[Clôt] Windows 8.1 infecté par TeslaCrypt en extensions .ttt

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

[Clôt] Windows 8.1 infecté par TeslaCrypt en extensions .ttt

Message par teamdeluxe » 15 janv. 2016 11:45

Bonjour,

Je m'adresse à vous car je ne vois pas de meilleure solution.

Mon Windows est infecté, toutes mes données sont cryptées avec une extension .ttt.

J'ai zappé une sauvegarde et je souhaiterai tenter de décrypter mes fichiers.

Puis-je utiliser cette procédure : [url=https://www.malekal.com/how_recover-tesl ... nsion-vvv/[/url] ?

Merci d'avance pour votre réponse




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par Malekal_morte » 15 janv. 2016 12:04

Salut,

Tu peux tenter, mais il y a une nouvelle variante du ransomware TeslaCrypt où cette procédure de décryptage ne fonctionne plus.

Aussi il faudrait vérifier que le ransomware ne soit plus actif :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par teamdeluxe » 15 janv. 2016 12:10

Merci pour ta réponse rapide.

Je vais commencer par là ce soir après le boulot.

En revanche, le virus est toujours présent car il s'est manifesté tard hier soir et j'ai tout d'abord pris le temps de comprendre ce que c'était avant de bouger.

Cela gène pour générer les trois rapports?

Merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par Malekal_morte » 15 janv. 2016 12:10

Non, donne les, je te dirai s'il est encore là.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par teamdeluxe » 15 janv. 2016 13:17

Voici les trois liens :
Dernière édition par teamdeluxe le 16 janv. 2016 17:53, édité 1 fois.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par Malekal_morte » 15 janv. 2016 13:27

Plus l'air actif.

Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2016-01-15 01:29 - 2016-01-15 01:29 - 00127490 ___SH C:\ProgramData\MSOZID~1.EXE
2016-01-14 23:18 - 2015-05-30 21:14 - 00000000 ____D C:\Users\jerome\AppData\Roaming\3909
Task: C:\WINDOWS\Tasks\DSite.job => C:\Users\jerome\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Speedial.job => C:\Users\jerome\AppData\Roaming\Speedial\UpdateProc\UpdateTask.exe <==== ATTENTION
2016-01-14 23:18 - 2013-07-21 01:31 - 00000000 ____D C:\Users\jerome\AppData\Roaming\DSite
2016-01-14 23:18 - 2014-05-18 21:59 - 00000000 ____D C:\Users\jerome\AppData\Roaming\Speedial

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Faire une recherche de fichiers sur how_recover et tout supprimer.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: RSA 4096 - Virus et fichiers cryptés extensions .ttt

Message par teamdeluxe » 15 janv. 2016 14:08

Merci

Ci-dessous le contenu du fixlog :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par jerome (2016-01-15 14:03:41) Run:1
Exécuté depuis C:\Users\jerome\Desktop
Profils chargés: jerome (Profils disponibles: jerome)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
2016-01-15 01:29 - 2016-01-15 01:29 - 00127490 ___SH C:\ProgramData\MSOZID~1.EXE 
 2016-01-14 23:18 - 2015-05-30 21:14 - 00000000 ____D C:\Users\jerome\AppData\Roaming\3909 
Task: C:\WINDOWS\Tasks\DSite.job => C:\Users\jerome\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\Speedial.job => C:\Users\jerome\AppData\Roaming\Speedial\UpdateProc\UpdateTask.exe <==== ATTENTION
 2016-01-14 23:18 - 2013-07-21 01:31 - 00000000 ____D C:\Users\jerome\AppData\Roaming\DSite 
 2016-01-14 23:18 - 2014-05-18 21:59 - 00000000 ____D C:\Users\jerome\AppData\Roaming\Speedial 
*****************

C:\ProgramData\MSOZID~1.EXE => déplacé(es) avec succès
C:\Users\jerome\AppData\Roaming\3909 => déplacé(es) avec succès
C:\WINDOWS\Tasks\DSite.job => déplacé(es) avec succès
C:\WINDOWS\Tasks\Speedial.job => déplacé(es) avec succès
C:\Users\jerome\AppData\Roaming\DSite => déplacé(es) avec succès
C:\Users\jerome\AppData\Roaming\Speedial => déplacé(es) avec succès

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 8.1 infecté par TeslaCrypt, extensions .ttt

Message par Malekal_morte » 15 janv. 2016 14:17

Voila, tu peux suivre la procédure mais ça ne devrait plus fonctionner.
Malheureusement, pour le moment, il n'y a pas de solution pour récupérer les documents.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par teamdeluxe » 15 janv. 2016 15:47

Merci

Je tente au cas où.

En revanche, j'ai un petit souci pour entrer ceci dans la commande de Python :

cd %userprofile%\Desktop\TeslaCrack-master
python teslacrack.py

Ca se rentre tel quel en direct?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par Malekal_morte » 15 janv. 2016 16:12

dans l'invite de commandes oui.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par teamdeluxe » 15 janv. 2016 16:30

Aie.

Petit souci.

Je l'ai entré tel quel dans l'invite de commande de python et de Windows et cela ne fonctionne pas.

J'ai rentré la commande vue dans la photo du tuto dans l'invite de commandes de python et il n'accepte pas le C:
Je l'ai entré dans celle de Windows et il me dit que "desktop\TeslaCrack-master" n'est pas reconnu.

J'ai enfin entré la ligne suivante dans l'invite de Windows "Desktop\TeslaCrack-master\teslacrack.py" et là ca mouline et m'indique "cannot access" a beaucoup de choses et rien enfin, retour à C:

Je sèche à ce moment là... PDT_013

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par Malekal_morte » 16 janv. 2016 00:53

Tu tapes mal les commandes.
Manque des bouts dans ce que tu copies colles.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par teamdeluxe » 16 janv. 2016 15:46

Salut,

Merci, je l'ai mieux rentré mais j'ai ca en réponse :

raise OSError <"cannot load native module '%s'" % name>
OSError : cannot load native module 'crypto. Cipher._raw_ecb'

Je vois le problème mais je ne vois pas le correctif pour continuer.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95081
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par Malekal_morte » 16 janv. 2016 22:20

Le mieux serait que tu fasses une capture d'écran ou un copier/coller entier de ce que tu as tapé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

teamdeluxe
newbie
newbie
Messages : 10
Inscription : 15 janv. 2016 11:27

Re: Windows 8.1 infecté par TeslaCrypt avec extensions .ttt

Message par teamdeluxe » 17 janv. 2016 00:02

Merci

Voilà ce que ça me dit :

Microsoft Windows [version 6.3.9600]
(c) 2013 Microsoft Corporation. Tous droits réservés.

C:\Users\jerome>cd %userprofile%\Desktop\TeslaCrack-master

C:\Users\jerome\Desktop\TeslaCrack-master>python teslacrack.py
Traceback (most recent call last):
File "teslacrack.py", line 18, in <module>
from Crypto.Cipher import AES
File "C:\Python27\lib\site-packages\Crypto\Cipher\__init__.py", line 78, in <m
odule>
from Crypto.Cipher._mode_ecb import _create_ecb_cipher
File "C:\Python27\lib\site-packages\Crypto\Cipher\_mode_ecb.py", line 46, in <
module>
"""
File "C:\Python27\lib\site-packages\Crypto\Util\_raw_api.py", line 180, in loa
d_pycryptodome_raw_lib
raise OSError("Cannot load native module '%s'" % name)
OSError: Cannot load native module 'Crypto.Cipher._raw_ecb'



Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »