Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par LasteaForum »

La clé extraite par Teslacrack sur mon fichier pdf fait 128 octets en effet.
Pour les cas qui ont fonctionné, est-ce que la clé faisait la même taille ?

Si oui, c'est pas de bol pour nous car ce serait lié un peu au hasard de la clé qui vérole nos fichiers. Si non, c'est peut-être la taille de la clé qui rend la méthode moins adaptée en effet. J'ai toujours msieve qui tourne sur la clé mais il est très lent car surtout il ne sait pas exploiter les ressources de la machine. J'ai tenté des modifications un peu au pif sur Yafu pour voir et relancé l'analyse aussi

A+

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

jzorroleon a écrit :Bonjour,
Voici le resultat
>> factor(0x35851145186766254841978439130661693865718249562891444770943044847895
3551208169880862085351)
La clef n'est pas bonne.
C:\TeslaCrack-master>python teslacrack.py
Cannot decrypt C:\TeslaCrack-master/code.PDF.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
using msieve:
59AE6B1D89CF28BC3BC715A783F0BAE7C43DE5B2027A524E77F8A04E87D73140C29274DD06211FE7
8FE2CF52ADA6E9E62F39827795C97C7E7E37DEF26C0F7DAA found in C:\TeslaCrack-master/c
ode.PDF.vvv
Alternatively, you can crack the following Bitcoin key(s) using msieve, and use
them with TeslaDecoder:
1A68E94F3A9B888A29CF7EE462F1F8FCDA4A8D7225D5DD59275B1451ABBE9B5879629F266C24F422
0522A1439638D1D2D7D0E45AAF75DAD44593393F58688248 found in C:\TeslaCrack-master/c
ode.PDF.vvv
J'ai lancé Yafu.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

LasteaForum a écrit :Si oui, c'est pas de bol pour nous car ce serait lié un peu au hasard de la clé qui vérole nos fichiers
Si non, c'est peut-être la taille de la clé qui rend la méthode moins adaptée en effet.
Bonne remarque... et tu avais été infecté quand ?
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

OK pour GNFS : J'attend de voir sur le mien... Je me dit que, si SIQS ne fonctionne pas, yafu va basculer sur GNFS... Par contre, j'ai essayé de passer la commande de jzorroleon sur ma machine :

Code : Tout sélectionner

unfactor.py code.PDF.vvv 13 73 857 6037065373884190732378971597855549640678577116398379943678550228431272516859831065686671678636900
Ben ça ne me retourne rien... pas même une erreur...

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

La clef qu'il a utilisé est foireuse, voir mon message plus haut.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par Malekal_morte »

Le yafu de nanor plante comme ceci :
56940 269964146359 1875910294635444667888
56940 492959227459 1875910294860041204840
56940 455856280501 1875910294748384852966
56940 369456673757 1875910294723599420449
56940 333241422893 1875910294706964341763
56940 492759798593 1875910294600528463433
56940 324011407619 1875910294785987202513
56940 331528645639 1875910294825414238204
hashtable: 1024 entries, 0.02 MB
elapsed time of 4581.1746 seconds exceeds 4600 second deadline; poly select done
nfs: commencing algebraic side lattice sieving over range: 1860000 - 1900000
sh: 1: ../ggnfs-bin/gnfs-lasieve4I13e: not found
nfs: could not open output file, possibly bad path to siever
fopen error: No such file or directory
could not open rels0.dat for reading
Il semble chercher un fichier qu'il ne trouve pas.
Aussi peut-être que le hashtable est limité à 1024 entrées.

Je regarderai si y a des sujets identiques avec des solutions.

Ah.. je vois, il est perdu, il faut lui indiquer le chemin :
%ggnfs_dir=D:\Programming\ggnfs\Win32\
ggnfs_dir=D:/Programming/ggnfs/
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

nanor
newbie
newbie
Messages : 11
Inscription : 28 déc. 2015 09:45

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par nanor »

Hello Malekal_morte,

Merci pour ton coup de main Linux sur ma clef.
De mon coté msieve continue à tourner...

Il avance trèèès doucement et m'affiche:

Code : Tout sélectionner

C:\Users\Utilisateur\Desktop\Msieve\msieve152>msieve -v -e 0x06608B3058F57396274
42020BA4993DB683ABEC16002B9290496FD0C7D5646D80F88940AB36C1932BB689EB40838BAF319C
87051F68C2F2963CE352A991A3870


Msieve v. 1.52 (SVN 958)
Mon Dec 28 13:47:30 2015
random seeds: 9426c628 24d7b089
factoring 3339970772345442567626751084576611111723892683371049900508457389179391
77494674979560264855484943352593299820069912125768292991850377932186910313842096
240 (153 digits)
searching for 15-digit factors
searching for 20-digit factors
searching for 25-digit factors
ECM stage 1 factor found
200 of 214 curves
completed 214 ECM curves
searching for 30-digit factors
425 of 430 curves
completed 430 ECM curves
searching for 35-digit factors
903 of 904 curves
completed 904 ECM curves
commencing quadratic sieve (112-digit input)
using multiplier of 17
using generic 32kb sieve core
sieve interval: 59 blocks of size 32768
processing polynomials in batches of 4
using a sieve bound of 7350857 (249341 primes)
using large prime bound of 1102628550 (30 bits)
using double large prime bound of 18896118149799900 (46-55 bits)
using trial factoring cutoff of 55 bits
polynomial 'A' values have 15 factors

sieving in progress (press Ctrl-C to pause)
2458 relations (2388 full + 70 combined from 140690 partial), need 249437
Alors si je comprends la dernière ligne ( sur laquelle il est depuis plusieurs heures ) il recherche des "relations" (ici il a besoin de 249437 relations et il en a trouvé que 2458 ???) C'est ça ?

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

@Malekal_morte : C'est ce dont je parlais au début : Apriori, il a échoué avec la méthode SIQS, donc il voulait passer à la méthode GGNFS. Concernant la clé de jzorroleon, je pensais que le script allait m'envoyer sur les roses : ne pas avoir de retour m'a surpris !

@nanor : Si j'ai bien compris, msieve, tout comme yafu, utilisent un système de matrices : Les "relations" qui sont générées par le programme permettent de créer cette matrice : c'est une étape de calcul, de "collecte de données"... Une fois la matrice générée, le programme va ensuite essayer de la "résoudre", en cherchant une "congruence de carrés". Franchement, sous cet angle ça m'échappe.. Mais visiblement des matheux ont prouvés que ça fonctionne, donc ça me va !

nanor
newbie
newbie
Messages : 11
Inscription : 28 déc. 2015 09:45

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par nanor »

J'avoue que cette facette mathématique m'échappe aussi. J'en suis resté au niveau "diagonalisation de matrice" pendant mes études... et encore j'en ai que de vagues souvenirs. Aujourd'hui il faut être caler en informatique et mathématiques si l'on veut aller plus loin dans le dépannage, c'est rude. Pour msieve: pas moyen de connaitre le temps restant? (si je dois faire tourner ma pétoire pendant 2 ans ça va pas être rigolo)

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par LasteaForum »

@Malekal: L'ordinateur a été infecté le 25/12, youpi, joyeux noël 2015.
A+

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

@nanor : Les maths et l'informatique sont intimement liés : sans maitriser les maths, c'est très limité. C'est la différence entre informatique et bricolages du dimanche. Mais bon, il y a toujours des gens qui maitrisent vraiment et qui mettent leurs compétences au service de la collectivité : c'est ce que fait Malekal_morte, Googulator, l'auteur de teslacrypt, etc... font de temps en temps. Pour msieve, autant que pour yafu, il n'y a aucun moyen de connaitre le temps restant, puisqu'il y a une part de hasard dans la recherche de "congruence de carrés"...

D'après ce que j'ai lu dans d'autres forums, en "bruteforce", il y a, au maximum, 10^(la longueur du nombre à factoriser - 1) opérations à effectuer... alors dans notre cas, ça fait du 10^157... 10, suivi de 158 zéros ( 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 ) Autant dire que c'est impossible, à l'échelle humaine : c'est d'ailleurs la raison de la solidité des chiffrements asymétriques, mais aussi la raison d’être des algorithmes de factorisation, sensés être plus efficaces, mais impossible de donner une durée, d'autant plus que cela dépend de la puissance de la machine qui fait tourner le programme... Si seulement on avait accès aux travaux R&D classés secrets de nos nouvelles générations de supercalculateurs quantiques, on casserai ça les doigts dans le nez.. Tout ce que je peux te dire, c'est que, sur ma petite machine personnelle, yafu tourne depuis 317 minutes : il essaie de résoudre la matrice... Je vais le laisser tourner cette nuit, voir même quelques jours.
Dernière modification par ph03nix2164 le 28 déc. 2015 20:40, modifié 1 fois.

angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

Bonsoir Malekal ,
Fonctionne pas chez moi, je ne sais pourquoi!

SyntaxError: invalid syntax ( ligne 24 )
Image

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

Peut-être que quand tu as modifié teslacrack.py pour y ajouter ta clé, tu as laissé l'accolade :

Code : Tout sélectionner

known_keys = {
     'D4E0010A8EDA7AAAE8462FFE9562B29871B9DA186D98B5B.... Clé 1
     '9F2874FB536C0A6EF7B296416A262A8A722A38C82EBD637.... Clé 2
     '115DF08B0956AEDF0293EBA00CCD6793344D6590D234FE0.... Clé 3
}    'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.... TA clé
Alors que ça devrait ressembler à ça :

Code : Tout sélectionner

known_keys = {
     'D4E0010A8EDA7AAAE8462FFE9562B29871B9DA186D98B5B.... Clé 1
     '9F2874FB536C0A6EF7B296416A262A8A722A38C82EBD637.... Clé 2
     '115DF08B0956AEDF0293EBA00CCD6793344D6590D234FE0.... Clé 3
     'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.... TA clé
}

angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

Et bien, j'ai fais comme ça.

Image

C'est correct, non ?

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par ph03nix2164 »

C'est ce que je te disais, tu as laissé l'accolade devant la clé.
Python ne comprend pas, il t'indique une erreur de syntaxe.

En clair, tu as écrit ça :

} 'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.... (TA clé)

Alors que tu devrais avoir ça :

'XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.... (TA clé)
}

( D'abord ta clé, puis retour à la ligne et accolade pour fermer ).

Par contre, fait attention à l'indentation ( aux décalages dans le code )
Python y est très sensible donc veille à ce que ta clé soit bien alignée.

Répondre

Revenir à « Securite informatique »