Ecran bleu avec message All of your files are encrypted

[Versac31]

Bonsoir,bonjour à tous,

Je suis infecté par le message "All your files are encrypted"....J'ai lancé FRST et j'ai le rapport sur mon bureau. Pourriez vous m'indiquer ce que je dois faire avec ce rapport?

Je vous en remercie par avance

[Versac31]

Re bonsoir bonjour à toutes et à tous…..,voici les liens des rapports:

https://pjjoint.malekal.com/files.php?i ... k1014v6l15

https://pjjoint.malekal.com/files.php?i ... j9c10t15h9



voici les rapports suite à l'infection "All of your files are encrypted"



Merci encore à vous toutes et à vous tous.

[Malekal_morte]

Salut,


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Le ransomware n'est plus actif.

~~

Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

AVG AntiVirus Gratuit
Avira
CCleaner

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2020-07-26 08:35 - 2020-07-26 08:35 - 000007176 _____ () C:\Program Files\zb016d-readme.txt
2020-07-26 08:35 - 2020-07-26 08:35 - 000007176 _____ () C:\Program Files (x86)\zb016d-readme.txt
2017-01-10 22:59 - 2017-01-10 22:59 - 000007609 _____ () C:\Users\Utilisateur\AppData\Local\Resmon.ResmonCfg
2020-07-26 08:33 - 2020-07-26 08:33 - 001373641 _____ () C:\Users\Utilisateur\AppData\Local\uvsknwhpbsz.txt
2018-10-20 14:51 - 2018-10-20 14:51 - 000000000 _____ () C:\Users\Utilisateur\AppData\Local\{C983E852-F932-461F-AEA8-49CE5CC3B304}
2018-10-22 12:34 - 2018-10-22 12:34 - 000000000 _____ () C:\Users\Utilisateur\AppData\Local\{FA65A707-F8F3-40BF-98B9-DD8BFA1B665D}
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Versac31]

Bonjour à toi,

Tout d'abord je tiens à te remercier pour ton aide.

J'ai suivi tes instructions mais j'ai eu quelques soucis: en lançant FRST et le bloc-notes,j'ai eu toute un série de pages de blocs notes ouvertes sur mon bureau.Elles sont d'ailleurs restées toutes sur mon bureau.
Puis,en lançant la correction je crois que celle-ci à échouer:le rapport a tété rapide.Je ne peux hélas plus l'ouvrir,ni FRST car ils m'indiquent que je n'ai pas d'autorisation..Qu puis je faire?

[Versac31]

Re…...Après redemarrage sans échec voici le copier/coller du rapport du bloc notes



de correction de Farbar Recovery Scan Tool (x64) Version: 28-07-2020
Exécuté par Utilisateur (28-07-2020 13:39:48) Run:3
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
2020-07-26 08:35 - 2020-07-26 08:35 - 000007176 _____ () C:\Program Files\zb016d-readme.txt
2020-07-26 08:35 - 2020-07-26 08:35 - 000007176 _____ () C:\Program Files (x86)\zb016d-readme.txt
2017-01-10 22:59 - 2017-01-10 22:59 - 000007609 _____ () C:\Users\Utilisateur\AppData\Local\Resmon.ResmonCfg
2020-07-26 08:33 - 2020-07-26 08:33 - 001373641 _____ () C:\Users\Utilisateur\AppData\Local\uvsknwhpbsz.txt
2018-10-20 14:51 - 2018-10-20 14:51 - 000000000 _____ () C:\Users\Utilisateur\AppData\Local\{C983E852-F932-461F-AEA8-49CE5CC3B304}
2018-10-22 12:34 - 2018-10-22 12:34 - 000000000 _____ () C:\Users\Utilisateur\AppData\Local\{FA65A707-F8F3-40BF-98B9-DD8BFA1B665D}
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
C:\Program Files\zb016d-readme.txt => déplacé(es) avec succès
C:\Program Files (x86)\zb016d-readme.txt => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\Resmon.ResmonCfg => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\uvsknwhpbsz.txt => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{C983E852-F932-461F-AEA8-49CE5CC3B304} => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\{FA65A707-F8F3-40BF-98B9-DD8BFA1B665D} => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

[Malekal_morte]

La correction est bonne.
Du coup, je n'ai rien à ajouter à part ma première réponse.
A savoir attendre une solution (outil de decryptage, etc).

Par sécurité, change tous tes mots de passe,

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[Versac31]

Ben mon PC ne fonctionne toujours pas,hein….Qu"entends tu par outil de décryptage?

[Malekal_morte]

Tu entends quoi par "Mon PC ne fonctionne toujours pas" ?

Que ce soit clair.
"All of your files are encrypted" ça fait penser à un ransomware.
A savoir tes fichiers sont chiffrés, changement d'extensions et inaccessibles.
Le pirate te demande de payer une somme pour avoir la clé de décryptage et retrouver l'accès à tes fichiers.
(voir le lien sur les explications sur les ransomwares).

L'accès à tes documents n'est plus possible ou tu as simplement un message bleu qui t'a dit ça ?
C'était sur Windows ? le navigateur WEB ?
Ca continue ?

[Versac31]

Bonjour,

Eh bien, sur chaque fichier de mon bureau, j'ai le nom qui se termine par zb016d....C'est d'ailleurs en voulant les ouvrir avec la barre d'application que j'ai eu mon problème...j'ai lancé une analyse avec kasprsky.....Pas de rootkits trouvés,mais un virus supprimé...Jusqu'à présent il m'est impossible de télélcharger n'importe quel programme...Comprends tu mieux mon problème..?

[Malekal_morte]

Donc c'est bien un ransomware.
Dans ce cas, je te renvoie sur ma première réponse.
Lis bien le dossier pour comprendre.