Windows 7 a été infecté par RSA 4096, fichiers en .crypt

[fab59260]

Bonjour,

je penses que Windows été infecté ce jour par RSA 4096.

Voici les fichiers générés avec FRST pouvez vous m'aider ? merci

[Malekal_morte]

Salut,


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
Startup: C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9C0E979C2899.lnk [1899-12-30]
ShortcutTarget: 9C0E979C2899.lnk -> C:\Users\FABRICE\AppData\Local\Temp\{2177CD56-E070-4D2D-B47F-935126188F36}\svchost.exe (Microsoft Corporation)
Startup: C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9C0E979C2899B.lnk [1899-12-30]
ShortcutTarget: 9C0E979C2899B.lnk -> C:\ProgramData\9C0E979C2899.bmp ()
Startup: C:\Users\FABRICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9C0E979C2899H.lnk [1899-12-30]
ShortcutTarget: 9C0E979C2899H.lnk -> C:\ProgramData\9C0E979C2899.html ()
2015-05-02 10:00 - 2015-05-02 10:02 - 0000088 __RSH () C:\ProgramData\67A3703A47.sys
1899-12-30 00:00 - 1899-12-30 00:00 - 3175254 ____T () C:\ProgramData\9C0E979C2899.bmp
1601-03-12 15:17 - 1601-03-12 15:17 - 0014193 _____ () C:\ProgramData\9C0E979C2899.html
2016-05-18 17:41 - 2016-05-18 17:41 - 0000528 ____T () C:\ProgramData\9C0E979C2899.key

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


2/ Pour la récupération des fichiers, tente la procédure donnée sur la fiche : Ransomware RSA4096 - CryptXXX .crypt.

[fab59260]

merci voici le fichier celas est il bon ? pourquoi malware a t il disparu des programmes résidents ?
il ne s'ouvre plus au démarrage de Windows ? merci

[Malekal_morte]

Une fois que les fichiers sont chiffrés, ça ne sert pas à grand chose de rester résident.
Celui la semble s'auto-supprimer oui.

[fab59260]

OK donc plus de crainte pour le moment ?
Est il bien de passer sur un MalawareBytes Premium ?
Détecte t il ce genre d'attaque ?

[Malekal_morte]

Avant d'acheter quoi que ce soit, regarde plutôt les conseils donnés tout au début de mon premier message.

[fab59260]

merci encore pour ton aide je vais donc dépenser en lisant tout ca ; concernant le décryptage ca n'a pas l'air de fonctionner, il me demande un équivalent puis me donne une erreur fichiers de taille différente ...

[Malekal_morte]

Tu as un fichier crypté et son équivalent ?
Essaye sur plusieurs fichiers différents, certains peuvent permettre de trouver une des clefs utilisées.

[fab59260]

Oui j'ai des équivalents, j'ai testé sur plusieurs types de fichiers mais tjrs une erreur.

[Malekal_morte]

hummm :/
Pas bon ça, peut-être qu'il y a une nouvelle version qui fait que la récupération ne fonctionne plus :/
Mets des fichiers en ligne pour voir si je peux tester et par la même t'aider.

[fab59260]

ce sont des mp3. comment faire ?

[Malekal_morte]

Je n'ai rien à ajouter de plus malheureusement.
Possible que l'outil de Kaspersky ne fonctionne plus.

[Malekal_morte]

C'est confirmé, le programme de Kaspersky ne fonctionne à nouveau pas.
Attendre de voir si une nouvelle version est donnée qui permet de récupérer les fichiers .crypt

[Malekal_morte]

Rannohdecryptor a été mis à jour, il y a 3 jours, retente le coup avec la dernière version.
=> https://support.kaspersky.com/viruses/u ... hdecryptor