Windows 7 infecté par TeslaCrypt avec extension .vvv

Laucrazy · par **Laucrazy** » 02 janv. 2016 18:49

Bonjour tout le monde,

Alors comme indiqué dans le titre mon Windows est infecté. J' ai fait toute les procédures qu'a indiqué le tutoriel du site malekal, hors je suis bloquée a ce niveau. Je ne sais pas ce qu'il faut faire après avoir mis les lien sur le commentaire

FRST.txt

http://pjjoint.malekal.com/files.php?id ... 14d15o15x8

Shortcut. txt

http://pjjoint.malekal.com/files.php?id ... o14l9q11w9

Additionnal.txt

http://pjjoint.malekal.com/files.php?id ... 4i7l7k8o11

Et vais-je pouvoir récupérer mes photos avec ceci ?

Merci beaucoup pour votre aide

Cordialement

par **Malekal_morte** » 02 janv. 2016 23:10

Salut,

Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketing proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

Désinstalle aussi SpeedMaxPc et DriverTurbo - complètement inutile.
>>> http://forum.malekal.com/nettoyeur-defr ... 26069.html

~~

Tu as donc été infecté par un Rançongiciels chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Fais une recherche de fichiers sur how_recover et supprime tout.

Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv

Laucrazy · par **Laucrazy** » 03 janv. 2016 09:59

ohlala je comprend rien !!! :(
Donc ce que j'ai fait n'a servie a rien ?

par **Malekal_morte** » 03 janv. 2016 12:27

Je ne sais pas ce que tu as fait et à quelle étape tu en es.

Laucrazy · par **Laucrazy** » 03 janv. 2016 12:37

Bah la du coup j'ai fait ce que vous m'avez dis !
J'ai installé malwarebytes, j'ai du redémarré, après l'analyse du logiciel, sauf que j'ai toujours ce genre de message.

[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#[email protected]#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://jf73ndna34df.ceorldess.com/4438774978E8524
2. http://fqa4dnfh5fsk4.tarsfee.com/4438774978E8524
3. http://hrdsjrnvskdjnt.pay4softrn.com/4438774978E8524
4. https://t7r67vsrpjcm5dfc.onion.to/4438774978E8524
5. https://t7r67vsrpjcm5dfc.tor2web.org/4438774978E8524
6. https://t7r67vsrpjcm5dfc.onion.cab/4438774978E8524

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: t7r67vsrpjcm5dfc.onion/4438774978E8524
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://jf73ndna34df.ceorldess.com/4438774978E8524
http://fqa4dnfh5fsk4.tarsfee.com/4438774978E8524
http://hrdsjrnvskdjnt.pay4softrn.com/4438774978E8524
https://t7r67vsrpjcm5dfc.onion.to/4438774978E8524
!!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/4438774978E8524
!!! Your personal identification ID: 4438774978E8524
========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!

Laucrazy · par **Laucrazy** » 03 janv. 2016 12:53

Maintenant je viens d'exporter mon fichier texte que j'ai placé sur le bureau,
je suis allé sur http://pjjoint.malekal.com pour avoir le lien pjjoint. Je dois maintenant le communiquer alors voila :

http://pjjoint.malekal.com/files.php?id ... 6d8h6p9x15

par **Malekal_morte** » 03 janv. 2016 13:28

Laucrazy a écrit :Bah la du coup j'ai fait ce que vous m'avez dis !
J'ai installé malwarebytes, j'ai du redémarré, après l'analyse du logiciel, sauf que j'ai toujours ce genre de message

C'est écrit nulle part d'utiliser Malwarebytes.
Pour le message au démarrage, il faut supprimer les fichiers how_recover en faisant une recherche de fichiers, comme j'ai indiqué....

Laucrazy · par **Laucrazy** » 03 janv. 2016 14:08

Pour recuperer les dossiers il est marqué dans le tuto d'installer ce logiciel

Pete74 · par **Pete74** » 03 janv. 2016 16:06

Bonjour,

Je voulais essayer la procédure de décryptage fournie sur malekal.com.
L'installation de Python 2.7.11 ne se passe pas bien et me renvoie un problème d'installation
(DLL required could not be run)..
Any idea? Merci.

Laucrazy · par **Laucrazy** » 03 janv. 2016 18:38

Ça y'est j'ai réussi à le désinfecter, maintenant, je voudrais recuperer tout mes dossiers perdus (photos)

Est-il possible de les récuperer du coup ou pas ? :/

par **Malekal_morte** » 03 janv. 2016 21:30

oui voir la fin de ma réponse : http://forum.malekal.com/infection-avec ... ml#p412210

Laucrazy · par **Laucrazy** » 11 janv. 2016 13:19

alors je l'ai fait mais je suis bloquée à ce niveau : (voir la photo)

Je ne parviens pas à obtenir les deux clés

adr.perso · par **adr.perso** » 12 janv. 2016 00:01

Est-ce que Python est bien installé sur ton PC dans "C:\Python27\" ?
Si oui, utilise la commande

Code : Tout sélectionner

"c:\python27\python.exe" teslacrack.py

Laucrazy · par **Laucrazy** » 12 janv. 2016 13:08

hum... j'ai pas compris désolé ^^'
Mais Python27 est téléchargé

adr.perso · par **adr.perso** » 12 janv. 2016 19:06

@Laucrazy :
- Est-ce que tu as bien un dossier sur ton ordinateur "c:\Python27\" qui contient "python.exe" ?
- Est ce que tu as bien un fichier testlacrack.py dans le dossier "C:\Users\DUBATON\Desktop\TeslaCrack-master" ?
Si oui aux deux questions, dans la fenêtre noir de ta capture d'écran (la console ou invite de commande), tu ne va pas taper "python teslacrack.py" mais

Code : Tout sélectionner

"c:\python27\python.exe" teslacrack.py

Le résultat, tu le met dans ce forum.

Malekal.com forum

Windows 7 infecté par TeslaCrypt avec extension .vvv

Windows 7 infecté par TeslaCrypt avec extension .vvv

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension VVV

Re: Windows 7 infecté par teslacrypt avec extension .vvv

Re: Windows 7 infecté par teslacrypt avec extension .vvv

Re: Windows 7 infecté par teslacrypt avec extension .vvv

Re: Windows 7 infecté par TeslaCrypt avec extension .vvv