Ransomware avec extension .co

[niskaka]

Bonjour à tous,

Hier je me suis rendu compte que Windows Defender était désactivé, je alors procédé à son activation et j'ai aperçu dans les notifications qu'il avait détecté trois ou quatre chevaux de Troie j'ai alors procéder à la mise en quarantaine puis à la suppression et à ma grande surprise certains de me fichier ce sont retrouvés chiffré (tout mon disque E:\ sauf les dossiers program files, les dossiers personnelles se trouvant dans C:\Users\, et quelques fichiers sur le disque D:\ par contre tout ce qui est sur la freebox (Z:\) est aussi chiffré donc tous les enregistrements etc...
J'ai bien entendu le fameux message avec une adresse email pour contacter le pirate dans chaque dossier.

Merci d'avance

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[niskaka]

Merci de m'avoir répondu aussi vite, j'ai oublié de dire qu’après avoir subi cette attaque j'ai aussitôt installé Avast, j'ai aussi fait une analyse complète avec MBAM et Avast.
Selon id-Ransomware il s'agit de Scarab :



Voici les trois fichiers textes :

https://pjjoint.malekal.com/files.php?i ... 7v14n10s13
https://pjjoint.malekal.com/files.php?i ... 3c8k5c7g11
https://pjjoint.malekal.com/files.php?i ... 11m12d13p6

[Malekal_morte]

Je veux bien le contenu de ce fichier pour voir : C:\Users\Yacine\HOW TO RECOVER ENCRYPTED [email protected]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-340509980-2226941275-528872201-1001\...\RunOnce: [Application Restart #1] => C:\Windows\SysWOW64\mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('system.exe').Path;o.RegWrite('H (l'élément de données a 91 caractères en plus).
Startup: C:\Users\Yacine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Deluge.lnk [2017-12-27]
Hosts:
RemoveProxy:
Reboot:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[niskaka]

Voici le contenu du fichier texte :

Code : Tout sélectionner

====================================================================================================
					[email protected]
====================================================================================================
Your files are encrypted!
Your personal identifier:
6A0200000000000056D6C3341D92010E84400803BF046529F0FF8FDD7889D1280B6D0723E66E24EFA4F2E9758E26321D7B77
A5E8B9C89A995DA96EAAA6DFDBA97BAFE322D22769ECDE7CADCC794D2327A243CCD9C8EE77717BB662BADB9AE7CE984477CB
CCF3BCF571A92753CBF870D126EAB7CC7BB839DDE5BEE847DB4E3CDCD72BAFBDAF671245049EA3A56FA06B2BC31B7EE6380D
21D29CE828E1916AA75C93D7CEBAC62DE25B48118AEA880FD180C073B885DDB75956560285BC70E085A79E9F8A3BB4EA2332
8A84D9077446790EE9CCC40E400AEADB3537EF7A96504A832709EA7BD5646641B7149C03F9C221B0E4AEACC84B08206018C1
7E21B620ED84DEE581BE76D78162ABF5B04031FCAD37974C3BAA8FFB6B2EC3B402A1AF4EECC02A92ACA9E803580FFBFEB403
723A4C1F49F95DB6074DD41FCDD8FDB3E134D64D10F6F103
====================================================================================================
To decrypt files, please contact us by email:
[email protected]
====================================================================================================
reserve:
[email protected]
====================================================================================================

et voici le contenu du fichier Fixlog.txt

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 19.04.2018
Exécuté par Yacine (20-04-2018 22:59:59) Run:1
Exécuté depuis C:\Users\Yacine\Desktop\FRST x64
Profils chargés: Yacine (Profils disponibles: Yacine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-340509980-2226941275-528872201-1001\...\RunOnce: [Application Restart #1] => C:\Windows\SysWOW64\mshta.exe "javascript:o=new ActiveXObject('WScript.Shell');x=new ActiveXObject('Scripting.FileSystemObject');setInterval(function(){try{i=x.GetFile('system.exe').Path;o.RegWrite('H (l'élément de données a 91 caractères en plus).
Startup: C:\Users\Yacine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Deluge.lnk [2017-12-27]
Hosts:
RemoveProxy:
Reboot:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-340509980-2226941275-528872201-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Application Restart #1" => supprimé(es) avec succès
C:\Users\Yacine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Deluge.lnk => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-340509980-2226941275-528872201-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-340509980-2226941275-528872201-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 23:00:07 ====

[Malekal_morte]

Refais un scan FRST et donne les rapports pour s'assurer qu'il n'y a plus rien.

[niskaka]

Voici le nouveau scan :

Addition.txt : https://pjjoint.malekal.com/files.php?i ... r5o10r5p12
FRST.txt : https://pjjoint.malekal.com/files.php?i ... t7z7q12w12
Shortcut.txt : https://pjjoint.malekal.com/files.php?i ... 11b7b10l69

[Malekal_morte]

ok ça doit être bon, change tes mots de passe.
Pas de solution pour récupérer les données, à part les versions précédentes mais normalement le ransomware les a désactivées.
=> https://www.malekal.com/versions-preced ... s-windows/

[niskaka]

Petite absence, je crois avoir arrêté le ransomware avant qu'il ne puisse les désactiver, j'avais activé la restauration système seulement pour le disque C:\, de toute façon je n'ai rien d'important à récupérer sur ce disque. Je pense que je vais ré-installer Windows 10 par précaution.