Fichiers corrompus par ransonware STOPDjvu [résolu]

[Fonzie94]

Bonsoir,

J'ignore comme cela a pu se produire mais je me suis fait piéger par un ransoware

Ce truc est parvenu à récupérer certains mots de pass de mes boites mail que j'ai bien sûr modifié après traitement par Esset.
J'ai vidé mes fichiers TMP
J'ai utilisé Malwarebytes Anti-Malware (MBAM), CCleaner...

Cela semble être corrigé, en revanche tous les fichiers de tous mes disques dur se sont transformé en fichier "tuis"

Y'aurait-il un moyen de les sauver SVP ?

Merci d'avance

[Parisien_entraide]

Bonjour,

Avant tout il faut identifier précisément le ransomware C'est à priori de la catégorie STOP/DJVU mais à confirmer

https://id-ransomware.malwarehunterteam.com/


Le soucis c'est que tu viens ici et que tu sembles avoir tout viré

Normalement, n'y a pas de décryptor et tous les sites qui affirment le contraire font dans l'arnaque (surtout avec des vrais/faux programmes)

Avec un peu de chance, surtout lors d'arrestations, les autorités récupèrent tout ce qu'il faut pour qu'ensuite si cela est possible qu'un décrypteur voit le jour

viewtopic.php?f=33&t=57145 (la liste des décrypteurs est à jour)


L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Ré-utilise ID Ransomware de temps en temps afin de l'identifier.
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos sans garantie de résultats : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)


Mais avant de changer les mots de passe, parce que les ransomwares actuels, essaient d'abord de voler tout un tas de données dont les login et mot de passe, puis ensuite crypte les données

il faut donc s'assurer qu'il ne reste pas de traces d'un keylogger etc
Ensuite après analyse des rapports FRST et nettoyage si besoin effectué, lis ce lien https://www.malekal.com/ransomwares-ran ... -proteger/

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case qui figure sur l'écran d'accueil
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[Fonzie94]

Bonsoir et encore merci pour votre aide

Pour info je ne suis pas parvenu à récupérer mes données depuis decrypt_STOPDjvu_2.exe
Je suis parvenu une seule fois à récupérer certains fichiers à l'aide de qphotorec_win.exe (testdisk-7.1)




https://pjjoint.malekal.com/files.php?i ... 6m9m6i8b10
https://pjjoint.malekal.com/files.php?i ... e11i9u11z5
https://pjjoint.malekal.com/files.php?i ... s6o15f12x5

[Malekal_morte]

Le rapport FRST.txt est incomplet, tu n'as pas laissé le scan aller au bout.
Suis ces instructions, relance le scan FRST et laisse le aller au bout.
Ensuite donne les rapports.

Désinstalle tout, ça ne sert à rien, à part encombrer et ralentir le PC :

Avira Phantom VPN
Avira Security
Avira System Speedup
CCleaner
Driver Booster
Glary Utilities PRO

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
2022-10-28 18:08 - 2021-12-23 18:11 - 000000000 ____D C:\ProgramData\iTop VPN
2022-10-28 18:08 - 2021-12-23 18:11 - 000000000 ____D C:\ProgramData\{150F4013-6884-4350-8DDC-6BFCB4C5DC15}
2022-10-28 18:08 - 2021-12-02 22:32 - 000000000 ____D C:\ProgramData\iTop
2022-10-28 18:08 - 2021-08-21 18:18 - 000000000 ____D C:\ProgramData\AomeiBR
2022-10-28 18:08 - 2020-11-29 15:32 - 000000000 ___HD C:\ProgramData\CanonIJEPPEX
2022-10-26 22:13 - 2022-05-14 12:49 - 000000000 ____D C:\WINDOWS\system32\Tasks\Outbyte
2022-10-17 20:21 - 2022-10-17 21:55 - 000000000 ____D C:\Users\chetr\AppData\Local\Bmcnu
2022-10-17 18:33 - 2022-10-17 18:28 - 000342487 _____ C:\Users\chetr\AppData\LocalLow\Jf0jPNLz0wNs
2022-10-17 18:32 - 2022-10-19 23:33 - 000000000 ____D C:\Users\chetr\AppData\Roaming\9bnlKQI
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\IqvQK7
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\hKqr9
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\9B46BF68811C9DC5
2022-10-17 18:32 - 2022-10-17 18:54 - 000000347 _____ C:\ProgramData\ip1.txt.tuis
2022-10-17 18:32 - 2022-10-17 18:33 - 000000000 ____D C:\Users\chetr\AppData\Roaming\iT7rKWe9HZ
2022-10-17 18:32 - 2022-10-17 18:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\DIO CONSALTING
2022-10-17 18:28 - 2022-10-17 18:28 - 000000000 ____D C:\Users\chetr\AppData\Local\Yandex
2022-10-17 18:27 - 2022-10-17 21:50 - 000000000 ____D C:\Users\chetr\AppData\Local\fa2d80fe-6e4a-4f56-917b-a028b6a2bd28
2022-10-17 18:27 - 2022-10-17 18:40 - 000000000 ____D C:\Users\chetr\AppData\Local\info4pc
2022-10-17 18:27 - 2022-10-17 18:28 - 000000000 ____D C:\Users\chetr\AppData\Local\295cf373-0b21-44a2-a615-de20a70c5b1f
2022-10-17 18:27 - 2022-10-17 18:27 - 000000000 ____D C:\SystemID
2022-10-16 21:46 - 2022-10-18 18:25 - 000000000 ____D C:\Users\chetr\AppData\Roaming\SysInfoTool
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

[Fonzie94]

Bonjour,

J'ai refait la manip, voici les liens =>


https://pjjoint.malekal.com/files.php?i ... 7r5e157s14
https://pjjoint.malekal.com/files.php?i ... 11g5l12n11
https://pjjoint.malekal.com/files.php?i ... 6t14j6h7c6


Encore merci pour votre aide

[Parisien_entraide]

Il est demandé surtout de poster le rapport suite au "fix" (la correction) pour savoir si cela a bien été pris en compte



EDIT :

En plus si on lit les rapports on voit

Glary utilites PRo (légal ?) ----> Il avait été demandé de le virer
IOBIT Driver Booster -----> Idem (et en plus il est TOUJOURS en erreur pour Windows donc il a un problème) Il est légal ?

Moi j'y ajoute

cFosSpeed ----> Truc inutile de nos jours et encore plus si tu as la fibre et qui peut meme faire effet contraire à ce qu'il annonce
IncrediMail --->.. Alors là.. N'existe plus depuis 2 ans ou plus (je ne sais plus) Présente des failles qui peuvent être exploitées par les pirates mais peut amener des malwares avec les packs "des zolis animations" qui ont fait son succès
Unchecky --> Dépassé, inutile car n'est plus à jour

Samsung Magician : Ne sert QUE pour les maj de firmware. C'est une source d'instabilité et le fait de l'utiliser pour mettre le Rapid mode, c'est de la poudre aux yeux. Ca n'accèlere rien et les tests mesurent en fait la vitesse de la RAM pas du SSD


Tu n'aurais pas eu des versions de chez Piriform (ccleaner, speccy, defraggler, revuva, ..) piratées ?
La vérif de clés est bloqueée dans le hosts


Vu qu'il y a du "Yandex ", il y a du avoir usage de clés "russes" qui sont la possible infection

Attention aux outils de manips, bidouilles etc Android, une majorité sont infectés,

[Fonzie94]

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-10-2022
Exécuté par Thierry (29-10-2022 17:06:10) Run:1
Exécuté depuis C:\Users\chetr\OneDrive\Desktop
Profils chargés: Thierry & chetr
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
2022-10-28 18:08 - 2021-12-23 18:11 - 000000000 ____D C:\ProgramData\iTop VPN
2022-10-28 18:08 - 2021-12-23 18:11 - 000000000 ____D C:\ProgramData\{150F4013-6884-4350-8DDC-6BFCB4C5DC15}
2022-10-28 18:08 - 2021-12-02 22:32 - 000000000 ____D C:\ProgramData\iTop
2022-10-28 18:08 - 2021-08-21 18:18 - 000000000 ____D C:\ProgramData\AomeiBR
2022-10-28 18:08 - 2020-11-29 15:32 - 000000000 ___HD C:\ProgramData\CanonIJEPPEX
2022-10-26 22:13 - 2022-05-14 12:49 - 000000000 ____D C:\WINDOWS\system32\Tasks\Outbyte
2022-10-17 20:21 - 2022-10-17 21:55 - 000000000 ____D C:\Users\chetr\AppData\Local\Bmcnu
2022-10-17 18:33 - 2022-10-17 18:28 - 000342487 _____ C:\Users\chetr\AppData\LocalLow\Jf0jPNLz0wNs
2022-10-17 18:32 - 2022-10-19 23:33 - 000000000 ____D C:\Users\chetr\AppData\Roaming\9bnlKQI
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\IqvQK7
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\hKqr9
2022-10-17 18:32 - 2022-10-19 23:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\9B46BF68811C9DC5
2022-10-17 18:32 - 2022-10-17 18:54 - 000000347 _____ C:\ProgramData\ip1.txt.tuis
2022-10-17 18:32 - 2022-10-17 18:33 - 000000000 ____D C:\Users\chetr\AppData\Roaming\iT7rKWe9HZ
2022-10-17 18:32 - 2022-10-17 18:32 - 000000000 ____D C:\Users\chetr\AppData\Roaming\DIO CONSALTING
2022-10-17 18:28 - 2022-10-17 18:28 - 000000000 ____D C:\Users\chetr\AppData\Local\Yandex
2022-10-17 18:27 - 2022-10-17 21:50 - 000000000 ____D C:\Users\chetr\AppData\Local\fa2d80fe-6e4a-4f56-917b-a028b6a2bd28
2022-10-17 18:27 - 2022-10-17 18:40 - 000000000 ____D C:\Users\chetr\AppData\Local\info4pc
2022-10-17 18:27 - 2022-10-17 18:28 - 000000000 ____D C:\Users\chetr\AppData\Local\295cf373-0b21-44a2-a615-de20a70c5b1f
2022-10-17 18:27 - 2022-10-17 18:27 - 000000000 ____D C:\SystemID
2022-10-16 21:46 - 2022-10-18 18:25 - 000000000 ____D C:\Users\chetr\AppData\Roaming\SysInfoTool
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\ProgramData\iTop VPN => déplacé(es) avec succès
C:\ProgramData\{150F4013-6884-4350-8DDC-6BFCB4C5DC15} => déplacé(es) avec succès
C:\ProgramData\iTop => déplacé(es) avec succès
C:\ProgramData\AomeiBR => déplacé(es) avec succès
C:\ProgramData\CanonIJEPPEX => déplacé(es) avec succès
C:\WINDOWS\system32\Tasks\Outbyte => déplacé(es) avec succès
C:\Users\chetr\AppData\Local\Bmcnu => déplacé(es) avec succès
C:\Users\chetr\AppData\LocalLow\Jf0jPNLz0wNs => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\9bnlKQI => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\IqvQK7 => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\hKqr9 => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\9B46BF68811C9DC5 => déplacé(es) avec succès
C:\ProgramData\ip1.txt.tuis => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\iT7rKWe9HZ => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\DIO CONSALTING => déplacé(es) avec succès
C:\Users\chetr\AppData\Local\Yandex => déplacé(es) avec succès
C:\Users\chetr\AppData\Local\fa2d80fe-6e4a-4f56-917b-a028b6a2bd28 => déplacé(es) avec succès
C:\Users\chetr\AppData\Local\info4pc => déplacé(es) avec succès
C:\Users\chetr\AppData\Local\295cf373-0b21-44a2-a615-de20a70c5b1f => déplacé(es) avec succès
C:\SystemID => déplacé(es) avec succès
C:\Users\chetr\AppData\Roaming\SysInfoTool => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2832162508-1885980381-2126632423-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => supprimé(es) avec succès
"HKU\S-1-5-21-2832162508-1885980381-2126632423-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2832162508-1885980381-2126632423-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2832162508-1885980381-2126632423-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2832162508-1885980381-2126632423-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 145943308 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 10360 B
Windows/system/drivers => 658318435 B
Edge => 158759 B
Chrome => 128477076 B
Firefox => 1183915367 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 6656 B
ProgramData => 6656 B
Public => 6656 B
systemprofile => 364492 B
systemprofile32 => 6036134 B
LocalService => 6076214 B
NetworkService => 6144480 B
chetr => 124590632 B
chetr.DESKTOP-1J4KUSU => 124654331 B

RecycleBin => 36135682840 B
EmptyTemp: => 35.9 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 17:06:53 ====

[Parisien_entraide]

Ok
Relis ce que j'ai mis en EDIT juste avant

[Fonzie94]

CC à la question qui concerne les logiciels installés, tous sont crackés, je les récupère chez Majax, normalement c'est safe.

J'ai choppé ce malware en téléchargeant un crack sur un site inconnu, un stupide excès de confiance.

[Fonzie94]

J'ai supprimé tous ce que tu m'as signalé, mis à part incredimail, j'ai trop de trucs importants dedans, de plus je connais l’origine de ce malware j'ai téléchargé un crack, en dehors de mes fournisseurs habituels.

[Parisien_entraide]

Ah... Donc dans ton premier message

"J''ignore comme cela a pu se produire mais je me suis fait piéger par un ransoware"

c'était bidon


J'avais noté 2 programmes "pas safe" chez "Majax donc il doit y en avoir d'autres
Actuellement je ne sais pas et je m'en fiche
En plus lorsqu'on voit qu'il conseille de désactiver l'anti virus...sinon le keygen va faire couiner l'anti virus et se retrouver en quarantaine, que les gens le font...


Je ne dirais pas lesquels parce qu'à une époque on y trouvait aussi des programmes de triche pour les jeux.. qui avaient des failles que les pirates exploitaient bien évidemment (arroseur arrosé ce qui est courant dans ce milieu) donc ils ne présentaient pas de malware, mais le soucis était ailleurs
Dans les jeux je ne supporte pas les tricheurs (si je le pouvais, je leur ferai bouffer leur PC) donc là si ces gens se font voler leurs données du fait de cracks etc si leur PC subit un ransomware, je ne vais pas compatir, bien au contraire


Si tu n'as pas conscience de la chose parce qu'on n'en n'est plus au fonctionnement des "virus" d'il y a 10 ans ou meme 5 ans, cela évolue
viewtopic.php?t=71178

Bon pour ma part j'arrête là, car c'est du n'importe quoi

[Fonzie94]

Merci pour ton intervention Parisien entraide, tes conseils sont utiles et je te remercie de me les avoir donné.

[Malekal_morte]

De rien =)

Supprime C:\FRST


A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?

[Fonzie94]

C'est fait, merci et bon Dimanche !

[Malekal_morte]

Merci à toi aussi =)