[Résolu] Windows 7 a été infecté : extension en .micro

[lakwew]

Bonsoir,

Windows 7 vient d'être infecté. Tous mes fichiers (PDF, images, ...) comportent l'extension .micro et sont inaccessibles. Dans chaque dossier se trouvent un fichier txt et une page web nommés "help recover instructions+dng" qui contiennent un texte en anglais expliquant que mes fichiers ont été protégés par un cryptage RSA-4096 ainsi que des liens à suivre pour obtenir les instructions afin de récupérer mes fichiers.

D'après une rapide recherche il s'agit d'un rançongiciel type Cryptowall...

Peut-on désinfecter ? Et les fichiers sont-ils récupérables ?

Merci d'avance pour votre aide.

[Malekal_morte]

Salut,

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[lakwew]

Et voila :

FRST : http://pjjoint.malekal.com/files.php?id ... 10s13f11h5
Shortcut : http://pjjoint.malekal.com/files.php?id ... 1k7y158g14
Addition : http://pjjoint.malekal.com/files.php?id ... z8s9o10d10

[Malekal_morte]

Ce n'est pas Cryptowall mais TeslaCrypt et il ne semble plus actif.
=> TeslaCrypt : How_recover.

Fais une recherche de fichiers Windows sur help_recover_instructions et supprime tout.

Il n'est plus actif, la récupération des fichiers ne devrait pas fonctionner avec cette nouvelle variante.

[SMVA83]

Bonsoir,

Mon Windows a été infecté et tous mes fichiers se trouvent maintenant avec une extension .micro

J'ai lancé le logiciel FRST ci dessous les liens

http://pjjoint.malekal.com/files.php?id ... k7e7b15o15
http://pjjoint.malekal.com/files.php?id ... 12n6y5p8m8
http://pjjoint.malekal.com/files.php?id ... 2q13b11f10

Merci de votre aide en espérant que je pourrais récupérer mes fichiers.

[Malekal_morte]

Le ransomare RSA-4096 TeslaCrypt n'est plus actif,

Fais une recherche de fichiers sur Windows (voir Recherche de fichiers sur Windows) sur help_recover_instructions et supprime les fichiers


Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC

Sécurise ton Windows : Comment sécuriser son Windows

[SMVA83]

Merci pour ce retour

J'ai lu qu'au jour d'aujourd'hui les fichiers ne peuvent pas être décryptés ...
Est ce que je peux stocker les fichiers cryptés sur une DD externe ou alors faut il les lancer dans leurs dossiers d'origine ?

[Malekal_morte]

Tu peux les copier, il n'y a pas de soucis.

[Malekal_morte]

Je ferme ce topic.
Si vous souhaitez obtenir de l'aide, merci de bien vouloir créer votre propre sujet dans la section Virus.

Les informations nécessaire concernant ce ransomware TeslaCrypt.

Le ransomware TeslaCrypt utilise maintenant l'extension .micro ainsi que le fichier help_recover_instructions pour les instructions :
Actualité autour du ransomware TeslaCrypt
how_recover/help_recover_instructions : TeslaCrypt extension .micro et .vvv.




Les fiches pour supprimer le ransomware .micro

• Supprimer le ransomware .micro (supprimer-trojan.com)
• Supprimer le ransomware .micro (supprimer-virus.com)

[Malekal_morte]

Il est désormais possible de récupérer les fichiers en ".micro", ".mp3" et ".jpg" généré par TeslaCrypt.

Lire Comment récupérer ses fichiers infectés par TeslaCrypt, extension en ".micro", ".mp3" et ".jpg"