Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Pour le factor de nanor, Yafu a l'air de galérer.
Il écrit plein de chiffres, jamais eu ça.
Je vais laisser tourner, on verra..

Vous avez d'autres alternatives à Yafu comme msieve ou gnfs ou ggnfs

J'avais tester msieve pour une clef où Yafu avait mis 30s, au bout de 10h msieve n'avait rien trouvé.
Si vous voulez tester, la commande est :
msieve -v -e 0x<clef>
Je n'ai pas testé les autres programmes.

PS : pour la DLL, elle est trouvable sur le net facilement, la mettre dans le même dossier que msieve
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par LasteaForum »

Malekal,
Si yafu a basculé en affichant plein de chiffres c'est qu'il a échoué à priori avec la première méthode
J'ai eu exactement la même chose et 9h après il stoppait et se plantait.
Dans les logs ça donne ça :
12/27/15 23:20:57 v1.34.5 , final ECM pretested depth: 38.77
12/27/15 23:20:57 v1.34.5 , scheduler: switching to sieve method
12/27/15 23:20:57 v1.34.5 , nfs: commencing nfs on c126: 564045476712309348957591055038349712536846801916638414576178602171214101237428262773259389773915736107109133667881482154487147
12/27/15 23:20:57 v1.34.5 @ , nfs: commencing poly selection with 1 threads
12/27/15 23:20:57 v1.34.5 @ , nfs: setting deadline of 32188 seconds
12/28/15 08:10:34 v1.34.5 @ , nfs: completed 51 ranges of size 250 in 31776.2929 seconds
12/28/15 08:10:34 v1.34.5 @ , nfs: best poly = # norm 5.026359e-012 alpha -6.837953 e 1.336e-010 rroots 5
12/28/15 08:10:34 v1.34.5 @ , nfs: commencing lattice sieving with 1 threads

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

Salut à tous !

Même infection sur l'ordinateur de ma mère.
Un bon gros TeslaCrypt avec fichiers .vvv
Photos de voyages perdues...

Donc, je teste la factorisation de la clé avec yafu-x64, sur une de mes machines ([email protected] GHz). Vu que je suis sous Linux, j'ai fait une bidouille bien crado comme on les aime alors plutôt que de compiler yafu pour ma machine, je vais tenter de le faire tourner via Wine comme un goret... C'est long : Plus d'une heure que ça tourne, toujours aucun résultat.

Je vais suivre le fil avec attention : Si je peux aider, ça sera avec plaisir.

Par contre, vu que la clé à factoriser dépasse les 100 caractères, il semble que la méthode la plus efficace soit GNFS. Dans le readme de yafu, c'est expliqué que, pour qu'il gère ce type de méthode, il faut modifier le yafu.ini pour pointer sur le dossier contenant les exécutables GGNFS. Du coups, question, quelqu'un a t'il essayé ?

J'ai récupéré les fichiers et modifié le .ini, mais je n'ai trouvé aucun moyen de vérifier que yafu avait bien pris en compte les fichiers... D'un autre coté, je n'ai pas eu d'erreur : Si on pointe quelque chose qui n'existe pas, il me semble que le programme tique et renvoie quelque chose, non ?

@nanor : tu es sous quel système ? j'ai essayé d'installer msieve, impossible de le compiler...

nanor
newbie
newbie
Messages : 11
Inscription : 28 déc. 2015 09:45

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par nanor »

Hello ph03nix2164,

Je suis sous Windows 7 64 bits sur i7 2.8Ghz avec 8Go Ram.
Si msieve sort rien, j'essaierai GNFS mais peur de pas maitriser :(
Mayday, mayday .. quelqu'un aurait le téléphone d'Alan Turing ?? :)

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

Merci d'avoir répondu ! Yafu vient de passer en mode "SIQS", ce qui, si je ne me goure pas, veut dire qu'il essaie de retrouver les facteurs en utilisant la méthode du "crible quadratique". La méthode SIQS est aussi celle utilisée par msieve. En bref : il finira par trouver les facteurs, mais ça va prendre du temps...

Source : https://fr.wikipedia.org/wiki/Crible_quadratique

Sinon, ça chauffe pas trop, chez vous ? Mon vieux Core2Duo est à 100% sur un cœur, l'autre n'est pas utilisé par yafu, et reste disponible pour d'autres taches... ça sent la merguez à la maison. Bizarre que le programme ne prenne pas toutes les ressources qu'il a à sa disposition, peut être que c'est pour éviter de le faire flamber comme une crêpe.

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par jzorroleon »

Bonjour,

Le tutoriel n'est plus accessible de chez moi ou c'est normal ?
Quelqu'un peut me l'envoyer s'il vous plait ?

Merci

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

https://www.malekal.com/how_recover-tesl ... nsion-vvv/ fonctionnait mais je n'y ai plus accès non plus : reste cette version dans le cache Google : https://webcache.googleusercontent.com/ ... nsion-vvv/ peut-être que Malekal fait une mise à jour du billet.

Yafu vient de passer en phase d'exploitation des données collectées : il a placé toutes les données qu'il a collecté dans une matrice et essaie de la résoudre pour obtenir une congruence de carrés... Vas-y Neo ! Je sais pas pourquoi, d'après l'Oracle, il y en a pour des jours...

Edit : Maintenant il utilise deux cœurs, c'est Docteur Who.

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par jzorroleon »

Je bloque lors de la creation de l'AES.
Il me met une erreur de module?

No module named Crypto.Cipher

Avez-vous une idée?
Pièces jointes
CaptureAES.JPG

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

@jzorroleon : Crypto.cypher fait partie de PyCrypto, que tu trouveras ici, comme c'était écrit dans le tutoriel de Malekal_morte : http://www.voidspace.org.uk/python/modu ... l#pycrypto Il suffit de prendre celui qui correspond à ton système d'exploitation et celui qui correspond à ton architecture, puis de l'installer.

@Malekal_morte : Yafu a planté sur la clé de nanor ? J'espère que ça ne va pas m'arriver aussi !!

Je commence à me demander si on n'attaque pas le problème avec les mauvaises solutions...

Je m'explique : normalement, on utilise le crible quadratique (SIQS) pour factoriser des nombres de moins de 100 chiffres : Au delà, on considère qu'il est plus rapide d'utiliser le crible général de corps de nombres, GGNFS (General Number Field Sieve) Si je ne me trompe pas, la clé teslacrack.py récupérée fait 126 caractères codés en hexadécimal auxquels on vient rajouter nos 0x ce qui nous fait donc une taille de 128. Convertie par yafu, elle grimpe à 152 chiffres et c'est ce nombre que Yafu essaie ensuite de factoriser. En tous cas, c'est ce que ça donne chez moi.. Bref, ne serait-il pas plus rapide et efficace de "forcer" Yafu ou un autre soft à utiliser GGNFS directement ?

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

@ph03nix2164 : le tutoriel est la traduction du projet TeslaCrack
Si tu as des remarques, le mieux c'est encore de voir là bas avec eux, pour savoir ce qu'ils en pensent. Après on peut toujours tenter d'autres solutions. J'ai lancé la clef de nanor sur un Yafu sous Linux pour voir si ça va plus loin. Pour le moment, ça donne la même chose, la série de chiffre. Espérons qu'il ne plante pas.
yafu - Linux
yafu - Linux
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par jzorroleon »

Bonjour,

Désolé mais la commande avec python 2.7 + crypto (j'ai essayé toutes les versions de crypto) me met toujours le message d'erreur. Quand je passe en python 3, il me met erreur unfactor.py

Y-a-t-il une alternative? Il me donne juste la clef AES avec ça

Commande: c:\Python27\python unfactor.py code.PDF.vvv 13 73 857 603706537388419073237897159785554964067857711639837994367855022843127251685983106568667167863690034

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Donne ton fichier code.PDF.vvv - je vais passer la commande chez moi.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

python 3 ne fonctionnera pas car de mémoire, y'a eu des modifications dans le code qui font que les scripts ne sont pas compatibles entre 2.7 et 3. Yafu ne t'a donné que 4 facteurs ? Il n'y en avait pas plus ?

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par jzorroleon »

Bonjour,

D'accord ! Merci de ton aide.

Voici le résultat

Code : Tout sélectionner

>> factor(0x35851145186766254841978439130661693865718249562891444770943044847895
3551208169880862085351)

fac: factoring 49099030091223951333086909477347335339164020187269876195341591509
3155491905448258690551026953364058852053841
fac: using pretesting plan: normal
fac: no tune info: using qs/gnfs crossover of 95 digits
div: primes less than 10000
fmt: 1000000 iterations
Total factoring time = 0.3660 seconds

***factors found***

P2 = 13
P2 = 73
P3 = 857
P102 = 603706537388419073237897159785554964067857711639837994367855022843127251685983106568667167863690034037

ans = 1
Merci de ton retour !
Pièces jointes
code.PDF.zip
(185.46 Kio) Téléchargé 43 fois

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Au passage, je vois que yafu me sort fac: no tune info: using qs/gnfs crossover of 95 digits donc il a l'air d'utiliser GNFS.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Securite informatique »