Ransomware Zeppelin (Buran) [résolu]

[croac]

Bonsoir,

Je viens ce soir pour faire appel à vos connaissances, j'ai été infecté par le Ransomware Zeppelin (Buran).
J'ai réussi à l'éradiquer, enfin je pense, à l'aide de RogueKiller et quelques autres outils pour faire le ménage !
Cela dit, ce Ransomware Zeppelin (Buran) a encrypté quelques fichiers avec l'extension .payfast290 suivi d'un ID (.849-11F-13D) qui m'a été attribué pour la rançon !
Ma question est : connaissez-vous un logiciel pour décrypter mes fichiers ?
J'en ai essayé quelques-un mais ces dernier ne connaissent pas ce Ransomware, et donc ne peuvent rien faire pour moi.

Merci pour toute aide que vous pourrez m'apporter.

Bonne soirée.

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[croac]

Salut,

Merci de me venir en aide.

Voici le lien vers l'identification du ransomware :

Ransomware_Zeppelin.jpg

Voici les liens FRST demandés :

KHzxKCd3W0q_FRST.txt

KHzxNiHHhSq_Addition.txt

Merci.

[Malekal_morte]

Tu as infecté ton PC en téléchargeant un crack
Plein de Trojan.
Tes mots de passe ont été volés.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {44F59FCD-49D5-42B8-AD68-F38A4C212CF1} - System32\Tasks\frcli => C:\ProgramData\fqepblv\frcli.exe <==== ATTENTION
Task: {5E111771-F3AF-430E-98F1-9C8B822C3936} - System32\Tasks\jwqu => C:\ProgramData\jdvoic\jwqu.exe <==== ATTENTION
Task: {C132B1AF-97B5-4BB3-9240-D5CE912E5500} - System32\Tasks\Microsoft\Windows\AppID\CNBpi32 => rundll32 "C:\Program Files (x86)\RealCleanup\VroupYwugin\wdcMzdel_stpfs.dll",Tenhgrinfegistxu_l1_2_0
2021-08-25 04:17 - 2021-08-25 04:17 - 000000000 ___HD C:\ProgramData\Jirci
2021-08-25 02:07 - 2021-08-25 12:05 - 000000000 ____D C:\Program Files (x86)\ZHPFix
2021-08-24 23:44 - 2021-08-24 23:44 - 000000000 ____D C:\Users\Public\lfkjlnd0.default-1445725138985
2021-08-24 23:13 - 2021-08-24 23:13 - 000001046 _____ C:\Users\JOE\Desktop\!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
2021-08-24 23:06 - 2021-08-24 23:07 - 000000000 ____D C:\Program Files (x86)\Sofware IN LLC
2021-08-24 23:06 - 2021-08-24 23:07 - 000000000 ____D C:\Program Files (x86)\MaskVPN
2021-08-24 23:06 - 2021-08-24 23:06 - 001564823 _____ C:\ProgramData\4446
2021-08-24 23:06 - 2021-08-24 23:06 - 000003320 _____ C:\WINDOWS\system32\Tasks\frcli
2021-08-24 23:05 - 2021-08-25 02:08 - 000000000 ____D C:\ProgramData\fqepblv
2021-08-24 23:05 - 2021-08-24 23:06 - 000000000 _____ C:\ProgramData\Gskyj.tmp
2021-08-24 23:05 - 2021-08-24 23:05 - 001399296 ____H C:\Users\JOE\Documents\DOUJ_W~1.EXE.dll
2021-08-24 23:00 - 2021-08-24 23:00 - 004176568 _____ (Realtek Semiconductor Corp.) C:\Users\JOE\Documents\vxBaAgpMiPRaL3RTaJhOVWA0.exe
2021-08-24 23:00 - 2021-08-24 23:00 - 001810820 _____ (Company ) C:\Users\JOE\Documents\sTX_gyDBjvhbZgl55yIqmupy.exe
2021-08-24 23:00 - 2021-08-24 23:00 - 000774144 _____ (ExTypesRustIRpir) C:\Users\JOE\Documents\sHZjoj_3Oe8EkRHug9leQimT.exe
2021-08-24 22:59 - 2021-08-24 23:00 - 000270336 _____ C:\Users\JOE\Documents\VwF_fItBFFDlcoKsULLkexCG.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 004558376 _____ C:\Users\JOE\Documents\XaFSlRCzf4EOd6lSba_CdFs5.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 002495928 _____ (Realtek Semiconductor Corp.) C:\Users\JOE\Documents\lSZwUubNHYs0yAWnZsNY4eYV.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000945152 _____ (xiaoxia.de) C:\Users\JOE\Documents\lEqS_oAwwUUcD0IAw9fRllFR.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000922112 _____ (Microsoft Corporation) C:\Users\JOE\Documents\pYb57yp09aUPQ0i8fbcPsuSu.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000314728 _____ C:\Users\JOE\Documents\VPcu3U0GuC8gyedLT58U32jH.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000177152 _____ C:\Users\JOE\Documents\yc0xst3VrAsNNsS1K7nQ6etU.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000109568 _____ C:\Users\JOE\Documents\ZehhPlnDWBceniNMSN8E667Y.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000092672 _____ C:\Users\JOE\Documents\PdUAurV7oJKCbWdO4L3ehK1U.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000000273 _____ C:\Users\JOE\Documents\rTCLb_LtZIQvq_VGx8acvmm0.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000000223 _____ C:\Users\JOE\Documents\rgPiqFbHjBz4IfnehyVbkBXn.exe
2021-08-24 22:59 - 2021-08-24 22:59 - 000000223 _____ C:\Users\JOE\Documents\NHoqdgi8BZ9tCxxow9Y30ubA.exe
2021-08-24 22:58 - 2021-08-24 22:58 - 013318780 ___SH (Disc Soft Ltd) C:\Users\JOE\Documents\Update.exe
2021-08-24 22:58 - 2021-08-24 22:58 - 001564823 _____ C:\ProgramData\6984
2021-08-24 22:58 - 2021-08-24 22:58 - 000000000 ____D C:\Users\JOE\AppData\Local\Yandex
2021-08-24 22:58 - 2021-08-24 22:58 - 000000000 ____D C:\Program Files (x86)\GameBox INC
2021-08-24 22:57 - 2021-08-24 22:57 - 000000000 ____D C:\Users\JOE\AppData\Roaming\hyperc
2021-08-24 22:56 - 2021-08-25 02:08 - 000000000 ____D C:\ProgramData\jdvoic
2021-08-24 22:56 - 2021-08-24 22:59 - 001117696 ____H C:\Users\JOE\Documents\mNiRV_wpWc4yaX6bZZjle2yw.exe
2021-08-24 22:56 - 2021-08-24 22:57 - 000000238 ____H C:\WINDOWS\Tasks\jwqu.job
2021-08-24 22:56 - 2021-08-24 22:56 - 004176568 _____ (Realtek Semiconductor Corp.) C:\Users\JOE\Documents\XgjgDtkFSLwkVtRlzwUck1sa.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 003674040 _____ (Realtek Semiconductor Corp.) C:\Users\JOE\Documents\xd4nU93ua4_zG6yaWnfArzQk.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 002747832 _____ (Realtek Semiconductor Corp.) C:\Users\JOE\Documents\TtDX64mFOsd1W_9zZZS46R7J.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 001564823 _____ C:\ProgramData\4953
2021-08-24 22:56 - 2021-08-24 22:56 - 001399296 ____H C:\Users\JOE\Documents\MNIRV_~1.EXE.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 001397355 _____ C:\Users\JOE\Documents\sgm5Wql8X9UkV0DcEY9uUN7e.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000774144 _____ (ExTypesRustIRpir) C:\Users\JOE\Documents\kCay6u3SgS7EP7kVoNOy1EQg.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 000599040 _____ C:\Users\JOE\Documents\Rkrluy2nJ5fUKPlZumL7GLlA.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 000390772 _____ (GameBox INC ) C:\Users\JOE\Documents\x6gP8pF0au9gjOn9XMNnrjGw.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000003314 _____ C:\WINDOWS\system32\Tasks\jwqu
2021-08-24 22:56 - 2021-08-24 22:56 - 000000273 _____ C:\Users\JOE\Documents\sN_Jt6MEKM_8aNQtvqmrJ6Sp.exe
2021-08-24 22:56 - 2021-08-24 22:56 - 000000000 ____D C:\Users\JOE\AppData\Local\Volage
2021-08-24 22:55 - 2021-08-24 22:55 - 000922112 _____ (Microsoft Corporation) C:\Users\JOE\Documents\yWMZZYjGxsozKEFTrTeJJUuk.exe
2021-08-24 22:55 - 2021-08-24 22:55 - 000569856 _____ C:\Users\JOE\Documents\TEgUiNLtjbg3FYmQLB6C_K_F.exe
2021-08-24 22:55 - 2021-08-24 22:55 - 000314728 _____ C:\Users\JOE\Documents\K8m6zSwxzdItz3vstcgGEmHp.exe
2021-08-24 22:55 - 2021-08-24 22:55 - 000092672 _____ C:\Users\JOE\Documents\RATXKcjhg7XFj1MnxPeFzYZh.exe
2021-08-24 22:55 - 2021-08-24 22:55 - 000000223 _____ C:\Users\JOE\Documents\mzlQhQeejX1v7pXDiFcAEco3.exe
2021-08-24 22:51 - 2021-08-24 22:51 - 000000000 ____D C:\Users\JOE\AppData\LocalLow\aD1rF3aM8r
2021-08-03 22:22 - 2021-08-04 01:16 - 221970432 _____ C:\Users\JOE\Downloads\WINDOWS 10 PRO 2104 21H1 Build (19043.1052) X64 FR TEAM WORK.....www.wawacity.bz.iso
2021-08-24 22:56 - 2021-08-24 22:56 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2021-08-24 22:56 - 2021-08-24 22:56 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
2020-10-14 10:42 - 2020-10-14 10:42 - 000273408 ___SH () C:\Users\JOE\AppData\Roaming\atcacad
2020-10-14 10:42 - 2020-10-14 10:42 - 000321226 ___SH () C:\Users\JOE\AppData\Roaming\bjbafbi
2020-10-14 10:42 - 2020-10-14 10:42 - 000181760 ___SH () C:\Users\JOE\AppData\Roaming\ggcacad
2020-10-14 10:42 - 2020-10-14 10:42 - 000177152 ___SH () C:\Users\JOE\AppData\Roaming\igcacad
2019-11-27 09:34 - 2020-09-25 10:00 - 000000543 _____ () C:\Users\JOE\AppData\Roaming\JOE-PC.MTBF.txt
2020-10-14 10:42 - 2020-10-14 10:42 - 000449352 ___SH () C:\Users\JOE\AppData\Roaming\sbfscgb
2019-11-27 09:41 - 2019-11-27 09:41 - 000003584 _____ () C:\Users\JOE\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2019-09-12 14:21 - 2019-09-12 14:21 - 000000000 _____ () C:\Users\JOE\AppData\Local\oobelibMkey.log
2019-12-02 01:22 - 2019-12-02 01:22 - 000000017 _____ () C:\Users\JOE\AppData\Local\resmon.resmoncfg
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Microsoft Edge
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[croac]

Bonsoir,

Après avoir effectué les 3 premiers points, voici les liens FRST demandés en 4ème point :

FRST.txt

ADDITION.txt

SHORTCUT.txt

Bonne soirée.

Merci.

[Malekal_morte]

Ca doit être bon.
Fais des analyses MBAM ces prochains jours.

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.


Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[croac]

Salut et merci,

Existe t-il un outil pour décrypter mes fichiers cryptés par ce ramsomware ?

Merci

[Malekal_morte]

Je pense pas vu qu'il est récent, enfin à vérifier.
Voir ces liens :
viewtopic.php?f=98&t=57145
https://www.malekal.com/ransomware-solu ... -fichiers/

[croac]

Merci à toi !

[Malekal_morte]

De rien et bon WE !