[Clôt] Echec de YAFU sur le ransomware CryptXXX (.abc)

[lexross]

Bonjour,

Je sollicite votre aide car je suis un peu perdu avec la reprise de recherche de YAFU. Je m'explique, j'essaie de le relancer via cette ligne de commande yafu-x64.exe mais ensuite, c’est là que je galère...je ne sais pas quoi écrire comme renseignements pour qu'il continue la reprise de nfs. Voici ce que j'ai comme renseignement dans mon work.txt; et en piece jointe ce qu'il me dit avec runyafu.exe.

Merci d'avance pour votre aide.

Code : Tout sélectionner

================
= PrivateKeyBC =
================
SharedSecret1*PrivateKeyBC
hex 0CAE872538B203260BF3624B9608B252987972465BEBBA2D07D27B99F168D8EBC69016E6D48A2026C64958654137043CFEFF38BD4D4637DD356F7DC61C50DBB1
dec 664197123402887015778828463542192581230943831467804403675587028604071654115882242742178080825517004775698889233880843437141751891954807008110610283027377

PrivateKeyBC = 
PublicKeyBC = 042976B20E26DD6CE137115D03AEED83458E68BB204BF06251252EB0F09438CDCE224241CAB7517DEAFCA878A5704FCB6EF93BFF6F5F2AF8DA032C892482E26B5E

==================
= PrivateKeyFile =
==================

SharedSecret2*PrivateKeyFile
hex 5226250577C00E41BEE2F89B1D59953CFF81EC109D0C5D1BB617709617FA2C5464950302F13003F455A38DEFF0A4AED4EDA8DD9677B200B5BBEDD7EA9D401EE8
dec 4302492366524776518225389242567729574590148567843675127800501777374617944240000694097021908756602931576921014597012517919697078879602294824258590287601384

PrivateKeyFile = 
PublicKeyFile = 0419A798B3F0807B63A962F0AA38E395E7821C18A5D6244A6440C9769B79D36034726F6F0FBBE027B4278B54BDD9D005882789C9A3185CA2B68044E58B1ABDE615

[Malekal_morte]

Salut,

La récupération de fichiers de cette manière n'est plus nécessaire puisque l'auteur du Ransomware TeslaCrypt a publié la clé privée. Voir à la fin de la fiche TeslaCrypt : Fiche Ransomware TeslaCrypt et des outils pour décrypter les fichiers ont été publiées.

Ce ransomware n'est plus mis en ligne depuis Mai. Es-tu certains d'avoir eu ce celui-ci ?

Quelles sont les extensions des fichiers chiffrés ?

[lexross]

Bonjour Malekal,

Merci avant tout de m’éclairer sur le sujet
Les extensions des fichiers cryptés sont .abc et effectivement,j'ai cru comprendre que la clé était disponible,sauf que cela n'a pas marché chez moi, ça n'a rien décrypté,mais j'ai peut-être mal utilisé le programme , je vais retenter le coup. Je tiens au courant... Merci encore

Edit: Je viens de refaire la manipulation comme expliqué dans le lien http://forum.malekal.com/fiche-teslacrypt-t53943.html mais il ne décrypte toujours pas. J'ai regardé dans le log et il indique ceci;
SKIPPED - Header doesn't match with loaded key (Encrypted with different key)

[Malekal_morte]

Tu as été infecté quand ? Tu as le contenu des instructions de paiements ? Tu peux les donner ?

[lexross]

Il y a deux semaines environs que Windows a été infecté...je dis environs car ce n'est pas mon système, c'est celui d'une personne d'un âge respectueux qui ne connait pas grand chose et que j'essaie d'aider. C'est un Windows Vista et comme instructions de paiements, j'ai juste le fameux fond d'écran. Pas de fichiers txt ou autre...

[Malekal_morte]

D'après mon expérience, ce n'est pas TeslaCrypt. Cela ressemble plutôt à CryptXXX.
La récupération ne fonctionnera pas et il n'y a pas d'outils qui permet de récupérer.

Essaye avec les versions précédentes : tutorial Windows versions précédentes des fichiers

[lexross]

Je viens d'approfondir la recherche suite à tes infos et effectivement, elle a le ransomware Cryptxxx.

Pas de chance pour elle, un outil de Kaspersky pouvait l'aider (quoique...il demande une version "propre" d'un fichier et une "contaminée",ce qui dans son cas est difficile puisque pas de backup) mais elle a la version 3.1 de ce que j'ai pu comprendre,et il ne fonctionne pas pour cette version (pour l'instant ?).

Autre manque de chance, sa restauration n'a rien donné,ses fichiers étaient cryptés aussi,et enfin pour finir le logiciel "Shadow Explorer" ne fonctionne pas...il ne "voit" rien,mystère car les points de restaurations sont là...

En définitive,je crois que je vais lui sauvegarder tous les fichiers importants dans l’espoir qu'un jour une application pourra les décrypter et lui faire en attendant une réinstallation propre et lui donner un cours sur la sécurité informatique

Un énorme remerciement pour ton aide, Malekal,c'est vraiment très apprecié

[Malekal_morte]

Les ransomwares désactivent certaines fonctionnalités de Windows, notamment la possibilité de restaurer les versions précédentes des fichiers. Seuls les fichiers chiffrés reste accessibles, les originaux sont donc écrasés.

Pour mieux protéger le système à l'avenir : lire Comment se protéger des scripts malicieux sur Windows. Installe MARMITON. Lire aussi Comment sécuriser mon Windows surtout la partie sur les exploits WEB.