Documents PDF transformés en JSE

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

PatrickAsselin
newbie
newbie
Messages : 5
Inscription : 14 févr. 2017 16:29

Documents PDF transformés en JSE

Message par PatrickAsselin »

Bonjour,

Je rencontre un problème similaire aux 2 sujets suivants:
ransomware-jse-nemucod-t57006.html
documents-office-pdf-vers-jse-t57019.html

Je me retrouve avec des documents PDF transformés en avec l'extension JSE.

Les fichiers Office ne semblent pas être touchés, et seuls les fichiers des lecteurs réseaux ont été infectés.

J'ai installé Marmiton qui m'a déjà alerté lors du redémarrage du PC, mais je n'ai pas vu de quel script il s'agissait.

J'ai quand même trouvé dans MSCONFIG au démarrage un élément qui s'appelle off_updr.jse qui ne me semble pas normal.

Voilà, je ne sais pas si d'autres éléments sont nécessaire.

Merci d'avance pour votre aide.

Patrick

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

Salut,

Déjà pour être certains que le ransomware / rançongiciel chiffreur de fichiers n'est plus actif :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.


Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\offc_updr.jse [2017-02-13] ()
 Hosts:
EmptyTemp:
RemoveProxy:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


et après tente la récupération avec Shadow Explorer et les versions précédentes
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

PatrickAsselin
newbie
newbie
Messages : 5
Inscription : 14 févr. 2017 16:29

Re: Documents PDF transformés en JSE

Message par PatrickAsselin »

Bonjour,

J'ai tardé un peu avant d'effectuer la manipulation, j'espère que cela n'aura pas d'incidence.

Voici le résultat après avoir lancé la correction :

http://pjjoint.malekal.com/files.php?id ... m9j9l14n14

Concernant Shadow Explorer, je n'ai pas accès au lecteur réseau.

Les fichiers corrompus se trouve sur un NAS Synology, y a-t-il une manipulation particulière à effectuer ?

Dans l'attente de vous lire.

Patrick

Edit :
J'ai un autre PC contaminé (le coupable je pense).
Dois-je lancer un scan FRST ou puis-je lancer directement la correction ?

Edit2 :
J'ai pu retrouver le mail à l'origine du problème (pièce jointe RAR avec un JSE dedans).
J'ai utilisé un ordi de test que j'ai contaminé, et contrairement à ce que je pensait il n'y a pas que les fichiers PDF concernés.
Voici la liste des extensions que j'ai pu identifier comme étant ciblées par le Malware (si c'est le bon terme) :
PDF
TXT
XLS/XLSX
DOC/DOCX
PPT/PPTX
Sur ce PC j'ai Avast! qui m'a alerté mais n'a pas empêché l'exécution du script.

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

Si c'est sur un NAS, c'est mort.. je pense avec Shadow Explorer.
T'as plus qu'à attendre que l'outil de nomoreransom.org soit mis à jour pour cette variante.

Pas nécessaire pour FRST,
Lis ça : Comment se protéger des scripts malicieux sur Windows
Installe Marmiton comme indiqué sur la page et désactive Windows Script Hosting.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

PatrickAsselin
newbie
newbie
Messages : 5
Inscription : 14 févr. 2017 16:29

Re: Documents PDF transformés en JSE

Message par PatrickAsselin »

Alors j'ai lancé la correction sur les 2 PC contaminés, et il ne semble plus y avoir de trace du problème.

J'avais installé Marmiton sur ces 2 postes et je n'ai plus d'alerte, c'est plutôt bon signe.

Maintenant le plus dur, récupérer les fichiers corrompus.

Sans sauvegarde, ça me parait compliqué.

Est-ce qu'avec le programme malicieux il y aurait un moyen de comprendre son fonctionnement et donc d'inverser ses effets ?

J'ai essayé de le lire avec Notepad mais ça semble être du charabia.

Peut-être faut-il un programme particulier pour le lire ?

En attendant, je vais lire ce que vous m'avez indiqué.

Merci.

Patrick

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

Ce n'est pas aussi simple que cela, il faut voir l'algorithme de chiffrement utilisé et s'il a mal été utilisé ou pas assez "forts".
Attends quelques semaines et tente l'outil de no-ransomware.org
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

PatrickAsselin
newbie
newbie
Messages : 5
Inscription : 14 févr. 2017 16:29

Re: Documents PDF transformés en JSE

Message par PatrickAsselin »

Merci pour votre aide en tout cas.

Le site que vous m'avez donné ne semble pas exister, s'agit-il de celui-ci http://www.nomoreransom.org ?

Par contre je pense à quelque chose, je n'ai pas eu de message demandant de rançon.

Est-ce un RansomWare défectueux ou simplement un virus ?

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

oui c'est bien cela, dans Decryptor Tool, tu as Nemucod Decryptor à la fin.

Je n'ai pas compris ta dernière question.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

OT d'Aiguines
Messages : 1
Inscription : 16 févr. 2017 16:45

Re: Documents PDF transformés en JSE

Message par OT d'Aiguines »

Bonjour,

Je travaille dans un office de tourisme et nos fichiers ont également été infectés comme déjà ceux cités dans ce sujet. Je pense savoir de quoi veut parler PatrickAsselin.

J'explique : infection le 13 février à 10:57 par un mail intitulé "Facture" avec un .zip. Ma bêtise, je l'ai enregistré et dézippé sur le bureau. D'où l'infection de presque tous mes fichiers mais uniquement sur le disque réseau. En plus, les fichiers .docx, .xlsx et certains jpeg non affectés. Tous avec extension .jse et 89 Ko. Le disque C: n'est pas touché.

Le démarrage automatique du fichier offc_updr.jse détecte et supprimé, donc, depuis, les nouveaux .pdf ne sont pas cryptés (c'était le cas lundi après-midi).

Mais depuis le début, quand je ne savais pas encore qu'il s'agissait d'un ransomware, quand j'ouvrais ce fichier .jse, Windows me demandait de choisir un programme pour l'ouvrir. Comme c'est le cas quand on n'a pas de programme adapté pour ouvrir une vidéo par exemple.

Pas de demande de rançon comme j'ai pu en voir sur Internet avec ce type de virus en cas d'ouverture d'un fichier. Du coup, je suis perplexe comme PatrickAsselin. Nemucod decryptor ne marche pas - un problème de "Files need to be at least 4096 bytes long" alors que les fichiers déposés dépassent largement en poids.

Une idée ?

D'avance merci.
Marta

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

Classique.

Le mail malicieux, c'est classique, c'est comme cela depuis Décembre 2015.

> Les ransomwares
> Les crypto-ransomwares

Se protéger des scripts malicieux est pri-mordiales ainsi que l'éducation des utilisateurs.
=> Comment se protéger des scripts malicieux sur Windows

Pour la récupération des documents (voir aussi Ransomware et récupération de fichiers, il n'y a pas 36 solutions, là aussi, tout est dit sur les dossiers ransomwares :
- Remettre une sauvegarde des donneées, si vous en avez pas, c'est dans ces cas là qu'on comprend qu'il faut en faire.
- Tenter les Shadow Explorer - versions précédentes, si pas de de points de restauration, c'est mort.

Là vous l'avez dans l'os, attendre qu'un outil qui permet de récupérer les documents soient mis en ligne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

amidoons
Messages : 1
Inscription : 30 mars 2017 14:56

Re: Documents PDF transformés en JSE

Message par amidoons »

Malekal_morte a écrit : 16 févr. 2017 19:19
Là vous l'avez dans l'os, attendre qu'un outil qui permet de récupérer les documents soient mis en ligne.
Bonjour Malekal_morte,

Le serveur NAS de mon association a été infecté par le même virus.
Est-ce que tu sais si une solution en ligne a déjà été trouvée ?

Merci d'avance,

A.

Malekal_morte
Site Admin
Site Admin
Messages : 104623
Inscription : 10 sept. 2005 13:57
Contact :

Re: Documents PDF transformés en JSE

Message par Malekal_morte »

A priori non, les outils de nonransomware ne fonctionnent pas.
D'autres outils ou sites pour récupérer les fichiers chiffrés sont sur cette page, elle est régulièrement mise à jour : Decrypt tools : outils de récupérations de fichiers touchés par des ransomwares
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

fannydupont
Messages : 1
Inscription : 15 janv. 2018 10:41

Re: Documents PDF transformés en JSE

Message par fannydupont »

Bonjour,
Nous avons été infecté par le même virus (attaque seulement des lecteurs réseau)
Question bête : la suppression du fichier .jse dans Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\... ne suffit pas ?
Merci pour aide
Fanny

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »