Crypto extension .CILLA

[Josolive]

Bonjour,
Je viens vers vous pour un petit coup de main pour désinfecter et si possible récupérer les fichiers qui ont été encrypter.
Voici le fichier texte fourni par le hacker.

☠ YOUR FILES ARE ENCRYPTED! ☠
ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.

To recover data you need decryptor.
To get the decryptor you should:
Send 1 test image or text file [email protected] or [email protected].
In the letter include your personal ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!

Only [email protected] and [email protected] can decrypt your files
Do not trust anyone [email protected] and [email protected]
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders other users are not compatible with your data, because each user's unique encryption key

Avant de tenter quoi que ce soit je préfère avoir un avis d'une personne qui si connait bien mieux.
Au besoin je pourrais fournir des fichiers infecter en .CILLA.
D'avance merci.
Cordialement,
Josolive.

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Josolive]

Alors je n'ai pas pu faire l'identification du crypto sur le site donner car après avoir mis les fichier qu'ils demandent et cliquer sur envoyer, j'ai une réponse comme quoi la page ne fonctionne pas.

Voici les rapports FRST:

Lien FRST.txt https://pjjoint.malekal.com/files.php?i ... 14t11e15l5
Lien Additon.txt https://pjjoint.malekal.com/files.php?i ... 9v13z10s10
Lien Shortcut.txt https://pjjoint.malekal.com/files.php?i ... 1u13z12j12

Et encore merci de votre aide.

[Malekal_morte]

Retente plus tard des fois que le site a un problème :/

Envoie ce fichier C:\wsession\logonsession.exe sur https://www.virustotal.com
Donne le lien de scan ici.

[Josolive]

Je renterai demain du coup car toujours pas dispo.

Voici le lien pour VirusTotal:
https://www.virustotal.com/gui/file/ff9 ... /detection

[Malekal_morte]

ok il ne semble plus actif.
Tu peux faire une analyse de contrôle avec NO32 pour s'en assurer.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

Si c'est ok, tu 'nas plus qu'à attendre une solution de récupération de fichiers ou remettre des sauvegardes.

[Josolive]

Voici le rapport effectué avec Nod32.
https://pjjoint.malekal.com/files.php?i ... 7h13m11d11

[Malekal_morte]

ok il a viré la plupart des notices de paiements.
du coup ça doit être bon.
Plus qu'à attendre une solution pour récupérer les fichiers.
Ca peut durer des mois.

En attendant, change les mots de passe des sites WEB.


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

1) Comment se protéger des scripts malicieux sur Windows
et limiter PowerShell : Les virus Powershell

2) Firewall Windows : les bon réglages

3) ublock sur ton navigateur internet


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
surtout contre les par des exploits WEB.

[Josolive]

Merci bien pour toute cette aide.
Je viens de procéder à la réinstallation complète du système sur un autre SSD pour pouvoir garder au cas où, celui qui est infecter.
(mais bien peur qu'aucune solution pour le décrypter n'arrive).
Pour les mdp des site web et logiciel y'en avait qu'un seul du coup rapide à changer.
Merci pour les tutos, je vais les lire tranquillement ce week-end.

Merci et bonne journée.

[Malekal_morte]

De rien et bon courage !
Attention à ce que tu télécharges !


Quelques conseils :

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

1) Comment se protéger des scripts malicieux sur Windows
et limiter PowerShell : Les virus Powershell

2) Firewall Windows : les bon réglages

3) ublock sur ton navigateur internet