[Clôt] Windows 10 est infecté, fichiers en otage, *.wallet

[ced007]

Bonjour,

Je me suis fait pirater mon Windows 10 ou bien j'ai ouvert un mauvais fichier.
Tous les fichiers de mon disque dur sont pris en otage par un Ransomware, ils ont été renommés en *.wallet

ex: ANNEXE 2.docx.[[email protected]].wallet

J'ai bien tenté les utilitaires de kaspersky/nod32/TeslaDecoder mais rien ne fonctionne.

Quelqu'un a déjà eu ce genre d’extension? Un petite solution?
Merci

[Malekal_morte]

Salut,

Tesladecoder c'est pour la variante TeslaCrypt... toi tu as une autre variante.

Essaye Les versions précédentes avec Shadow Explorer.

Sinon c'est mort,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.


Pour vérifier si le ransomware est encore actif.

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[ced007]

Bon les versions précédentes ne donne rien (vide).

Donc j'ai effectué un scan FRST:
Voici les rapports:

- FRST : http://pjjoint.malekal.com/files.php?id ... 14e12l5t15
- Addition.txt : http://pjjoint.malekal.com/files.php?id ... 3e14r7n146
- Shortcut.txt: http://pjjoint.malekal.com/files.php?id ... 8o13m13z14

Merci pour votre aide.

[Malekal_morte]

ok,
Deux étapes à réaliser.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Task: C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => C:\Users\JROME~1\AppData\Roaming\3831F7~1\Updane.exe <==== ATTENTION
Task: {2C5B588A-5814-412A-9914-EE4A437C9072} - System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461\Updane.exe [2013-04-19] ()
2016-11-28 06:13 - 2016-11-28 06:13 - 00019609 _____ C:\Users\Jérome\AppData\Roaming\Loharac
2016-11-28 06:13 - 2016-11-28 06:13 - 00002836 _____ C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}
2016-11-28 06:13 - 2016-11-28 06:13 - 00000296 _____ C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job
2016-11-28 06:13 - 2016-11-28 06:13 - 00000000 ____D C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461
HKLM-x32\...\RunOnce: [Curadefa] => C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B "C:\Users\JROME~1\AppData\Roaming\Loharac"

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur [http://upload.malekal.com/]

[ced007]

Voici mon fichier:

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27-11-2016
Exécuté par Jérome (28-11-2016 15:06:29) Run:1
Exécuté depuis D:\Jérome\Desktop
Profils chargés: Jérome (Profils disponibles: Jérome & UpdatusUser)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
Task: C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => C:\Users\JROME~1\AppData\Roaming\3831F7~1\Updane.exe <==== ATTENTION
Task: {2C5B588A-5814-412A-9914-EE4A437C9072} - System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461\Updane.exe [2013-04-19] ()
2016-11-28 06:13 - 2016-11-28 06:13 - 00019609 _____ C:\Users\Jérome\AppData\Roaming\Loharac
2016-11-28 06:13 - 2016-11-28 06:13 - 00002836 _____ C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}
2016-11-28 06:13 - 2016-11-28 06:13 - 00000296 _____ C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job
2016-11-28 06:13 - 2016-11-28 06:13 - 00000000 ____D C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461
HKLM-x32\...\RunOnce: [Curadefa] => C:\WINDOWS\SysWoW64\wscript.exe /E:vbscript /B "C:\Users\JROME~1\AppData\Roaming\Loharac"
*****************

C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2C5B588A-5814-412A-9914-EE4A437C9072}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C5B588A-5814-412A-9914-EE4A437C9072}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3831F7C9-D61B-B49D-1FC8-110A4077C461}" => clé supprimé(es) avec succès
C:\Users\Jérome\AppData\Roaming\Loharac => déplacé(es) avec succès
"C:\WINDOWS\System32\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}" => non trouvé(e).
"C:\WINDOWS\Tasks\{3831F7C9-D61B-B49D-1FC8-110A4077C461}.job" => non trouvé(e).
C:\Users\Jérome\AppData\Roaming\3831f7c9d61bb49d1fc8110a4077c461 => déplacé(es) avec succès
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\Curadefa => valeur supprimé(es) avec succès

==== Fin de Fixlog 15:06:30 ====

[Malekal_morte]

ok, fais l'envoi étape 2 =)

[ced007]

C'est fais...
J'ai du redémarrer en mode sans échec certain fichier étaient verrouillés
fichier: Quarantine.zip

[Malekal_morte]

ok

histoire de :

MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
* Tutoriel MBAM version gratuite
* Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Créer un point de restauration.

Télécharge et installe MBAR,
Mets le à jour, fais un "scan rapide", supprime tout,
Enregistre le rapport sur http://pjjoint.malekal.com/ et donne le lien pjjoint ici.

[ced007]

Voici le rapport de malwrebayte:

http://pjjoint.malekal.com/files.php?id ... _d8c9u9h99


Rapport mbar...masi il y avait rien:

http://pjjoint.malekal.com/files.php?id ... 15u8f15o14

Merci

PS: je peux envoyer un fichier corrompu si tu veux?

[Malekal_morte]

Je ne pense pas que je puisse récupérer les fichiers corrompus.
Vu le mail, je dirai que c'est le même genre de variantes que là : BandarChor / Criakl / Rakhni (Crypto-Ransomware)

[ced007]

Il y a rien a faire?
Aucun moyen de décrypter les fichiers?
Je ne dois pas être le seul avec le type d’extension?
Encore merci pour ton aide

[Malekal_morte]

Normalement non.
L'utilitaire Kaspersky pour ce type de ransomware est : http://support.kaspersky.com/fr/10556

[ced007]

Bon j'ai testé avec l'utilitaire de Kaspersky et bien c'est pareil... Merci pour votre aide!!
J'espère quand même trouver une solution car j'ai tout perdu et pas de sauvegardes...

[Malekal_morte]

Bon courage

[Malekal_morte]

Avast! a sorti un Decrypter pour une partie de cette famille de ransomware Crysis Decrypter Tool.