Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
angelll
newbie
newbie
Messages : 7
Inscription : 27 déc. 2015 16:48

Re: [TEST] récupération fichiers .vvv (ransomware teslacrypt

Message par angelll »

Merci Malekal, merci

J'ai réussi, ça fonctionne, wawwww merci beaucoup

Amicalement

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par jzorroleon »

bonsoir,

alors la j ai pas tout suivi.
je dois faire quoi, ma clef pourtant a ete faite comme indiquee.
La je suis un peu perdu sur la marche à suivre, j ai un virus non connu??

merci de votre aide

LasteaForum
Amateur
Amateur
Messages : 145
Inscription : 28 déc. 2015 12:55

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par LasteaForum »

@jzorroleon : Je ne veux pas dire de bêtise mais apriori tu souffres du même mal que nous. Malekal sur la base de ton fichier pdf.vvv a extrait la clé (que tu avais mal extrait) et a lancé dessus le process de calcul de facteurs. Donc c'est en cours pour voir si on arrive pour ton cas à trouver la bonne série de facteurs. Il semble qu'aléatoirement la méthode fonctionne ou pas. Pour mon cas l'outil yafu plante tout le temps et msieve tourne depuis une dizaine d'heure.

Msieve v. 1.52 (SVN 958)
Mon Dec 28 11:46:57 2015
random seeds: bc823120 bcf963a0
factoring 5916299367381623574841483409922640162420038608723691141854748454037354
30500531109347946091746784332586219179721569146453941605342706388525212122397805
677 (153 digits)
searching for 15-digit factors
searching for 20-digit factors
searching for 25-digit factors
200 of 214 curves
completed 214 ECM curves
searching for 30-digit factors
ECM stage 1 factor found
425 of 430 curves
completed 430 ECM curves
searching for 35-digit factors
903 of 904 curves
completed 904 ECM curves
searching for 40-digit factors
1415 of 2350 curves

vecu
newbie
newbie
Messages : 23
Inscription : 29 déc. 2015 00:44

tesla

Message par vecu »

Bonjour,

Comme beaucoup en ce moment apriori, je tente de récupérer les données .vvv d'un ami (plus novice que moi), mais je bloque au moment de récupérer les valeurs pour obtenir la clé AES. Alors, j'ai bien obtenu mes deux clés, mais je n'arrive pas a trouver les valeurs pour les suivantes. Voilà ce que j'ai obtenu:

mes deux clés:
CBDD46575A90AE2381DF03DF36A47ECF8684973B6CCD574D02B1B176F442ABAC
E0C0D957329CC9BD55B1642264770BEA74499DEE496D7715CF01A80028ED92FC

78FE5DC1D7D77B10766CF3B385857159D2020E61B6247F827FFCFF6C6FF782293
199CFA47D04AA52F065C2556107D72A1E40D3C58C9FF67F021BEB9ABE51B238

mais j'obtiens pas les valeurs pour obtenir la clef AES, j'ai bien le fichier factor log:

Code : Tout sélectionner

12/28/15 19:06:34 v1.34.5 @ P0011, using pretesting plan: normal
12/28/15 19:06:34 v1.34.5 @ P0011, no tune info: using qs/gnfs crossover of 95 digits
12/28/15 19:06:34 v1.34.5 @ P0011, ****************************
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 2
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 2
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 7
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 7
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 617
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 2069
12/28/15 19:06:34 v1.34.5 @ P0011, div: found prime factor = 3853
12/28/15 19:06:34 v1.34.5 @ P0011, rho: x^2 + 3, starting 1000 iterations on C143
12/28/15 19:06:34 v1.34.5 @ P0011, rho: x^2 + 2, starting 1000 iterations on C143
12/28/15 19:06:34 v1.34.5 @ P0011, prp7 = 1175389
12/28/15 19:06:34 v1.34.5 @ P0011, rho: x^2 + 2, starting 1000 iterations on C136
12/28/15 19:06:34 v1.34.5 @ P0011, rho: x^2 + 1, starting 1000 iterations on C136
12/28/15 19:06:34 v1.34.5 @ P0011, pm1: starting B1 = 150K, B2 = gmp-ecm default on C136
12/28/15 19:06:34 v1.34.5 @ P0011, prp9 = 185542183
12/28/15 19:06:34 v1.34.5 @ P0011, current ECM pretesting depth: 0.00
12/28/15 19:06:34 v1.34.5 @ P0011, scheduled 30 curves at B1=2000 toward target pretesting depth of 39.38
12/28/15 19:06:35 v1.34.5 @ P0011, Finished 30 curves using Lenstra ECM method on C128 input, B1=2K, B2=gmp-ecm default
12/28/15 19:06:35 v1.34.5 @ P0011, current ECM pretesting depth: 15.18
12/28/15 19:06:35 v1.34.5 @ P0011, scheduled 74 curves at B1=11000 toward target pretesting depth of 39.38
12/28/15 19:06:36 v1.34.5 @ P0011, prp17 = 15839443045640537 (curve 5 stg2 B1=11000 sigma=1312654981 thread=0)
12/28/15 19:06:36 v1.34.5 @ P0011, Finished 5 curves using Lenstra ECM method on C128 input, B1=11K, B2=gmp-ecm default
12/28/15 19:06:36 v1.34.5 @ P0011, current ECM pretesting depth: 15.52
12/28/15 19:06:36 v1.34.5 @ P0011, scheduled 69 curves at B1=11000 toward target pretesting depth of 34.46
12/28/15 19:06:44 v1.34.5 @ P0011, Finished 69 curves using Lenstra ECM method on C112 input, B1=11K, B2=gmp-ecm default
12/28/15 19:06:44 v1.34.5 @ P0011, current ECM pretesting depth: 20.24
12/28/15 19:06:44 v1.34.5 @ P0011, scheduled 214 curves at B1=50000 toward target pretesting depth of 34.46
12/28/15 19:08:32 v1.34.5 @ P0011, Finished 214 curves using Lenstra ECM method on C112 input, B1=50K, B2=gmp-ecm default
12/28/15 19:08:32 v1.34.5 @ P0011, pm1: starting B1 = 3750K, B2 = gmp-ecm default on C112
12/28/15 19:08:36 v1.34.5 @ P0011, current ECM pretesting depth: 25.33
12/28/15 19:08:36 v1.34.5 @ P0011, scheduled 430 curves at B1=250000 toward target pretesting depth of 34.46
12/28/15 19:25:00 v1.34.5 @ P0011, Finished 430 curves using Lenstra ECM method on C112 input, B1=250K, B2=gmp-ecm default
12/28/15 19:25:00 v1.34.5 @ P0011, pm1: starting B1 = 15M, B2 = gmp-ecm default on C112
12/28/15 19:25:14 v1.34.5 @ P0011, current ECM pretesting depth: 30.45
12/28/15 19:25:14 v1.34.5 @ P0011, scheduled 726 curves at B1=1000000 toward target pretesting depth of 34.46
12/28/15 21:17:39 v1.34.5 @ P0011, Finished 726 curves using Lenstra ECM method on C112 input, B1=1M, B2=gmp-ecm default
12/28/15 21:17:39 v1.34.5 @ P0011, final ECM pretested depth: 34.47
12/28/15 21:17:39 v1.34.5 @ P0011, scheduler: switching to sieve method
12/28/15 21:17:39 v1.34.5 @ P0011, nfs: commencing nfs on c112: 3206226398061211276398538906704181609443117668249022712897879937766234965896938987814151719164619357786054576381
12/28/15 21:17:39 v1.34.5 @ P0011, nfs: commencing poly selection with 1 threads
12/28/15 21:17:39 v1.34.5 @ P0011, nfs: setting deadline of 4800 seconds
12/28/15 22:36:05 v1.34.5 @ P0011, nfs: completed 88 ranges of size 250 in 4705.9265 seconds
12/28/15 22:36:05 v1.34.5 @ P0011, nfs: best poly = # norm 1.406304e-010 alpha -6.303983 e 8.468e-010 rroots 5
12/28/15 22:36:05 v1.34.5 @ P0011, nfs: commencing lattice sieving with 1 threads
Quelqu'un pourrait il m'aider ? Merci d'avance :)

Avatar de l’utilisateur
ph03nix2164
newbie
newbie
Messages : 26
Inscription : 28 déc. 2015 13:41

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par ph03nix2164 »

Tout d'abord, bonjour et bienvenur, Vecu.

A priori, yafu semble avoir planté sur ta machine : il commence le traitement NFS mais "cale", presque au début, selon le log que tu as fourni.

Ensuite, concernant ma clé, je suis plutot déçu : Aprés avoir tourné environ 12 heures, yafu s'est éteint, tout seul comme un grand, vers 1h20 du matin, en me laissant un factor.log de 1,2 Go...

Et rien, dans le log.

Juste ça, en guise de dernière ligne :

Code : Tout sélectionner

12/29/15 01:19:52 v1.34.5 @ phoenix-P5Q-PRO, failed to read relation
J'ai essayé de le relancer, et il a repris directement en mode SIQS, avant de me donner deux facteurs :

Code : Tout sélectionner

***factors found***                                                                                                                                             
C94 =
3201538211446839065039562824667944740647377188477046092257858968687927735790914359847358149459 
ans = 
3201538211446839065039562824667944740647377188477046092257858968687927735790914359847358149459
      


Bref, plantage...

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par jzorroleon »

Bonjour,

Alors si ca peut aider car là ça me dépasse complètement.

Voici un fichier JPG et un fichier doc, pour voir si ca pose le meme problème! (version vvv et version originale)

Dites moi si je peux aider.

Merci beaucoup
Pièces jointes
Zigbee Vs Wifi.zip
(815.92 Kio) Téléchargé 42 fois

vecu
newbie
newbie
Messages : 23
Inscription : 29 déc. 2015 00:44

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par vecu »

quelqu'un pourrait il m'aider a trouver les valeurs concernant ces deux clés, yafu plante et msieve152 me balance le message "cannot open input file 'worktodo.ini'"
voici mes deux clefs si cela tente quelqu'un:

CBDD46575A90AE2381DF03DF36A47ECF8684973B6CCD574D02B1B176F442ABAC
E0C0D957329CC9BD55B1642264770BEA74499DEE496D7715CF01A80028ED92FC

78FE5DC1D7D77B10766CF3B385857159D2020E61B6247F827FFCFF6C6FF782293
199CFA47D04AA52F065C2556107D72A1E40D3C58C9FF67F021BEB9ABE51B238


est ce que ma commande concernant msieve est bonne:

msieve152 -v 0xCBDD46575A90AE2381DF03....
Dernière modification par vecu le 29 déc. 2015 10:38, modifié 1 fois.

lps
newbie
newbie
Messages : 18
Inscription : 26 déc. 2015 19:12

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par lps »

Après 3 jours, toujours rien :(

Image

A chaque fois qu'il fini, il me rajoute une ligne.

ExtraBall
newbie
newbie
Messages : 27
Inscription : 22 sept. 2010 11:44

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par ExtraBall »

Bonjour,

Hier, une amie de ma fille a chopée cette cochonnerie :(

Je ne suis pas expert, loin de la. Mais je sais le sérieux de ce site.
J'ai appliqué le tutoriel mais à la fin aucune clef de retournée :(

La première sortie :

Code : Tout sélectionner

C:\Users\Desoeuvres\Desktop\TeslaCrack-master>python teslacrack.py
Cannot decrypt ./Planning PARTIELS du 25 au 29  Janvier 2016.pdf.vvv, unknown key
Software has encountered the following unknown AES keys, please crack them first using msieve:
54B2FA2F82BFEC4488E9D8BACF2EB834DC7A389214D5379B9202FE0D69B96CA2B7379AD1B8158A93008272890DAC0BBAB4A7C8ACC5436554716CD0304BD56ADC found
in ./Planning PARTIELS du 25 au 29  Janvier 2016.pdf.vvv
Alternatively, you can crack the following Bitcoin key(s) using msieve, and use them with TeslaDecoder:
92949EBC661F710578115E9AC13B6327123220EB05E9732755B36E42826CD6ED6502A57C75E4E21D8950B16888BDEA82CE57BD3E9C74FDCBB5E6BB2BB1D6BC   found
in ./Planning PARTIELS du 25 au 29  Janvier 2016.pdf.vvv

La sortie yafu :
hashtable: 4096 entries,  0.06 MB
elapsed time of 19077.8535 seconds exceeds 50823 second deadline; poly select done


***factors found***

P1 = 2
P1 = 2
P7 = 6249967
P9 = 200918261
P9 = 679686307

***co-factor***
C130 = 12993648595226884878116811664926438048304761269715479289925690685042290412367415385979862441314202645047111353198232218286354145
99
Et enfin la dernière sortie :

Code : Tout sélectionner

C:\Users\Desoeuvres\Desktop\TeslaCrack-master>python unfactor.py "Planning PARTIELS du 25 au 29  Janvier 2016.pdf.vvv" 2 2 6249967 2009
18261 679686307 12993648595226884878116811664926438048304761269715479289925690685042290412367415385979862441314202645047111353198232218
28635414599
==> RIEN :(

J'ai raté un truc ?

Merci de votre aide.

EB

Malekal_morte
Site Admin
Site Admin
Messages : 100182
Inscription : 10 sept. 2005 13:57
Contact :

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par Malekal_morte »

il y a une mise à jour de Tesla-Crack, je vous invite donc tous à supprimer le votre et télécharger la dernière version.
> https://github.com/Googulator/TeslaCrack
The other files do in fact have short keys - however, there were a few bugs handling them. They should decrypt fine with my recently pushed changes.

Note that TeslaDecoder also has trouble with these files; specifically if you try to pass the AES key as returned by unfactor.py to TeslaDecoder, it will report success, but decrypt garbage. OTOH if you pass the "fixed" AES key to TeslaDecoder (see unfactor.py source, function fix_key), it will bail out with "incorrect key". TeslaDecoder decrypts these files properly if given the Bitcoin key, internally generating the correct "raw" and "fixed" AES keys, but won't properly accept either when the AES key is given directly.

EDIT: Just to clarify; the AES public key is 1 byte short in the 2 sample files, because the randomly-generated AES private key happened to begin with a NUL byte. This is not a display bug, the AES public key really is two hex digits shorter than usual. Regardless of this, the most recent version of TeslaCrack should decrypt such files correctly.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par jzorroleon »

Bonjour,

Est-ce que la dernière version corrige le bug pour mon fichier?

Avez-vous reussi avec mon fichier qui posait problème?
A priori j'ai donc un problème d'installation de python crypto sur mon PC.

Est-ce que je suis obligé de l'avoir pour lancer le correctif?

Merci beaucoup de votre aide

ExtraBall
newbie
newbie
Messages : 27
Inscription : 22 sept. 2010 11:44

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par ExtraBall »

Bonjour,

La nouvelle version TeslaCrack ne change rien pour moi :(

EB

Avatar de l’utilisateur
anaskiee
Messages : 4
Inscription : 29 déc. 2015 12:02

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par anaskiee »

ExtraBall a écrit : ***co-factor***
C130 = 1299364859522688487811681166492643804830476126971547928992569068504229041236741538597986244131420264504711135319823221828635414599

==> RIEN :(

J'ai raté un truc ?
La factorisation de la clef par yafu n'est pas terminée. Il reste ce nombre à 130 chiffres à découper, donc c'est normal ;) Yafu s'est arrêté tout seul ? Si oui, il faudra peut-être utilisé un autre programme. Mais essaie tout de même de le relancer si c'est le cas

Code : Tout sélectionner

.\yafu-x64.exe -threads 4
puis

Code : Tout sélectionner

factor(0x54B2FA2F82BFEC4488E9D8BACF2EB834DC7A389214D5379B9202FE0D69B96CA2B7379AD1B8158A93008272890DAC0BBAB4A7C8ACC5436554716CD0304BD56ADC)
------------------
jzorroleon a écrit :Est-ce que la dernière version corrige le bug pour mon fichier?
La dernière version corrige des problèmes où la clef de chiffrement commençait par des zéros. Ca peut concerner tout le monde, donc récupère la. Mais je pense que tu as au moins un autre problème. La procédure décrite est pour un fichier PDF. Si tu veux utiliser unfactor.py sur un JPG, tu dois remplacer

Code : Tout sélectionner

def main(args, magic = '%PDF', short_key_limit = 240):
par

Code : Tout sélectionner

def main(args, magic = '\xff\xd8', short_key_limit = 240):

jzorroleon
newbie
newbie
Messages : 20
Inscription : 28 déc. 2015 15:10

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par jzorroleon »

Oui en effet j'ai vu pour les différents formats de fichiers. Mais Malekal_morte a lancé un décryptage de mon PDF et je lui demandai si la MAJ permet de trouver la clef avec mon PDF. Pour les autres fichiers, ce sera le même décryptage...

Merci

ExtraBall
newbie
newbie
Messages : 27
Inscription : 22 sept. 2010 11:44

Re: [TEST] Récupération de fichiers .vvv (ransomware TeslaCr

Message par ExtraBall »

Bonjour anaskiee,

Merci de ton aide. J'ai bien sur relancé comme demandé. Merci encore !
Ce n'est pas pour moi, c'est pour une élève infirmière qui a son rapport de stage crypté :(

EB

Répondre

Revenir à « Securite informatique »