Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95059
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte » 30 déc. 2015 00:24

seb77600 a écrit :@Malekal_morte: je suis vraiment dessolé d'en arriver la mais peu tu me copier la ligne a ajouter a la suite dans le fichier car la je suis paumé.
Dans la partie know_keys, tu as déjà des exemples, chez toi ça donne ça :

Code : Tout sélectionner

'0EE8B63C4766CDE1A82A6C86AA64E5E09CF8911317861A8E8A69CF67951972BEFD9AD991BB23728565AD6F67826ECB21238E30C0087B24CDF0C38647F24EF598': b'\x53\x7b\x13\x02\x34\xf7\xeb\x48\xa0\x6d\xa2\x85\x7
2\xd4\xa7\xb6\xd6\x79\x91\x16\x5d\x57\x36\x9f\x3d\xfe\x2b\x45\x95\x8b\xa3\x21',
mets le en dessous des exemples à la ligne
en registre


et relance le script sur ton pdf : c:\aaa/fff.pdf.vvv
et normalement, si ça va bien il doit le décrypter.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


yeros87
newbie
newbie
Messages : 22
Inscription : 29 déc. 2015 14:29

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par yeros87 » 30 déc. 2015 03:40

Hello,

Bon, je ne sais pas si j'avance... mais en tout cas je suis encore bêtement bloqué.

Je tape ça dans l'invite de commande mais j'ai une erreur 22. Vous avez déjà eu ça? Vous savez quoi faire?
C:\>C:/Users/Utilisateur/Desktop/TeslaCrack-master/unfactor.py 'C:/Users/Utilisateur/Desktop/TeslaCrack-master/aaa.pdf' 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733
et voici le résultat
Traceback (most recent call last):
File "C:\Users\Utilisateur\Desktop\TeslaCrack-master\unfactor.py", line 33, in <module>
main(sys.argv[1:])
File "C:\Users\Utilisateur\Desktop\TeslaCrack-master\unfactor.py", line 18, in main
with open(args[0], "rb") as f:
IOError: [Errno 22] invalid mode ('rb') or filename: "'C:/Users/Utilisateur/Desktop/TeslaCrack-master/aaa.pdf'"
Bref, je ne comprends rien :'(

Merci de m'aider :-)

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par ph03nix2164 » 30 déc. 2015 06:55

Ta commande est bizarre, donc on va essayer de la refaire, mais plus simplement :

Lance une invite de commande : Démarrer, Exécuter, tu tapes cmd, puis entrée.

Une fenetre noire s'ouvre : Clique dessus pour y taper les instructions.

Déjà, il faut indiquer dans quel repertoire on veut travailler :
Par défaut, tu es dans ton dossier utilisateur, et tes fichiers sont sur ton bureau, si j'ai bien compris.

Donc tu vas taper ceci :

Code : Tout sélectionner

cd desktop
et appuyer sur entrée.
Normalement, tu es dans le dossier contenant les fichiers que tu as mis sur le bureau.

Maintenant, il faut allez dans le dossier teslacrack :

Code : Tout sélectionner

cd TeslaCrack-master
et appuyer sur entrée.

Enfin, la commande :

Code : Tout sélectionner

python unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733
et appuyer sur entrée.

Essaie de cette façon, et dis-nous si ça marche !
Bon courage !

( Ici, yafu tourne à plein régime, en mode SIQS... On verra s'il a factorisé d'ici ce soir, ou s'il a encore planté... )

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par jzorroleon » 30 déc. 2015 08:46

Bonjour,

@Malekal_Morte

Dis moi si je peux aider, car j'avoue je me sents impuissant la dessus et cela m'ennuie.
J'ai essayé sur un autre PC avec python et j'ai réussi à lancer Yafy, jusqu'a la recherche de factors mais là ça a planté.

Donnes moi tes instructions si tu veux.

Merci

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 19:12

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par lps » 30 déc. 2015 09:32

ph03nix2164 a écrit : ( Ici, yafu tourne à plein régime, en mode SIQS... On verra s'il a factorisé d'ici ce soir, ou s'il a encore planté... )
Tu arrive a le faire tourner plus vite ?

Car meme avec 4 threat chez moi il ne prend que 26% des ressources processeur :/


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95059
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte » 30 déc. 2015 09:42

jzorroleon a écrit :Dis moi si je peux aider, car j'avoue je me sents impuissant la dessus et cela m'ennuie.
J'ai essayé sur un autre PC avec python et j'ai réussi à lancer Yafy, jusqu'a la recherche de factors mais là ça a planté
Si la méthode Yafu passe pas, il faut tenter avec msieve, beaucoup plus long.

Télécharge msieve.zip et décompresse le dans le dossier TeslaCrack-Master
Tu dois y avoir un fichier msieve.exe et pthreadGC2.dll

Pour lancer msieve.exe, en invite de commandes, la synataxe est : msieve.exe -v -e 0x<cle>
Dans ton cas, la clef étant

Code : Tout sélectionner

59AE6B1D89CF28BC3BC715A783F0BAE7C43DE5B2027A524E77F8A04E87D73140C29274DD06211FE78FE2CF52ADA6E9E62F39827795C97C7E7E37DEF26C0F7DAA
Cela donne :

Code : Tout sélectionner

msieve.exe -v -e 0x59AE6B1D89CF28BC3BC715A783F0BAE7C43DE5B2027A524E77F8A04E87D73140C29274DD06211FE78FE2CF52ADA6E9E62F39827795C97C7E7E37DEF26C0F7DAA

Ouvre une invite de commandes comme dans le tutoriel :
Sur le clavier : Touche Windows sur le clavier + R
tape cmd.exe /k
Clic sur OK.

Dans l'invite de commandes :

Code : Tout sélectionner

cd %userprofile%\Desktop\TeslaCrack-master
msieve.exe -v -e 0x59AE6B1D89CF28BC3BC715A783F0BAE7C43DE5B2027A524E77F8A04E87D73140C29274DD06211FE78FE2CF52ADA6E9E62F39827795C97C7E7E37DEF26C0F7DAA
Laissez tourner, doit y en avoir pour plusieurs jours.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95059
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte » 30 déc. 2015 09:58

PS : http://www.mersenneforum.org/showthread.php?t=20779
A tester aussi factmsieve
il a l'air de pouvoir utiliser la GPU, ce qui devrait aller plus vite.

(prendre plutôt ce zip apparemment : http://www.mersenneforum.org/attachment ... 1451314373 ).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
anaskiee
Messages : 4
Inscription : 29 déc. 2015 12:02

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par anaskiee » 30 déc. 2015 11:02

lps a écrit : Tu arrive a le faire tourner plus vite ?

Car meme avec 4 threat chez moi il ne prend que 26% des ressources processeur :/
Tous les algorithmes ne peuvent pas être parallélisés.
Certains ont besoin de calculer un résultat et l'utilisent directement derrière par exemple, d'où ton 26% de proc'.

Par contre, certains le sont, et c'est là que les threads sont utiles ;)
Tout ça pour dire que c'est normal. Par contre, tu pourras voir un monter en charge plus tard.

fredf19
newbie
newbie
Messages : 11
Inscription : 29 déc. 2015 21:45

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par fredf19 » 30 déc. 2015 11:45

Bonjour

La première étape s'est bien passé, j ai eu mes 2 clés 112A810C031B5C26F1A289EE388D028A3BC0088090E1AE0F2028E42BC83C6CA1A5F2DE1276F1618E3E7584E0A9702F891B9AD4C186BDF9BE7255DAC2F3BAEF00
et 1FE96CD9D369894E3C2C7236098443212ED36B4EF845F63335A22A3A1CC45FA1FDD5543C54D458D08E51ABCA9118A343C086A996EC579278ADE589D63B20D65E
j ai donc voulu passé à la suite. Yafu ne m'ayant rien trouvé,, après une nuit de recherche il a mis pleins de chiffre, j'ai voulu testé msieve. Mais le lien donné ne permet pas le bon téléchargement, j ai une version 152 (msieve152.exe) mais surtout je n'ai pas la dll pthreadGC2.dll. Ou puis je la trouver?

Merci

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par jzorroleon » 30 déc. 2015 11:54

Oui pareil, j'ai msieve mais pas le pthreadGC2.dll

Merci les gas de votre retour

yeros87
newbie
newbie
Messages : 22
Inscription : 29 déc. 2015 14:29

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par yeros87 » 30 déc. 2015 12:03

Merci ph03nix2164

J'ai suivi ta procédure. 2choses. Qd je laisse le mot Python devant il dit ceci :
C:\Users\Utilisateur\Desktop\TeslaCrack-master>python unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733
'python' n’est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
Du coup je l'enlève et il ne me dit plus rien et me propose une nouvelle ligne de code:
C:\Users\Utilisateur\Desktop\TeslaCrack-master>unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733

C:\Users\Utilisateur\Desktop\TeslaCrack-master>
Je ne sais pas si ça peut vous aider, mais voici le message que j'ai eu lorsque j'ai fais encore plus étape par étape :
C:\Users\Utilisateur\Desktop\TeslaCrack-master>unfactor.py aaa.pdf.vvv
il m'a répondu ceci :
usage: unfactor.py <sample file> <space-separated list of factors>
J'ai donc essayé les <>
C:\Users\Utilisateur\Desktop\TeslaCrack-master>unfactor.py <aaa.pdf.vvv> <3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733>
< était inattendu.
Je ne sais pas à quoi il s'attendait si c'était inattendu... vous avez une idée de ce qu'il attend?

3eme mdification. Il passe encore à la ligne suivante sans rien faire :
C:\Users\Utilisateur\Desktop\TeslaCrack-master>C:\python27\python unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733

C:\Users\Utilisateur\Desktop\TeslaCrack-master>
Je ne comprends absolument plus rien.

Il s'agit sans doute d'une bete erreur qq part.

J'ai donc un dossier python27 qui est dans c:/
et teslacrack-master qui est sur le bureau, dans lequel il y a mon pdf. Tout ceci est correct?
Dernière édition par yeros87 le 30 déc. 2015 12:41, édité 2 fois.

noabeuh
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 21:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par noabeuh » 30 déc. 2015 12:12

@ yeros27

Si python version 2.7 :

C:\Users\Utilisateur\Desktop\TeslaCrack-master>C:\python27\python unfactor.py ...

fredf19
newbie
newbie
Messages : 11
Inscription : 29 déc. 2015 21:45

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par fredf19 » 30 déc. 2015 12:14

@yeros87 : l'exécutable python n est pas au bon endroit tu devrais taper quelque chose du style
C:\Users\Utilisateur\Desktop\TeslaCrack-master>c:\python27\python unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733

fredf19
newbie
newbie
Messages : 11
Inscription : 29 déc. 2015 21:45

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par fredf19 » 30 déc. 2015 12:35

@ jzorroleon

J ai télecharger la dll sur http://fr.dll-files.com/pthreadgc2.dll.html et la commande semble passer, il m a déjà trouvé 2 factors

yeros87
newbie
newbie
Messages : 22
Inscription : 29 déc. 2015 14:29

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par yeros87 » 30 déc. 2015 13:09

Ah oui autre chose. Je pense voir loupé une étape pcq je vois que vous passez bcp de temps avec Yafu.

J'ai lancé wafu avec ma 1ere clé.
factor(0x01114E8E2F0C24DB85B1632B1217E950157207FE79E05481B5883191AF2D20D1F34ECB96AE205BCF18EC378A7EE07DD1B9C4D34DF1E9C952602549A524932BEB)
directement j'ai copié le nombre qui apparait directement :
fac: factoring 55915006184286765505021581009225490654031303991390702021073419667438928449196952729318267329077150656791957674003673782879458354220362722044414086294507
j'ai été sur http://www.factordb.com/

J'ai collé mon nombre à factoriser
c'est ainsi que j'ai obtenu :
3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733


Quand vous avez des exposants (ex chez moi: 11^2, il faut écrire 11 11)

Et donc finalement, dans l'invite de commande j'ai tapé l'ensemble :
C:\Users\Utilisateur\Desktop\TeslaCrack-master>C:\python27\python unfactor.py aaa.pdf.vvv 3 11 11 113 127 167 239 2819 5413 3150841 128805701 1016249037233 42729753946613838821019985812695617529122913575637806773775602814579326877181934377095851837538095399076733
et rien ne se passe. Il me propose une nouvelle ligne directement.


Alors, j'espère que, si c'est correct, que l'étape rapide pour passer yafu vous aidera. et j’espère également que vous pourrez m'aider :-)


Répondre

Revenir vers « Securite informatique »