Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

par Malekal_morte »

Suite aux avancées du projet TeslaCrack et à ce message : http://forum.malekal.com/teslacrypt-ran ... ml#p411134, j'ouvre ce sujet pour permettre à toutes les victimes de pouvoir tenter de récupérer leurs fichiers, sans contre-partie financière.

ATTENTION AUX ARNAQUES : Je profite de ce sujet pour vous avertir de faire attention, aux particuliers ou aux entreprises qui viennent vous démarcher en prétendant pouvoir décrypter vos fichiers en échange d'un paiement, au montant parfois supérieur à la rançon, un comble... bref, à d'éventuelles arnaques visant à soutirer de l'argent ou à vous faire exécuter des utilitaires qui peuvent s'avérer dangereux. Soyez vigilants !

Récupération des fichiers avec extensions .jpg, .micro, .mp3

Il est maintenant possible de récupérer les fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt : Récupérer ses fichiers .micro, .mp3, .jpg du Ransomware TeslaCrypt avec TeslaDecoder

Récupération des fichiers avec extensions .crypt (Ransomware RSA 4096)

Il ne s'agit pas du ransomware TeslaCrypt mais d'une autre famille de ransomware.
A notre connaissance, il n'y a pas de façon de récupérer les documents.
La procédure de récupération ci-dessous ne fonctionnera pas.

Plus d'informations : Fiche du Ransomware RSA 4096 .crypt

Récupération des fichiers avec extensions .vvv
Quand la factorisation est possible le projet TeslaCrack (url https://github.com/Googulator/TeslaCrack ) donne de bons résultats et permet de décrypter les fichiers .vvv TeslaCrypt.

La procédure de récupération / décryptage des fichiers aux extensions ".vvv" ( uniquement ! ) est sur cette page: https://www.malekal.com/how_recover-tes ... nsion-vvv/ suite aux attaques du ransomware TeslaCrypt.

Si vous arrivez ici, soit vous avez mal suivi la procédure et avez des problèmes.
Soit vous avez bien suivi la procédure mais la factorisation de la clef YAFU n'a pas pu être faite.


Factorisation avancée des clefs TeslaCrypt avec Yafu

yafu a deux modes pour tenter de résoudre la factorisation : ECM & NFS

ECM est le premier mode testé.

Image

Si la factorisation est impossible en ECM, Yafu passe en NFS.
Il créé 3/4 fichier nfs.* ton nfs.job qui contient les informations.
Si la machine s'arrête ou autre, on peut résumer (reprendre là où il en était).
Le ecm de départ qui peut parfois prendre quelques heures et la partie nfs qui a déjà été fait.
La commande est : nfs(0xclef) -R

Le mode NFS fait appel à des binaires externes à Yafu,
il faut que les binaires msieve et GGNFS soient présents,
que leurs chemins soient correctement indiqués dans "yafu.ini"

Pour tester, le mieux c'est de les renseigner et de directement lancer un nfs(0xclef)
Si ça progresse, c'est bon sinon si ça met une erreur de chemin, corriger "yafu.ini"

Voici un Yafu tout prêt à mettre dans le dossier c:\msieve et pas ailleurs !!
>> https://www.malekal.com/download/msieve.zip
Normalement, vous n'avez pas besoin d'éditer le fichier "yafu.ini"
Sauf si vous désirez vraiment augmenter le nombre de threads.

Lancez une invide de commanes, passez ces commandes à valider par entrée pour vous positionner dans le dossier C:\msieve où le zip a été décompressé.
cd \msieve
et lancez le yafu correspondant à votre architecture.
Yafu-Win32.exe (si vous êtes en 32-bits)
Yafu-x64.exe (si vous êtes en 64-bits)
L'interface de Yafu se lance alors.

Image

Vous devriez être en mesure de lancer des factorisations en ECM et NFS.


Quelques témoignages de personnes ayant réussi à décrypter leurs fichiers .vvv

Quelques témoignages sur des récupérations de documents .vvv réussies :
=> http://www.commentcamarche.net/forum/af ... on-ordi#24
decrypter_ransomware_teslacrypt_vvv_1.png
http://forum.malekal.com/windows-infect ... ml#p411506
decrypter_ransomware_teslacrypt_vvv_2.png
ou encore : http://www.commentcamarche.net/forum/af ... ware-vvv#8
TeslaCrypt_decryptage_extension_vvv.png
et aussi.. :
> Elève infirmière sauvée :p : http://forum.malekal.com/recuperation-f ... ml#p412300
> http://forum.malekal.com/recuperation-f ... ml#p412504
> https://www.malekal.com/how_recover-tes ... ment-31863
> http://forum.malekal.com/recuperation-f ... ml#p411263
> http://forum.malekal.com/recuperation-f ... ml#p411479
> http://forum.malekal.com/recuperation-f ... ml#p412403
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
[email protected]

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par [email protected] »

Bonjour,

Je vais essayer de tester dés que j'ai un moment,
je suis en pleine saison donc ça peut prendre du temps.

Merci de de pencher sur ce sujet en tout cas !
Rainbowx

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Rainbowx »

Bonsoir,

J'ai pu tester hier cette méthode, tout a parfaitement fonctionné. j'ai effectué la factorisation à l'aide de Yafu .. j'étais sceptique mais tout mes fichiers sont maintenant décryptés!! Je viens de lancer à l'instant une nouvelle factorisation pour l'ordinateur d'un ami dont le Windows avait été également infecté.

Je vous fait parvenir mes retours des que la factorisation est terminer !

Excusez pour le manque de ponctuations et les quelques fautes j'écris avec un clavier étranger!

Bonne chance a vous ! Life is beautiful !
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

Merci pour ce tutoriel qui "tombe a point" !
Malheureusement, j'ai une erreur sur le script :(

jpg.vvv doesn't appear to be TeslaCrypted

J'ai essayé avec d'autre fichier, même problème !

J'ai regarder avec hexeditor, j'ai bien DEAD BEEF

Auriez vous une idée ?

merci
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

Merci pour les retours.
Rainbowx a écrit :j ai effectuer la factorisation a laide de Yafu , cela ma pris seulement 20 secondes .. j etais sceptique mais tout mes fichiers sont maintenant decrypter!!
Tu n'as pas eu d'erreur avec les .py ?
Chez moi ça n'a pas fonctionné.
lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

lps a écrit :jpg.vvv doesn't appear to be TeslaCrypted
Essaye avec un autre .jpg

Même problème :(
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

News : J'ai trouvé une autre version de TeslaCrack qui ma donné une clef !

Je viens de lancer le .bat

Par contre après ca, on fait quoi exactement ?
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

Malekal_morte a écrit :La version par défaut ne lit pas les jpg.
Faut modifier le script comme cela est expliqué sur github.
Effectivement, j'ai relancé le .bat avec une clef d'un fichier .pdf
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

Ca va effectivement plus vite avec yafu.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

Effectivement, je suis aussi passé a Yafu, j'attends le résultat.
Par contre ce que je comprend pas. Quel est l’intérêt de faire le pythonunfactor, et d'obtenir la clef ?
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

La première clef, ça doit être la clef public et la seconde, la clef privé.
Tu donnes les deux à teslacrypt pour qu'il déchiffre les fichiers ensuite.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lps

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par lps »

Combien de temps cela ta pris sur Yafu ?

Cela fait plus de 10heures qu'il tourne chez moi
Malekal_morte
Messages : 110283
Inscription : 10 sept. 2005 13:57

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

par Malekal_morte »

Pour certaines clefs ça peut durer longtemps.
Normalement Yafu affiche le temps restant.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »