[Clôt] Windows infecté par AlphaCrypt (documents en .ezz)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

[Clôt] Windows infecté par AlphaCrypt (documents en .ezz)

Message par byebye » 07 mai 2015 14:35

Bonjour à tous.
Problème récurrent ces temps ci.
Un virus s'est introduit dans mon PC sous Windows 7 et a recodé tous les fichiers qui s'y trouvait en .ezz.
J'ai fait un scaning du PC avec FRST.
Voici les liens générés :
http://pjjoint.malekal.com/files.php?id ... 2q8v12w8c7
http://pjjoint.malekal.com/files.php?id ... b15f9u5l15
http://pjjoint.malekal.com/files.php?id ... 13u13l9r10
Si quelqu'un pouvait me donner une solution ce serait très sympa car sans cela je ne vois que le formatage et ça serait vraiment embêtant.
Merci d'avance à tous.




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 07 mai 2015 19:19

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers dans ton cas Alpha Crypt.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Si tu peux envoyer C:\Users\philippe\AppData\Roaming\aJf5opKrB0QRUy7-yH3sLnvPXubi104-xFaI6D4ZfuT8nNk-IY2KupBLgkObxSM.exe sur http://upload.malekal.com


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML [2015-05-06] ()
Startup: C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-05-06] ()
Startup: C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT [2015-05-06] ()
InternetURL: C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://7oqnsnzwwnm6zb7y.gigapaysun.com/1Nto84N
Startup: C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\~.txt [2015-05-06] ()
HKU\S-1-5-21-487916699-1345952019-1443665629-1000\...\Run: [ghyenna] => rundll32 ,ghyenna
2015-05-06 14:38 - 2015-05-06 14:38 - 00009062 _____ () C:\HELP_DECRYPT.HTML
2015-05-06 14:38 - 2015-05-06 14:38 - 00004722 _____ () C:\HELP_DECRYPT.TXT
2015-05-06 14:38 - 2015-05-06 14:38 - 00000284 _____ () C:\HELP_DECRYPT.URL
2015-05-06 14:23 - 2015-05-06 14:23 - 00009062 _____ () C:\Users\Public\HELP_DECRYPT.HTML
2015-05-06 14:23 - 2015-05-06 14:23 - 00009062 _____ () C:\Users\Public\Documents\HELP_DECRYPT.HTML
2015-05-06 14:23 - 2015-05-06 14:23 - 00004722 _____ () C:\Users\Public\HELP_DECRYPT.TXT
2015-05-06 14:23 - 2015-05-06 14:23 - 00004722 _____ () C:\Users\Public\Documents\HELP_DECRYPT.TXT
2015-05-06 14:23 - 2015-05-06 14:23 - 00004722 _____ () C:\Users\philippe\HELP_DECRYPT.TXT
2015-05-06 14:23 - 2015-05-06 14:23 - 00004722 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-05-06 14:23 - 2015-05-06 14:23 - 00000284 _____ () C:\Users\Public\HELP_DECRYPT.URL
2015-05-06 14:23 - 2015-05-06 14:23 - 00000284 _____ () C:\Users\Public\Documents\HELP_DECRYPT.URL
2015-05-06 16:30 - 2015-05-06 16:30 - 00009062 _____ () C:\Users\philippe\Desktop\HELP_DECRYPT.HTML
2015-05-06 16:30 - 2015-05-06 16:30 - 00004722 _____ () C:\Users\philippe\Desktop\HELP_DECRYPT.TXT
2015-05-06 16:30 - 2015-05-06 16:30 - 00000284 _____ () C:\Users\philippe\Desktop\HELP_DECRYPT.URL
2015-05-05 17:28 - 2015-05-05 17:28 - 00001353 _____ () C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_TO_SAVE_FILES.txt
2015-05-05 16:38 - 2015-05-05 17:34 - 00001632 _____ () C:\Users\Public\HELP_TO_SAVE_FILES.txt
2015-05-05 16:38 - 2015-05-05 17:34 - 00001632 _____ () C:\Users\philippe\HELP_TO_SAVE_FILES.txt
2015-05-05 16:36 - 2015-05-05 17:34 - 00001353 _____ () C:\Users\philippe\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-05 16:36 - 2015-05-05 17:34 - 00001353 _____ () C:\Users\philippe\Documents\HELP_TO_SAVE_FILES.txt
2015-05-05 16:36 - 2015-05-05 17:28 - 00001353 _____ () C:\Users\philippe\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-05 16:36 - 2015-05-05 17:18 - 00001353 _____ () C:\Users\philippe\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-05 16:08 - 2015-05-05 17:33 - 00001353 _____ () C:\Users\philippe\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-05 16:08 - 2015-05-05 17:33 - 00001353 _____ () C:\Users\philippe\AppData\HELP_TO_SAVE_FILES.txt
2015-05-05 16:07 - 2015-05-05 17:34 - 00001632 _____ () C:\Users\Public\Documents\HELP_TO_SAVE_FILES.txt
2015-05-05 16:07 - 2015-05-05 16:08 - 00001632 _____ () C:\ProgramData\HELP_TO_SAVE_FILES.txt
2015-05-05 16:06 - 2015-05-06 14:18 - 00000752 _____ () C:\Users\philippe\AppData\Roaming\key.dat
2015-05-05 16:06 - 2015-05-06 14:18 - 00000232 _____ () C:\Users\philippe\Documents\RECOVERY_FILE.TXT
2015-05-05 16:06 - 2015-05-05 17:34 - 07206190 _____ () C:\Users\philippe\AppData\Roaming\log.html
2015-05-05 13:06 - 2015-05-06 14:23 - 00009062 _____ () C:\Users\philippe\HELP_DECRYPT.HTML
2015-05-05 13:06 - 2015-05-06 14:23 - 00000284 _____ () C:\Users\philippe\HELP_DECRYPT.URL
2015-05-05 13:06 - 2015-05-05 16:36 - 00047300 _____ () C:\Users\philippe\HELP_DECRYPT.PNG.ezz
2015-05-05 13:06 - 2015-05-05 16:36 - 00004756 _____ () C:\Users\philippe\HELP_DECRYPT.TXT.ezz
2015-05-05 13:03 - 2015-05-05 16:36 - 00047300 _____ () C:\Users\philippe\Downloads\HELP_DECRYPT.PNG.ezz
2015-05-05 13:03 - 2015-05-05 16:36 - 00004756 _____ () C:\Users\philippe\Downloads\HELP_DECRYPT.TXT.ezz
2015-05-05 13:03 - 2015-05-05 13:03 - 00009062 _____ () C:\Users\philippe\Downloads\HELP_DECRYPT.HTML
2015-05-05 13:03 - 2015-05-05 13:03 - 00000284 _____ () C:\Users\philippe\Downloads\HELP_DECRYPT.URL
2015-05-05 13:01 - 2015-05-05 16:35 - 00047300 _____ () C:\Users\philippe\Documents\HELP_DECRYPT.PNG.ezz
2015-05-05 13:01 - 2015-05-05 16:35 - 00004756 _____ () C:\Users\philippe\Documents\HELP_DECRYPT.TXT.ezz
2015-05-05 13:01 - 2015-05-05 13:01 - 00009062 _____ () C:\Users\philippe\Documents\HELP_DECRYPT.HTML
2015-05-05 13:01 - 2015-05-05 13:01 - 00000284 _____ () C:\Users\philippe\Documents\HELP_DECRYPT.URL
2015-05-05 11:40 - 2015-05-05 11:41 - 00049310 _____ (Valve Corporation) C:\Users\philippe\AppData\Roaming\aJf5opKrB0QRUy7-yH3sLnvPXubi104-xFaI6D4ZfuT8nNk-IY2KupBLgkObxSM.exe
2015-05-05 11:36 - 2015-05-05 17:19 - 00047300 _____ () C:\Users\philippe\AppData\Roaming\HELP_DECRYPT.PNG.ezz
2015-05-05 11:36 - 2015-05-05 17:19 - 00004756 _____ () C:\Users\philippe\AppData\Roaming\HELP_DECRYPT.TXT.ezz
2015-05-05 11:36 - 2015-05-05 16:08 - 00047300 _____ () C:\Users\philippe\AppData\HELP_DECRYPT.PNG.ezz
2015-05-05 11:36 - 2015-05-05 16:08 - 00004756 _____ () C:\Users\philippe\AppData\HELP_DECRYPT.TXT.ezz
2015-05-05 11:36 - 2015-05-05 11:36 - 00009062 _____ () C:\Users\philippe\AppData\Roaming\HELP_DECRYPT.HTML
2015-05-05 11:36 - 2015-05-05 11:36 - 00009062 _____ () C:\Users\philippe\AppData\HELP_DECRYPT.HTML
2015-05-05 11:36 - 2015-05-05 11:36 - 00000284 _____ () C:\Users\philippe\AppData\Roaming\HELP_DECRYPT.URL
2015-05-05 11:36 - 2015-05-05 11:36 - 00000284 _____ () C:\Users\philippe\AppData\HELP_DECRYPT.URL
2015-05-05 11:34 - 2015-05-05 16:38 - 00047300 _____ () C:\Users\philippe\AppData\Local\HELP_DECRYPT.PNG.ezz
2015-05-05 11:34 - 2015-05-05 16:38 - 00004756 _____ () C:\Users\philippe\AppData\Local\HELP_DECRYPT.TXT.ezz
2015-05-05 11:34 - 2015-05-05 11:34 - 00009062 _____ () C:\Users\philippe\AppData\Local\HELP_DECRYPT.HTML
2015-05-05 11:34 - 2015-05-05 11:34 - 00000284 _____ () C:\Users\philippe\AppData\Local\HELP_DECRYPT.URL
2015-05-05 11:33 - 2015-05-06 14:23 - 00009062 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-05-05 11:33 - 2015-05-06 14:23 - 00000284 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-05-05 11:33 - 2015-05-05 16:07 - 00047300 _____ () C:\ProgramData\HELP_DECRYPT.PNG.ezz
2015-05-05 11:33 - 2015-05-05 16:07 - 00004756 _____ () C:\ProgramData\HELP_DECRYPT.TXT.ezz
2015-05-05 11:29 - 2015-05-07 13:20 - 00000000 ___HD () C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}
2015-05-05 01:05 - 2015-05-05 01:05 - 00000332 _____ () C:\Users\philippe\AppData\Roaming\ghay7ui1yuad11aa
CustomCLSID: HKU\S-1-5-21-487916699-1345952019-1443665629-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\esent.dll ()
C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutorial_Malware ... alware.php
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par byebye » 08 mai 2015 10:22

Salut Malekal

Déjà merci pour ton aide.

J'ai l'impression que le virus a totalement disparu.

Je te transmets les liens demandés por le Fixlog de FRST et le rapport d' exécution de MalwareBytes.

http://pjjoint.malekal.com/files.php?id ... 9q7p5h15q8
http://pjjoint.malekal.com/files.php?id ... 5z13v14d15

Par contre j'ai bien trouvé la clef que tu me demandais.Elle est sur une clef USB mais je n'ose pas te la transmettre de peur d'infecter le PC qui fonctionne encore.Dis moi s'il y a un risque ou pas stp.

Reste à savoir comment récupérer tous les documents recodés en .ezz et ça je ne sais pas si tu as un logiciel magique qui peut réaliser cette opération sinon tout sera définitivement perdu.

Encore merci pour ta précieuse aide.

Dis moi si tout a été résolu.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 08 mai 2015 12:05

Je pense que l'on a terminé côté désinfection.
Des problèmes particuliers ?

Comme expliqué dans mon premier, il n'y a pas de solution pour récupérer les documents.
Essaye Les versions précédentes de Windows (ShadowCopies) mais en général, le virus les a supprimés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par byebye » 08 mai 2015 14:36

Salut Malekal
Effectivement la désinfection me semble terminée....
Encore merci pour ton aide.
Je surveille en parallèle le site de Cisco.
Le lien est le suivant: http://blogs.cisco.com/security/talos/teslacrypt
Apparemment ils sont parvenu a effectuer un reversing à partir d'une info donnée par un membre du blog....
J'attends avec une certaine impatience leurs avancées.
Si tu trouves quelque chose d'utile avant moi n'hésites surtout pas à me communiquer tes infos.
Je suis un peu déçu car s'il n'y a pas de solution je serais obligé de tout formater et de ce fait tout ce qui se trouve dans ce PC sera définitivement perdu......
A très bientôt.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 08 mai 2015 17:00

C'est la version d'avant, comme expliqué dans le dossier, ils ont dû se planter au niveau de la partie du chiffrage des documents.
Ca doit être corrigé dans AlphaCrypt.

C'est courant.
Tu peux toujours garder tes documents chiffrés en espérant que.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

byebye
newbie
newbie
Messages : 16
Inscription : 07 mai 2015 13:36

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par byebye » 08 mai 2015 20:00

Salut Malekal
Je vais faire ça conserver ces fichiers importants ......et espérer que quelqu'un trouve une soluce gratuite....:)
En tout cas merci pour ton aide précieuse.
A bientôt.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 08 mai 2015 20:33

ok, sécurise ton ordinateur : comment-securiser-son-ordinateur.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par ѠOOT » 14 mai 2015 12:43

Bonjour,

BloodDolly a publié sur le forum Bleeping Computer un utilitaire pour AlphaCrypt qui permet de décrypter les fichiers si et seulement si la clé sous forme de fichiers ( key.dat, storage.bin ) ou sous forme d'entrées dans le Registre Windows est présente sur la machine infectée. Je précise tout de même qu'il faut préalablement stopper la propagation de l'infection.

Les extensions supportées sont :
.ecc
.ezz
.exx


Image
Référence: {13/05/2015 03:27 PM} TeslaCrypt ransomware changes its name to Alpha Crypt

Image

Liens connexes:
➱ ( April 27th, 2015 ) ❴ Threat Spotlight: TeslaCrypt – Decrypt It Yourself
➱ ( May 8th, 2015 ) ❴ Talos TeslaCrypt Decryption Tool
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 24 déc. 2015 11:55

Début Décembre, nouvelle campagne TeslaCrypt avec des extension en .ccc puis .vvv

Les outils permettant de récupérer les documents concernaient les problèmes sur les versions bugguées mais cela a été vite corrigé courant Mai 2015. A ce jour, il n'y a donc aucun moyen de récupérer les documents chiffrés.

Comme d'habitude, cette campagne va essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Les liens d'actualité en rapport à cette campagne TeslaCrypt : Liens de désinfection ransomware TeslaCrypt - extensions .vvv :
Je ferme ce sujet Alphacrypt. Si vous rencontrez des problèmes de désinfection, posez vos questions sur le forum, merci de bien vouloir créer votre propre sujet afin de pouvoir traiter au cas par cas.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 93213
Inscription : 10 sept. 2005 13:57
Contact :

Re: infecté par un virus type alphacrypt (documents en .ezz)

Message par Malekal_morte » 26 déc. 2015 12:46

Pour ceux qui ont été infectés par la dernière campagne TeslaCrypt (.vvv) & (.ccc) Je recherche des personnes (avec un minimum de connaissances sur le sujet) pour valider une procédure de récupération de fichiers .vvv

Voir : TEST : Récupération de fichiers .vvv - ransmware TeslaCrypt
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Verrouillé

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »