virus ransomeware .wallet

[max.n]

Bonjour, tout d'abord je me présente,

Max, 25 ans, paysagiste de profession, ville: Poitiers

Pas super doué du tout pour ce qui concerne l'informatique et les problèmes qu'on peut y rencontrer, plutôt doué pour les travaux manuels à l'extérieur.

Ce matin en consultant les réseau sociaux comme twitter, je suis tombé sur un mauvais compte, qui m'a directement ensuite passé tous les fichiers présents sur mon PC en fichier .wallet

photos, documents, vidéos, musique.... j'ai également perdu tout mes identifiants sur chrome, mots de passe..

Je n'ai plus accès à rien de tout ça, première fois que ça m'arrive, mon PC à 1 an.

Ce qui m'inquiète également c'est que peu de temps avant ça, j'ai effectué un achat sur internet avec ma CB, j'espère que cela n'aura pas de conséquence, je prie pour.

J'ai donc procédé à une analyse FRST et voici mes liens:

FRST: https://pjjoint.malekal.com/files.php?i ... 10z9c14j11

Addition: https://pjjoint.malekal.com/files.php?i ... 7v9p6m12y5

Shortcut: https://pjjoint.malekal.com/files.php?i ... 13z11s5f12

Merci d'avance.

[angelique]

Bonjour/Bonsoir


Salut,

Mouaip :

[email protected] or [email protected]]-id-231C.wallet

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

Voir si cette solution fonctionne : viewtopic.php?f=98&t=57145&p=435947#p435947


~~

Tu as aussi le programme parasite Amazon Assistant.

Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Amazon Assistant
Java
QuickTime
WinZip
Wondershare Filmora
Wondershare Helper Compact

• Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Note explicative avec des captures d'écran.
  
  
  
  
  Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  
  puis sur ton clavier appuyer sur la touche CTRL + Y.
  
  Le bloc-note va s'ouvrir, copie/colle ceci.
  
  

  Code : Tout sélectionner

  R2 Amazon Assistant Service; C:\Program Files (x86)\Amazon\Amazon Assistant\amazonAssistantService.exe [105136 2017-10-04] ()
  Task: {63BAD4A8-16CC-4BF5-8384-1B7058941888} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
  Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update Notifier.lnk [2017-03-17]
  ShortcutTarget: Update Notifier.lnk -> C:\Program Files\WinZip\WZUpdateNotifier.exe (WinZip)
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Preloader.lnk [2017-03-17]
  ShortcutTarget: WinZip Preloader.lnk -> C:\Program Files\WinZip\WzPreloader.exe (WinZip Computing, S.L.)
  Startup: C:\Users\max86\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Manual StatMETEO.lnk [2016-08-28]
  ShortcutTarget: Manual StatMETEO.lnk -> C:\Users\max86\Documents\Manual StatMétéo160_GB.pdf (Pas de fichier)
  Startup: C:\Users\max86\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StatMETEO.lnk [2016-08-28]
  ShortcutTarget: StatMETEO.lnk -> C:\Users\max86\Documents\StatMETEO165.exe (Pas de fichier)
  CHR DefaultSearchURL: Default -> hxxp://srch.bar/{searchTerms}
  CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
  2017-12-19 14:47 - 2017-12-19 14:47 - 000000000 ____D C:\ProgramData\SWCUTemp
  2017-12-19 14:34 - 2017-12-19 14:34 - 000004913 _____ C:\ProgramData\vfiakfjk.zeu
  2017-12-19 14:34 - 2017-12-19 14:34 - 000000016 _____ C:\ProgramData\mntemp
  2017-12-15 23:08 - 2017-12-19 13:43 - 000000000 ____D C:\AdwCleaner
  2017-12-11 22:56 - 2017-12-15 22:32 - 000000000 ____D C:\Users\max86\AppData\Roaming\941D451DD1E9232415574
  2017-12-11 21:17 - 2017-12-15 22:32 - 000000000 __SHD C:\Users\max86\AppData\Roaming\emFiZXIxQrphYmJlci5ubwaa
  2017-12-09 16:33 - 2017-12-13 07:47 - 000000000 ___HD C:\Users\max86\AppData\Local\Taskinglore
  2017-12-09 16:22 - 2017-12-09 16:22 - 000000000 ____D C:\ProgramData\explorer
  2017-12-01 07:43 - 2017-12-15 22:32 - 000000000 ____D C:\WINDOWS\SysWOW64\oxkhxprh
  2017-12-19 07:23 - 2017-12-19 07:23 - 000325120 _____ () C:\Users\max86\AppData\Local\Temp\33A7.tmp.exe
  C:\Program Files (x86)\Amazon
  REG: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0617A4D9-7DDA-4100-9978-3BEBB44F5939}" /f
  Hosts:
  EmptyTemp:
  
  

• Ferme toutes les applications, y compris ton navigateur
• Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
• Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse
  
  ----------------------------

[max.n]

Merci pour ta réponse, j'ai donc procédé à la deuxième partie du message, j'ai supprimé: Amazon Assistant, Java, Quicktime, Winzip et les 2 Wondeshare.
Puis j'ai fait la manip dans FRST.exe
Voici le rapport de correction Fixlog.txt : https://pjjoint.malekal.com/files.php?i ... 1z15h14o13

Merci d'avance.

[angelique]

OK maintenant voit si https://files.avast.com/files/decryptor ... crysis.exe décrypte (sélectionne c:) tes fichiers .wallet

[max.n]

Non malheureusement ça ne fonctionne pas, je ne peux ouvrir mes fichiers .wallet pour les décrypter avec cette extension d'avast. Je n'ai accès qu'au dossier mais pas au fichier dans avast_decryptor.

[Malekal_morte]

Parce que ça doit être une nouvelle version qui corrige la faille qui permettait de récupérer les fichiers.
Du coup faut attendre en espérant qu'il y en ait une autre, sinon c'est mort pour tes fichiers.

[angelique]

Essaie celui là pour décrypter .wallet ➯ http://media.kaspersky.com/utilities/Vi ... ryptor.zip

[max.n]

Merci angelique, je l'ai installé, tenter de démarrer le décryptage de l'un de mes fichiers .wallet l'un des plus important sur mon PC juste pour exemple mais ça ne fonctionne pas.
Même chose pour une photo prise ou hasard ou un musique prise au hasard.
Il m'affiche le message: Unsupported encrypted file type à chaque fois.

Et lorsque je tente un décryptage avec avast Decryption tool for CrySis

il met à chaque fois: Invalid password or decryption key sous chaque fichier qu'il tente de décrypter.

[angelique]

>Donc pareil que Malekal

Parce que ça doit être une nouvelle version qui corrige la faille qui permettait de récupérer les fichiers.
Du coup faut attendre en espérant qu'il y en ait une autre, sinon c'est mort pour tes fichiers.

[max.n]

D'accord en tout cas merci pour votre aide. à voir si je parviens un jour à récupérer mes fichiers cryptés du coup ou ne serait-ce qu'une partie mais j'en doute.