Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

Bonjour ,
Moi je suis arrete dans la 2emme commande .
Je fais ca : cd %userprofile%\Desktop\TeslaCrack-master ....c'est bon
Mais quand je entre la 2emme commande , ca me mis sa :
Image
je dois faire quoi ? merci

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Tu sembles avoir une librairie Python corrompue.
Faut PyCrypto et prend l'architecture qui va bien.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kouak
Messages : 3
Inscription : 27 déc. 2015 15:36

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par kouak »

bonjour,
une petit précision svp , la derniere commande du tuto doit s'executer via invite de commande dans le dossier ou se trouve teslacrack.py ? ou depuis c:\python26\ ?

par ex :
C:\Users\*****\Desktop\TeslaCrack-master\teslacrack.py

merci

car
il me retourne "cannot acces" avec la 1ere clé testée
j'ai lancé yafu pour la 2eme clé.. temps estimé 8h. ??.alors que cela a pris 5 min pour la 1ere clé. (même fichier pdf.vvv)

angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

J'ai désinstallé et installé et la j'ai une autre erreur : no module named Crypto.Cipher

Image

Je merde à fond.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

@kouak, ça ne marche pas bien avec python 2.6
Faut la 2.7, désinstalle la 2.6 ça foire
je vais corriger cela.

EDIT : tutoriel mis à jour.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

Encore moi Malekal. Voila la 1er clé n'as pas marché sur factor(0x<votreclef>)
Donc j'ai mis la 2emme clé et ca marche :
Image

Image

et la j'avance pas quand je mis le code c:\python27\pythonunfactor.py

Image

Que-ce que je dois faire, la poisse.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

il faut un espace entre c:\python27\python et unfactor.py
Par contre, il faut faire le factor sur la première clef, 2651xxx
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

C'est bon j'ai réussi il me reste juste le code et je ne sais pas le quel
voila mon c:\python27\python unfactor.py
Image

Et je dois mettre quoi sur le knows keys ?

je pense qu'il manque quelque chose !
Image

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

La clef de départ et la clef qui vient de t'être retournée, comme ceci et sans faute avec les ' et ,
sinon ça ne fonctionnera pas.

'2651xxx': b'\x<la clef AES retournée>',
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

kouak
Messages : 3
Inscription : 27 déc. 2015 15:36

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par kouak »

Merci, j'ai réussi a déchiffrer mes fichiers *.pdf.vvv
j'essaierai plus tard avec les jpg , doc , xls etc..

Petite précision pour les non-initiés à DOS, pour les chemins d'accès ( vis à vis du tutoriel )

à l'étape pour récupérer les factors
ouvrir cmd
puis saisir à l'invit c:\>cd Users\*****\Desktop\TeslaCrack-master\ (***** étant l'utilisateur de session)
une fois dans le dossier saisir c:\python27\python unfactor.py FF.pdf.vvv 2 2 2 7 67 71 etc..
Il faut effectivement un espace entre python et unfactor

idem pour la commande finale :

Ouvrir cmd puis saisir à l'invite de commandes
c:\>cd Users\*****\Desktop\TeslaCrack-master\
Une fois dans le dossier saisir c:\python27\python teslacrack.py c:\

Grand merci pour ton aide précieuse.

nanor
newbie
newbie
Messages : 11
Inscription : 28 déc. 2015 09:45

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par nanor »

Bonjour à tous,

Tout d'abord merci pour ce tuto.

J'ai réussi à obtenir les 2 clefs AES mais lorsque que je lance YAFU celui-ci plante après plusieurs heures. J'ai l'impression qu'il trouve les premiers facteurs puis ensuite il coupe (disparation de la fenêtre cmd).

Voici la première clef que j'ai testée:

Software has encountered the following unknown AES keys, please crack them first using msieve:
06608B3058F5739627442020BA4993DB683ABEC16002B9290496FD0C7D5646D80F88940AB36C1932BB689EB40838BAF319C87051F68C2F2963CE352A991A3870

et voici le début du fichier "factor" enregistré par Yafu:

Code : Tout sélectionner

12/27/15 23:39:18 v1.34.5 @ ****************, 
12/27/15 23:39:18 v1.34.5 @ ****************, ****************************
12/27/15 23:39:18 v1.34.5 @ ****************, Starting factorization of 333997077234544256762675108457661111172389268337104990050845738917939177494674979560264855484943352593299820069912125768292991850377932186910313842096240
12/27/15 23:39:18 v1.34.5 @ ****************, using pretesting plan: normal
12/27/15 23:39:18 v1.34.5 @ ****************, no tune info: using qs/gnfs crossover of 95 digits
12/27/15 23:39:18 v1.34.5 @ ****************, ****************************
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 2
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 2
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 2
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 2
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 3
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 3
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 5
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 11
12/27/15 23:39:18 v1.34.5 @ ****************, div: found prime factor = 179
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 3, starting 1000 iterations on C147
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 2, starting 1000 iterations on C147
12/27/15 23:39:18 v1.34.5 @ ****************, prp5 = 21683
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 2, starting 1000 iterations on C143
12/27/15 23:39:18 v1.34.5 @ ****************, prp5 = 69809
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 2, starting 1000 iterations on C138
12/27/15 23:39:18 v1.34.5 @ ****************, prp7 = 6866389
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 2, starting 1000 iterations on C131
12/27/15 23:39:18 v1.34.5 @ ****************, rho: x^2 + 1, starting 1000 iterations on C131
12/27/15 23:39:18 v1.34.5 @ ****************, pm1: starting B1 = 150K, B2 = gmp-ecm default on C131
12/27/15 23:39:18 v1.34.5 @ ****************, current ECM pretesting depth: 0.00
12/27/15 23:39:18 v1.34.5 @ ****************, scheduled 30 curves at B1=2000 toward target pretesting depth of 40.31
12/27/15 23:39:18 v1.34.5 @ ****************, Finished 30 curves using Lenstra ECM method on C131 input, B1=2K, B2=gmp-ecm default
12/27/15 23:39:18 v1.34.5 @ ****************, current ECM pretesting depth: 15.18
12/27/15 23:39:18 v1.34.5 @ ****************, scheduled 74 curves at B1=11000 toward target pretesting depth of 40.31
12/27/15 23:39:19 v1.34.5 @ ****************, prp20 = 17136710768512914277 (curve 29 stg2 B1=11000 sigma=305260243 thread=0)
12/27/15 23:39:19 v1.34.5 @ ****************, Finished 29 curves using Lenstra ECM method on C131 input, B1=11K, B2=gmp-ecm default
12/27/15 23:39:19 v1.34.5 @ ****************, current ECM pretesting depth: 17.14
12/27/15 23:39:19 v1.34.5 @ ****************, scheduled 45 curves at B1=11000 toward target pretesting depth of 34.46
12/27/15 23:39:21 v1.34.5 @ ***************, Finished 45 curves using Lenstra ECM method on C112 input, B1=11K, B2=gmp-ecm default
12/27/15 23:39:21 v1.34.5 @ ****************, current ECM pretesting depth: 20.24
12/27/15 23:39:21 v1.34.5 @ ****************, scheduled 214 curves at B1=50000 toward target pretesting depth of 34.46
12/27/15 23:39:47 v1.34.5 @ ****************, Finished 214 curves using Lenstra ECM method on C112 input, B1=50K, B2=gmp-ecm default
12/27/15 23:39:47 v1.34.5 @ ****************, pm1: starting B1 = 3750K, B2 = gmp-ecm default on C112
12/27/15 23:39:48 v1.34.5 @ ****************, current ECM pretesting depth: 25.33
12/27/15 23:39:48 v1.34.5 @ ****************, scheduled 430 curves at B1=250000 toward target pretesting depth of 34.46
12/27/15 23:43:38 v1.34.5 @ ****************, Finished 430 curves using Lenstra ECM method on C112 input, B1=250K, B2=gmp-ecm default
12/27/15 23:43:38 v1.34.5 @ ****************, pm1: starting B1 = 15M, B2 = gmp-ecm default on C112
12/27/15 23:43:42 v1.34.5 @ ****************, current ECM pretesting depth: 30.45
12/27/15 23:43:42 v1.34.5 @ ****************, scheduled 726 curves at B1=1000000 toward target pretesting depth of 34.46
12/28/15 00:10:06 v1.34.5 @ ****************, Finished 726 curves using Lenstra ECM method on C112 input, B1=1M, B2=gmp-ecm default
12/28/15 00:10:06 v1.34.5 @ ****************, final ECM pretested depth: 34.47
12/28/15 00:10:06 v1.34.5 @****************, scheduler: switching to sieve method
12/28/15 00:10:06 v1.34.5 @ ****************, nfs: commencing nfs on c112: 1322750080188548052707050942960382474632506281681787556912839495040221053014429111239842879319867989942608067273
12/28/15 00:10:06 v1.34.5 @****************, nfs: commencing poly selection with 1 threads
12/28/15 00:10:06 v1.34.5 @****************, nfs: setting deadline of 4600 seconds
12/28/15 01:26:43 v1.34.5 @ ****************, nfs: completed 226 ranges of size 250 in 4597.1689 seconds
12/28/15 01:26:43 v1.34.5 @ ****************, nfs: best poly = # norm 1.533842e-010 alpha -7.299978 e 8.762e-010 rroots 5
12/28/15 01:26:43 v1.34.5 @ ****************, nfs: commencing lattice sieving with 1 threads
Pourriez-vous m'aider ?

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Salut,

J'ai lancé chez moi, y en a pour 1H.
Si ça fonctionne, je te donnerai les factors.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par LasteaForum »

Bonjour,

D'abord merci de tout le temps que vous consacrez à nous aider. Ensuite j'ai le même problème que Nanor. Yafu a bossé pendant 12h et pour finir la fenêtre était fermée et pas de résultat dans les log (session ou factor) La version de l'outil est 1.34.5 J'ai relancé le même calcul avec msieve (vraiment plus lent) et avec yafu sur une autre machine. Pour info la clé1 obtenu est : 0B4BD3AF310F07476DEFD0E8AEC4460C24035387758E0BE038FE0E1D491E8F15A55FDD1406B98CF74D219357D66354A36A831E8F587620B29DF38362CA100C6D

A bientôt
Last

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par LasteaForum »

La machine sur laquelle j'ai lancé yafu ronronne à 30% d'usage. N'existe-t-il pas un moyen que cet outil maximise l'utilisation des ressources ? Genre utiliser un cluster qui balance la sauce? A+
Last

nanor
newbie
newbie
Messages : 11
Inscription : 28 déc. 2015 09:45

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par nanor »

Salut LasteaForum

J'ai également tenté avec msieve mais j'ai une fenêtre d'erreur (erreur identique sur un deuxième PC):
msieve15.exe - Erreur Système - Impossible de démarrer le programme car il manque pthreadGC2.dll sur votre Windows. Essayez de réinstaller tout le bordel pour corriger ce foutoir.
msieve15.exe - Erreur Système - Impossible de démarrer le programme car il manque pthreadGC2.dll sur votre Windows. Essayez de réinstaller tout le bordel pour corriger ce foutoir.
Peux tu juste me dire comment tu as lancé msieve (par invite de commande ?).

Merci

Répondre

Revenir à « Securite informatique »