deleted on reboot
16:42:08.0102 0x094c C:\Windows\System32\Drivers\eb49e83145aabf5a.sys - will be deleted on reboot
16:42:08.0102 0x094c eb49e83145aabf5a ( Rootkit.Win32.Necurs.gen ) - User select action: Delete

➫ tu peux supprimer .::

2016-03-19 16:49 - 2016-03-19 16:50 - 00004920 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.49.09_log.txt
2016-03-19 16:45 - 2016-03-19 16:45 - 00004920 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.45.03_log.txt
2016-03-19 16:42 - 2016-03-19 16:42 - 00000000 ____D C:\TDSSKiller_Quarantine
2016-03-19 16:25 - 2016-03-19 16:42 - 00376852 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.25.09_log.txt
2016-03-19 16:22 - 2016-03-19 16:23 - 00002268 _____ C:\TDSSKiller.3.1.0.9_19.03.2016_16.22.25_log.txt
2016-03-19 16:19 - 2016-03-19 16:20 - 04727984 _____ (Kaspersky Lab ZAO) C:\Users\Anthony\Desktop\tdsskiller.exe
2016-03-19 15:03 - 2016-03-19 18:17 - 00017683 _____ C:\Users\Anthony\Desktop\FRST.txt
2016-03-19 15:01 - 2016-03-19 18:17 - 00000000 ____D C:\FRST
2016-03-19 14:58 - 2016-03-19 14:58 - 02374144 _____ (Farbar) C:\Users\Anthony\Desktop\FRST64.exe

& fait ce que dit Malekal

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Publié : 21 mars 2016 11:22
par loversmoon
ok merci a vous deux

mission accompli reste plus qu'a attendre une soluce pour récuperer les fichiers

Merci encore pour votre travail.


Cdlt

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Publié : 21 mars 2016 12:29
par Malekal_morte
Ne te fais pas trop d'illusion.

Re: Windows 7 infecté par rançongiciel TeslaCrypt en .micro

Publié : 19 avr. 2016 16:16
par Malekal_morte
En plus de du Ransomware RSA 4096 - TeslaCrypt.
Un nouveau ransomware qui reprend les mêmes fichiers d'instructions que TeslaCrypt vient de sortir, il y a quelques jours.
Voir la fiche : Ransomware RSA-4096 - extension .crypt.