ransomware fichiers cryptés :-(

[necris38]

Bonjour,

Ma niece s'est fait véroler son PC (en installant un soft d'enregistremeent de video youtube...).
Resultat: tous ses cours de 4 ans de FAC cryptés avec une extension en .sqwctwxj et un fichier readme.html dans chaque repertoires.
Les softs anti-ransomware classiques des différends antivirus ne le reconnaissent pas.
J'en ai conclue en lisant le forum qu'il y a bien peu d'espoir mais voici les compte-rendus d'analyse:

https://pjjoint.malekal.com/files.php?i ... 3i15m10v15

https://pjjoint.malekal.com/files.php?i ... 10d11y12q8

https://pjjoint.malekal.com/files.php?i ... 6z5p11y8f7

Merci par avance !

[Parisien_entraide]

Bonsoir


Il faudrait déjà identifier le ransomware, même si les solutions pour récupérer les fichiers sont de l'ordre du presque néant
Parfois un coup de chance peut surgir si les autorités d'un pays saisissent les serveurs lors d'arrestation ce qui peut déboucher sur un décryptor (c'est déjà arrivé)

Ensuite 4 de cours.. Normalement cela ne doit pas être car tout le monde sauvegarde ses fichiers importants


Donc copier coller de la procédure de Malekal

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

[angelique]

Bonjour/Bonsoir

Pour le cryptage des données, c'est mort aujourd'hui.

Ma niece s'est fait véroler son PC (en installant un soft d'enregistremeent de video youtube...).

C'est con mais c'est trop tard car elle aurait demandé avant , je lui aurait refilé ça ➮ FDM-2022.22.5.zip

ça télécharge les vidéo de partout mais c'est interdit maintenant.



Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST64(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît peut être nommé fixlog.txt au même endroit que frst64.exe et que fixlist.txt, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

[necris38]

C'est bien ce qu'il me semblait...
On peut quand même récupérer le disque en le formattant ?

Voici le fichier Fixlog:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-12-2022
Exécuté par alxbt (18-12-2022 19:20:01) Run:1
Exécuté depuis C:\Users\alxbt\Downloads
Profils chargés: alxbt
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-3062272405-1915307494-1761270842-1002\...\Run: [liGauPhbLw] => C:\Users\Public\vliGauPhbLw.3fr [99 2022-12-04] () [Fichier non signé]
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Pas de fichier)
2022-12-04 19:30 - 2022-12-04 19:30 - 000000099 _____ C:\Users\Public\vliGauPhbLw.3fr
CMD: "%WINDIR%\SYSTEM32\lodctr.exe" /R
CMD: "%WINDIR%\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SysWOW64\lodctr.exe" /R
CMD: "C:\Windows\SYSTEM32\lodctr.exe" /R
StartPowershell:
sfc /scannow
EndPowershell:
EmptyTemp:


*****************

Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-3062272405-1915307494-1761270842-1002\Software\Microsoft\Windows\CurrentVersion\Run\\liGauPhbLw" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CCDFC0B8-01A3-4E74-A820-4F13F51D269E}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser" => supprimé(es) avec succès
C:\Users\Public\vliGauPhbLw.3fr => déplacé(es) avec succès

========= "%WINDIR%\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "%WINDIR%\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SysWOW64\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= "C:\Windows\SYSTEM32\lodctr.exe" /R =========


Infosÿ: Reconstruction du paramŠtre de compteur de performance r‚ussie … partir du magasin de stockage systŠme
========= Fin de CMD: =========


========= Powershell: =========




D Ú b u t d e l a n a l y s e d u s y s t Þ m e . C e t t e o p Ú r a t i o n p e u t n Ú c e s s i t e r u n c e r t a i n t e m p s .





D Ú m a r r a g e d e l a p h a s e d e v Ú r i f i c a t i o n d e l a n a l y s e d u s y s t Þ m e .

L a v Ú r i f i c a t i o n e s t Ó 1 0 0 % t e r m i n Ú e .




L a P r o t e c t i o n d e s r e s s o u r c e s W i n d o w s a d Ú t e c t Ú d e s f i c h i e r s c o r r o m p u s e t l e s a r Ú p a r Ú s .


P o u r l e s r Ú p a r a t i o n s e n l i g n e , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l d e C B S s i t u Ú Ó l ' e m p l a c e m e n t s u i v a n t á :


w i n d i r \ L o g s \ C B S \ C B S . l o g . E x e m p l e á : C : \ W i n d o w s \ L o g s \ C B S \ C B S . l o g . P o u r l e s r Ú p a r a t i o n s


h o r s c o n n e x i o n , l e s d Ú t a i l s s o n t i n c l u s d a n s l e f i c h i e r j o u r n a l f o u r n i p a r l ' i n d i c a t e u r / O F F L O G F I L E .




========= Fin de Powershell: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 37176325 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 144838 B
Windows/system/drivers => 6309054 B
Edge => 927880 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 81368 B
alxbt => 262296183 B

RecycleBin => 4584750570 B
EmptyTemp: => 4.6 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 19:24:27 ====

[angelique]

On peut quand même récupérer le disque en le formatant ?

Quel disque ? parceque là la merde est virée, reste les fichiers cryptés (si elle veut pas les garder , elle les supprime) et j'ai mis un lien zip pour ses téléchargements Youtube si elle veut

Suppression de FRST

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renommez FRST/FRST64.exe en uninstall.exe et exécutez-le. La procédure nécessite un redémarrage

[necris38]

Ha ok, c'est déja ça,pas besoin de rincer le PC alors.

Merci de votre aide en tout cas !