Windows 10 a été infecté par le rançongiciel Locky

[alno04]

Bonjour à tous,

Windows a été infecté par Locky, j'ai passé Malwarebytes. Avant restauration, je voudrais m'assurer qu'aucun élément malicieux n'est encore actif sur la machine. Voici les 3 rapports générés par FRST :

FRST.txt
http://pjjoint.malekal.com/files.php?id ... 13r15g11n9

Addition.txt
http://pjjoint.malekal.com/files.php?id ... w15q10x510
Shortcut.txt

http://pjjoint.malekal.com/files.php?id ... f9k9i13y12

Merci par avance de votre interprétation.

Cordialement,
Alain

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Le ransomware Locky n'est plus actif, simplement des restes.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 2015-05-12 12:30 - 2015-05-20 10:48 - 0112464 _____ () C:\Users\.30\AppData\Local\ne9bzef6m8.dll 
 HKLM-x32\...\Run: [SaveAway] => C:\Program Files (x86)\SaveAway\SaveAway.exe 

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[alno04]

Bonjour Malekal_morte,

Merci de votre réponse rapide et précise.

Le message obtenu à l'issue de la correction que vous m'avez suggérée est le suivant :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:02-03-2016
Exécuté par .30 (2016-03-04 15:20:53) Run:1
Exécuté depuis C:\Users\.30\Desktop
Profils chargés: .30 & postgres & Administrateur (Profils disponibles: .30 & postgres & Administrateur & DefaultAppPool)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
 2015-05-12 12:30 - 2015-05-20 10:48 - 0112464 _____ () C:\Users\.30\AppData\Local\ne9bzef6m8.dll 
 HKLM-x32\...\Run: [SaveAway] => C:\Program Files (x86)\SaveAway\SaveAway.exe 

*****************

C:\Users\.30\AppData\Local\ne9bzef6m8.dll => déplacé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SaveAway => valeur supprimé(es) avec succès

==== Fin de Fixlog 15:20:53 ====

J'en déduis que la correction en question a été faite. Nous allons maintenant passer à la restauration, sachant que ce sont les .doc, .docx, .dotx et les .xls, .xlsx, .xltx qui ont été cryptés. Curieusement, les .jpg et les .tiff ont été épargnés...

Je vous tiens au courant de la suite des opérations.
Merci encore,
Alain

[Malekal_morte]

ok tiens nous au jus.

[alno04]

Bonjour Malekal,

Pardon de revenir vers vous, mais quelque chose me tracasse par rapport à la correction que vous m'avez suggérée : apparemment on est intervenu sur un exécutable "saveaway.exe". La machine en question utilise la solution Wooxo pour la sauvegarde des données. Or, il me semble que saveaway.exe est un utilitaire de Wooxo.

Ma question : avons-nous tapé juste en supprimant cette clé dans le registre ?
Merci encore de votre réponse.
Alain

[Malekal_morte]

ha oui autant pour moi, heureusement qu'on utilise FRST.

Fais un "fixlist.txt" avec ce contenu et tente de le passer, ça va remettre la clef.

RestoreQuarantine: C:\FRST\Quarantine