Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
betacire
Amateur Expert
Amateur Expert
Messages : 158
Inscription : 31 déc. 2015 11:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par betacire »

EL ORCHE HICHAM a écrit : 1) pour les factors de PDF c'est bien mais j'ai résolu que le fichier que j'ai mis dans teslacrack-master
Il faut que tu fasses ce qui est indiqué sur la page :
https://www.malekal.com/how_recover-tesl ... nsion-vvv/
à partir de "Une possible clef AES est alors retournée"

En gros, il s'agit de modifier le fichier teslacrack.py pour y ajouter ta clé. Ensuite tu fais exécuter le script teslacrack.py sur C: pour décrypter l'ensemble des fichiers. C'est très bien expliqué sur la page en question.

Autre option possible pour le décryptage (une fois que tu as la clé) :
- télécharger TeslaDecoder ici : http://download.bleepingcomputer.com/Bl ... ecoder.zip
- le dézippper puis le lancer en mode administrateur (clic droit puis "Exécuter en tant qu'administrateur").
- cliquer sur le bouton "Set Key".
- dans le champ "Key (hex)", coller la clé trouvée grâce à unfactor.py (celle qui est entre parenthèses).
- dans le champ "Extension", choisir .vvv (ou celle qui te concerne)
- valider en cliquant sur le bouton "Set Key",
- choisir soit "Decrypt Folder" (pour un dossier), soit "Decrypt All" (pour tout) à ta convenance.
2) pour les factors de fichier txt je ne sais pas je reçois toujours ce message:
Tu es sûr que tu as une clé différente pour tes fichiers .txt ? c'est bizarre...
TeslaCrypt (.vvv) : consultez les instructions et saisissez vos demandes d'assistance sur le Google Drive : https://goo.gl/X8hK7r" onclick="window.open(this.href);return false;

tesortlaw
newbie
newbie
Messages : 7
Inscription : 03 janv. 2016 16:00

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par tesortlaw »

Bonjour,

Après un arrêt de mon ordinateur qui avait travaillé en nfs avec yafu depuis plusieurs jours,j'ai effectué la commande : nfs (0xmaclé) -R mais j'ai l’impression d'être reparti à zero.

Que faut il faire pour qu'il garde en mémoire le travail déjà effectuer (ctrl x) ?

Ma clé trouvé avec teslacrack.py est: 3F4FA1A739580CE61155E2F0051678F33AF46A735ADA9B1ABE2C1399A0FC1026148605E6EC962BB44D782F8B
4B682FEF215C8DCD0943CE95DA9E65E704B641FA

avec yafu en ECM et factordb j'arrive au résultat suivant:
2 3 3 1117 60259 157054253
1742609599639282153739662317031065390207448688294197644570919048194605714583663304458078343
0506536104704743641933862779122843698698209343

J 'ai malheureusement une machine pas très rapide et j'ai l'impression que je ne verrais jamais les factors de ce C137 .

Merci d'avance pour votre aide.

noabeuh
newbie
newbie
Messages : 14
Inscription : 29 déc. 2015 21:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par noabeuh »

@tesortlaw

Slt,

Maintenant que la factorisation fonctionne chez moi, je peux tenter de le faire tourner ce soir à la maison.
je te donne le résultat demain matin ?

aimat81
Messages : 1
Inscription : 04 janv. 2016 16:44

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par aimat81 »

Bonjour,
je voudrais remercier les développeurs et informaticiens du forum, car j'ai réussi via votre tutoriel a restaurer tous mes fichiers infectés.
Pour info:
ma machine est en 64 bits, j'ai utilisé Yaku 32 bits, les résultats fournis par le 64 bits n'étaient pas cohérent et surtout différents avec la 32 bits (tout mes résultats avec la 64b, me renvoyaient aucune clé AES (juste le prompt, comme certains d'entre vous).
Il est en effet différent de faire des copier coller, que de taper les résultats de factor à la main je ne sais pas pourquoi mais ça a marché avec cette méthode.

Pour votre Tutoriel, vous pouvez spécifier que la clé hexadécimale(restedelaclef) à saisir dans le teslacrack.py, est simplement la clé générée par python teslacrack.py au début du tutoriel, sur laquelle nous avons effectuer un factors.

"Editez le fichier teslacrack.py et la partie known_keys pour ajouter les clefs en suivant la syntaxe, le fichier comporte déjà trois clefs en exemple :
‘<clefdedépart>’: b’\x’,
soit dans mon exemple :
'3B<restedelaclef>': b'\x<clef AES retournée>',"

Merci encore de votre aide!
A bientôt!
Aim

EL ORCHE HICHAM
newbie
newbie
Messages : 19
Inscription : 31 déc. 2015 20:43

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par EL ORCHE HICHAM »

@betacire »

Merci pour ta réponse!

Bien sûr j'ai fait toutes les étapes, moi aussi je trouve bizzare, car la première clè que j'aie la première fois m'a permis de récupérer une partie de mes fichiers et j'ai fait la même choses mais seulement un fichier qui a été débloqué celui que j'ai mis en teslacrack je vais tenter avec Tesladecoder pour voir si ça marchera avec a+

oui j'ai une clè différent je vais vérifier encore une fois.

Merci!

bigfab77
newbie
newbie
Messages : 15
Inscription : 04 janv. 2016 17:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par bigfab77 »

bonjour malekal's
nous sommes infecte par telsacrypt, j'ai suivi la procédure. j'ai commence avec teslacrack.py
C:\Users\Administrateur\Desktop\TeslaCrack-master>c:\python27\python teslacrack.
py
Cannot decrypt ./V8 Chargement Base.txt.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
using msieve:
6EAD386045D28EC294E7D188EB96B82BDBBA78124274A0EA1788FD93FFE9C1256281EFF2113734EF
34827E9DE4301A0BD48EE763989EC690152817877D7CB179 found in ./V8 Chargement Base.t
xt.vvv
Alternatively, you can crack the following Bitcoin key(s) using msieve, and use
them with TeslaDecoder:
13B871BBEFA7AAB422AD8FC050789A6A0E00342361B3191DB3EF1F3189CD045DABA765665F1B9F4E
010B5357AEC43269859542D04BA0C48AE24326BCCB17C25C found in ./V8 Chargement Base.t
xt.vvv

par contre je bloque sur yafu
01/04/16 17:31:35 v1.34.5 @ SERV2008, System/Build Info:
Using GMP-ECM 7.0-dev, Powered by MPIR 2.6.0
detected Intel(R) Xeon(R) CPU E5405 @ 2.00GHz
detected L1 = 32768 bytes, L2 = 6291456 bytes, CL = 64 bytes
measured cpu frequency ~= 2017.484460
using 20 random witnesses for Rabin-Miller PRP checks

===============================================================
======= Welcome to YAFU (Yet Another Factoring Utility) =======
======= [email protected] =======
======= Type help at any time, or quit to quit =======
===============================================================
cached 78498 primes. pmax = 999983


>> factor(0x6EAD386045D28EC294E7D188EB96B82BDBBA78124274A0EA1788FD93FFE9C1256281
EFF2113734EF

mismatched parens
>> 34827E9DE4301A0BD48EE763989EC690152817877D7CB179)

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte »

J'ai lancé factorisation de la clef de bigfab77.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

angelooo57
newbie
newbie
Messages : 16
Inscription : 01 janv. 2016 22:54

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par angelooo57 »

Bonjour , es ce que quelqu'un peu m'aider à cracker cette clé :

8E5042A12F6C33548E01D213CC65FA96B535859C4889013450E910C2B471878208E6EB00124B836CFF85BEDA95C5A89825D117C38D8F6E3944383B9E41FCB784

je n'y arrive pas suite à ce message d'erreur :

Cannot decrypt ./SDV34.MP4.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first
using msieve:
8E5042A12F6C33548E01D213CC65FA96B535859C4889013450E910C2B471878208E6EB00124B836C
FF85BEDA95C5A89825D117C38D8F6E3944383B9E41FCB784 found in ./SDV34.MP4.vvv

merciiii

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par LasteaForum »

@ bigfab77
Tu avais simplement un copié collé d'une clé sur 2 lignes, mais Malekal à lancé ta factorisation donc plus qu'à attendre

@ tesortlaw et Noabeuh
En ce qui te concerne, une C137 c'est pas du gâteau je te le confirme
J'ai une C136 qui tourne sur un bi processeur depuis hier et ce soir il est toujours pas au bout
J'ai laissé tourner toute la journée sur ce serveur pro, quelques ralentissements dans l'usage de départ de la machine (oups c'est pas moi) :)
Je pourrai éventuellement te proposer ce service en fin de semaine sur la même machine mais pas avant.

@Witwicky
Voici tes factors
P1 = 2
P1 = 2
P1 = 2
P1 = 2
P1 = 2
P1 = 3
P1 = 3
P1 = 3
P1 = 7
P2 = 13
P3 = 149
P3 = 199
P9 = 267226033
P23 = 84679909079261166098789
P40 = 2551835304535426396749395572802290656229
P74 = 36211946302244286261114548524269806991787679498929115525189357460327663499
Dernière modification par LasteaForum le 04 janv. 2016 19:27, modifié 1 fois.

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par LasteaForum »

@angelooo57
Ta clé est c108, je lance ta factorisation et je te donnerai le résultat ce soir dans 2/3h.

bigfab77
newbie
newbie
Messages : 15
Inscription : 04 janv. 2016 17:38

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par bigfab77 »

je tiens a vous remercier malekal_morte et lasteaforum. j'espère que je vais pourvoir décrypter le dossier du logiciel de comptabilité car meme mes sauvegardes sont vérolées.
bonne année vous tous

Malekal_morte
Site Admin
Site Admin
Messages : 101950
Inscription : 10 sept. 2005 13:57
Contact :

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte »

@bigfab77 : j'ai la suite de chiffre donc je pense que ça va planter.
J'avais pas vu ta commande mais :
- tu as mis un fichier texte, or, faut toucher le fichier pour pouvoir faire sur des fichiers autre que PDF, tu as fait ?
- le nom a des espaces

J'ai comme un doute sur la clef.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

angelooo57
newbie
newbie
Messages : 16
Inscription : 01 janv. 2016 22:54

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par angelooo57 »

LasteaForum a écrit :@angelooo57
Ta clé est c108, je lance ta factorisation et je te donnerai le résultat ce soir dans 2/3h.
Mille merci

tesortlaw
newbie
newbie
Messages : 7
Inscription : 03 janv. 2016 16:00

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par tesortlaw »

@ noabeuh et LasteaForum

Mon ordinateur tourne toujours(pas assez vite à mon gout),mais j'accepte volontiers votre aide.

merci.

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: Récupération/Décrypter fichiers .vvv (ransomware TeslaCr

Message par LasteaForum »

@Malekal
Quelle suite de chiffre sur yafu qui indique un plantage ?
Sous yafu il a 4 phases
ECM les courbes
Ensuite le début du nfs il y a des chiffres qui défilent
Ensuite la recherche des relations avec le gnfs (avec autant de threads que l'on a demandé)
Enfin le Sieving

Je ne sait pas précisément à quoi correspond chaque étape, on pourrai tenter de la comprendre mais bon ...

Mais il y a bien un défilement de chiffres à un moment et ça va au bout quand même

Répondre

Revenir à « Securite informatique »