Page 1 sur 87

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Publié : 26 déc. 2015 11:50
par Malekal_morte
Suite aux avancées du projet TeslaCrack et à ce message : teslacrypt-ransomware-fichiers-extensio ... ml#p411134, j'ouvre ce sujet pour permettre à toutes les victimes de pouvoir tenter de récupérer leurs fichiers, sans contre-partie financière.

ATTENTION AUX ARNAQUES : Je profite de ce sujet pour vous avertir de faire attention, aux particuliers ou aux entreprises qui viennent vous démarcher en prétendant pouvoir décrypter vos fichiers en échange d'un paiement, au montant parfois supérieur à la rançon, un comble... bref, à d'éventuelles arnaques visant à soutirer de l'argent ou à vous faire exécuter des utilitaires qui peuvent s'avérer dangereux. Soyez vigilants !

Récupération des fichiers avec extensions .jpg, .micro, .mp3

Il est maintenant possible de récupérer les fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt : Récupérer ses fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt avec TeslaDecoder

Récupération des fichiers avec extensions .crypt (Ransomware RSA 4096)

Il ne s'agit pas du ransomware TeslaCrypt mais d'une autre famille de ransomware.
A notre connaissance, il n'y a pas de façon de récupérer les documents.
La procédure de récupération ci-dessous ne fonctionnera pas.

Plus d'informations : Fiche du Ransomware RSA 4096 .crypt

Récupération des fichiers avec extensions .vvv
Quand la factorisation est possible le projet TeslaCrack (url https://github.com/Googulator/TeslaCrack ) donne de bons résultats et permet de décrypter les fichiers .vvv TeslaCrypt.

La procédure de récupération / décryptage des fichiers aux extensions ".vvv" ( uniquement ! ) est sur cette page: https://www.malekal.com/how_recover-tesl ... nsion-vvv/ suite aux attaques du ransomware TeslaCrypt.

Si vous arrivez ici, soit vous avez mal suivi la procédure et avez des problèmes.
Soit vous avez bien suivi la procédure mais la factorisation de la clef YAFU n'a pas pu être faite.


Factorisation avancée des clefs TeslaCrypt avec Yafu

yafu a deux modes pour tenter de résoudre la factorisation : ECM & NFS

ECM est le premier mode testé.

Image

Si la factorisation est impossible en ECM, Yafu passe en NFS.
Il créé 3/4 fichier nfs.* ton nfs.job qui contient les informations.
Si la machine s'arrête ou autre, on peut résumer (reprendre là où il en était).
Le ecm de départ qui peut parfois prendre quelques heures et la partie nfs qui a déjà été fait.
La commande est : nfs(0xclef) -R

Le mode NFS fait appel à des binaires externes à Yafu,
il faut que les binaires msieve et GGNFS soient présents,
que leurs chemins soient correctement indiqués dans "yafu.ini"

Pour tester, le mieux c'est de les renseigner et de directement lancer un nfs(0xclef)
Si ça progresse, c'est bon sinon si ça met une erreur de chemin, corriger "yafu.ini"

Voici un Yafu tout prêt à mettre dans le dossier c:\msieve et pas ailleurs !!
>> https://www.malekal.com/download/msieve.zip
Normalement, vous n'avez pas besoin d'éditer le fichier "yafu.ini"
Sauf si vous désirez vraiment augmenter le nombre de threads.

Lancez une invide de commanes, passez ces commandes à valider par entrée pour vous positionner dans le dossier C:\msieve où le zip a été décompressé.
cd \msieve
et lancez le yafu correspondant à votre architecture.
Yafu-Win32.exe (si vous êtes en 32-bits)
Yafu-x64.exe (si vous êtes en 64-bits)
L'interface de Yafu se lance alors.

Image

Vous devriez être en mesure de lancer des factorisations en ECM et NFS.


Quelques témoignages de personnes ayant réussi à décrypter leurs fichiers .vvv

Quelques témoignages sur des récupérations de documents .vvv réussies :
=> http://www.commentcamarche.net/forum/af ... on-ordi#24
Récupération fichiers .vvv réussie
Récupération fichiers .vvv réussie
windows-infecte-par-teslacrypt-avec-ext ... ml#p411506
Récupération fichiers .vvv réussie
Récupération fichiers .vvv réussie
ou encore : http://www.commentcamarche.net/forum/af ... ware-vvv#8
Récupération fichiers .vvv réussie
Récupération fichiers .vvv réussie
et aussi.. :
> Elève infirmière sauvée :p : recuperation-fichiers-vvv-ransomware-te ... ml#p412300
> recuperation-fichiers-vvv-ransomware-te ... ml#p412504
> https://www.malekal.com/how_recover-tesl ... ment-31863
> recuperation-fichiers-vvv-ransomware-te ... ml#p411263
> recuperation-fichiers-vvv-ransomware-te ... ml#p411479
> recuperation-fichiers-vvv-ransomware-te ... ml#p412403

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 18:16
Bonjour,

Je vais essayer de tester dés que j'ai un moment,
je suis en pleine saison donc ça peut prendre du temps.

Merci de de pencher sur ce sujet en tout cas !

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:05
par Rainbowx
Bonsoir,

J'ai pu tester hier cette méthode, tout a parfaitement fonctionné. j'ai effectué la factorisation à l'aide de Yafu .. j'étais sceptique mais tout mes fichiers sont maintenant décryptés!! Je viens de lancer à l'instant une nouvelle factorisation pour l'ordinateur d'un ami dont le Windows avait été également infecté.

Je vous fait parvenir mes retours des que la factorisation est terminer !

Excusez pour le manque de ponctuations et les quelques fautes j'écris avec un clavier étranger!

Bonne chance a vous ! Life is beautiful !

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:14
par lps
Merci pour ce tutoriel qui "tombe a point" !
Malheureusement, j'ai une erreur sur le script :(

jpg.vvv doesn't appear to be TeslaCrypted

J'ai essayé avec d'autre fichier, même problème !

J'ai regarder avec hexeditor, j'ai bien DEAD BEEF

Auriez vous une idée ?

merci

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:17
par Malekal_morte
Merci pour les retours.
Rainbowx a écrit :j ai effectuer la factorisation a laide de Yafu , cela ma pris seulement 20 secondes .. j etais sceptique mais tout mes fichiers sont maintenant decrypter!!
Tu n'as pas eu d'erreur avec les .py ?
Chez moi ça n'a pas fonctionné.
lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:24
par lps
lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg

Même problème :(

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:28
par lps
News : J'ai trouvé une autre version de TeslaCrack qui ma donné une clef !

Je viens de lancer le .bat

Par contre après ca, on fait quoi exactement ?

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:30
par Malekal_morte
La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 19:42
par lps
Malekal_morte a écrit :La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.
Effectivement, j'ai relancé le .bat avec une clef d'un fichier .pdf

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 20:54
par Malekal_morte
Ca va effectivement plus vite avec yafu.

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 21:20
par Malekal_morte

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 26 déc. 2015 22:07
par lps
Effectivement, je suis aussi passé a Yafu, j'attends le résultat.
Par contre ce que je comprend pas. Quel est l’intérêt de faire le pythonunfactor, et d'obtenir la clef ?

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 27 déc. 2015 11:02
par Malekal_morte
La première clef, ça doit être la clef public et la seconde, la clef privé.
Tu donnes les deux à teslacrypt pour qu'il déchiffre les fichiers ensuite.

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 27 déc. 2015 15:46
par lps
Combien de temps cela ta pris sur Yafu ?

Cela fait plus de 10heures qu'il tourne chez moi

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Publié : 27 déc. 2015 16:09
par Malekal_morte
Pour certaines clefs ça peut durer longtemps.
Normalement Yafu affiche le temps restant.