Souhaitez-vous participer à la création d'un jeu vidéo inspiré de Stardew Valley, ou le tester lorsque la version bêta sera disponible ? Remplissez notre sondage ou inscrivez-vous à notre lettre d'information (en bas de page)
1

Fichiers cryptés RSA-2048

le  1-12-2015 à 02:28 #
Bonjour à tous,
Après une longue absence sur le forum, je reviens vers vous car j'ai un problème sur l'ordinateur de mon père. (Windows Vista, oui ça date..).
En effet, tous ses fichiers sont cryptés en RSA 2048. Afin de pouvoir decrypter, une "rançon" de 500 dollar m'est réclamée.
Avez vous la solution à mon problème ?
Merci d'avance pour votre aide

Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 03:31 #
Bonsoir Sixou,

Je ne vais pas te donner de faux espoirs, c'est une infection très grave. Les fichiers encodés sont perdus. Tu l'as attrapée soit par un email infecté ou un faux téléchargement, par exemple un lecteur vidéo ou un codec en faisant du streaming ou une fausse mise à jour de flash ou encore par le P2P par l'intermédiaire d'un fichier infecté.

Pour t'aider, j'ai besoin de connaître différents éléments :
- Ton bureau est-il accessible ? Peux-tu accéder au gestionnaire de tâches ?
- Peux-tu télécharger des logiciels ?
- Parmi les possibilités d'infection citées plus haut, laquelle correspond à la tienne ?
- A quelle date ?
- As-tu accès à la restauration du système et as-tu des points situés avant l'entrée de l'infection.
Pour l'instant ne tente rien tant que je n'ai pas tous ces renseignements.
- As-tu accès aux options avancées de démarrage (mode sans échec etc...) ?
- Quel est ton niveau d'informatique (sais-tu faire une restauration du système, aller en mode sans échec.)
- As-tu ton CD d'installation si besoin ?
- As-tu une sauvegarde de tes données ?
- Ton système d'exploitation est Vista en 32 ou 64 bits ?
- Quel est ton antivirus et ton navigateur ?
- As-tu tenté quelque chose ? Si oui, quoi ?

A te lire Clikinkou.



(Modifié par clikinkou le 01-12-2015 à 03:50)
Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 09:40 #
Bonjour clinkinkou,

Merci de ta réponse, je vais essayer de repondre au mieux à toutes tes questions point par poin, mais étant donné que c'est l'ordinateur de mon père (mon ancien) je ne suis pas sûr de toutes les réponses à 100%.

- Ton bureau est-il accessible ? Peux-tu accéder au gestionnaire de tâches ?

Oui le bureau est accessible et je peux accéder au gestionnaire de tâches.

- Peux-tu télécharger des logiciels ?

Oui

- Parmi les possibilités d'infection citées plus haut, laquelle correspond à la tienne ?

Vu l'utilisation de mon père je pense plus à une fausse mise à jour ou un e-mail infecté.

- A quelle date ?

Une semaine environ

- As-tu accès à la restauration du système et as-tu des points situés avant l'entrée de l'infection.

C'est le seul truc que j'ai deja tente de faire mais le dernier point de restauration datait d'il y a 3 jours et c'etait apres l'entrée de l'infection. Donc ça n'a pas mieux fonctionné.

- As-tu accès aux options avancées de démarrage (mode sans échec etc...) ?

Oui

- Quel est ton niveau d'informatique (sais-tu faire une restauration du système, aller en mode sans échec.)

Avec des tutos ou quoi je comprends très bien :)

- As-tu ton CD d'installation si besoin ?

Je ne sait plus où il est :/

- As-tu une sauvegarde de tes données ?


Non

- Ton système d'exploitation est Vista en 32 ou 64 bits ?

Vista en 32 bits

- Quel est ton antivirus et ton navigateur ?

Pour l'antivirus je sait pas trop comment mon père gère ça mais je sait qu'il utilise Google Chrome comme navigateur.

MAJ : il a avast sur l'ordinateur

- As-tu tenté quelque chose ? Si oui, quoi ?

J'ai juste tenté la restaure à partir d'une sauvegarde d'il y a 3 jours.

Merci pour ton aide

Sixou

(Modifié par Sixou le 01-12-2015 à 13:39)
Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 14:07 #
Salut Sixou,

Vu ce que tu me dis, les nouvelles ne sont pas bonnes. Il est impossible de récupérer ces données dans l'état actuel des recherches. La seule chance était d'utiliser une sauvegarde antérieure sur un support externe. A noter que la restauration du système (ne restaurant que les fichiers-système) aurait juste permis de nous éviter le long travail de nettoyage de l'infection elle-même mais que les dossiers seraient restés cryptés puisque la restauration du système ne touche pas aux données personnelles, (ce n'est qu'à partir de Windows 7 qu'une possibilité de restauration de fichiers existe donc pas avec Vista).

Le fait de payer la rançon n'augmenterait pas les chances de récupérer les données car le pirate peut ne pas donner la clé pour autant et c'est de toutes façons encourager la cybercriminalité et lui permettre de se propager. Si personne ne tombait dans le panneau et surtout si chacun pensait à sauvegarder ses données, ces pratiques n'auraient plus d'intérêt pour les voleurs.

Le seul espoir est que les recherches permettent un jour de trouver une solution de décryptage (très difficile car ils utilisent des procédés sophistiqués) ou que la police piège le pirate et trouve son système de chiffrement ce qui a été le cas pour un autre virus du même type. Les gens dont les données avaient été encryptées par ce virus ont pu se les faire décrypter. Il faut donc porter plainte pour vol de données en insistant sur le fait qu'il y a eu préjudice (vol de données (dossiers importants, photos), demande de rançon, piratage de l'ordinateur, violation de la vie privée, etc...c'est la seule façon de faire avancer les choses.

Que faire en attendant ?

1) Si tu veux pouvoir retrouver tes données un jour en cas de décryptage, fais une sauvegarde sur une clé USB qui sera uniquement dédiée à cela. Sinon, il faut en faire son deuil !

2) Pour le nettoyage de l'infection, on va d'abord faire un bilan des dégâts :
Télécharge ZHPDiag et enregistre-le sur ton bureau.
Pas besoin d'installation. Clique simplement sur "Scanner".
En fin de scan, clique sur "Rapport".
Celui-ci s'ouvrira dans le bloc-notes.
Il sera également conservé sur le bureau sous le nom de ZHPDiag.txt.
Héberge-le sur http://www.cjoint.com et colle le lien dans ta réponse.
Tutoriel pour héberger un fichier sur cjoint

Bon après-midi. Clikinkou



(Modifié par clikinkou le 01-12-2015 à 14:18)
Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 14:37 #
Re-Bonjour,

J'ai décidé de faire un croix sur mes données.
Voici le lien ZHPdiag : http://www.cjoint.com/c/ELbnJF1gklV

Sixou
Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 15:04 #
J'ai besoin du rapport en entier.




(Modifié par clikinkou le 01-12-2015 à 15:04)
Re: Fichiers cryptés RSA-2048
le  1-12-2015 à 17:48 #
Je n'ai rien de plus que ce que je t'ai envoyé, le rapport n'est pas complet ?

J'ai quand même fait un nouveau rapport mais je pense pas qu'il soit plus complet.
http://www.cjoint.com/c/ELbraQZwDhV

(Modifié par Sixou le 01-12-2015 à 18:01)

Ajout du 02-12-2015 à 16:44:

Bonjour clikinou, le rapport est il complet alors ou pas ?
Personnellement je ne comprends rien à toutes ces lignes :/ que faut-il que je fasse maintenant ?

Sixou
Re: Fichiers cryptés RSA-2048
le  2-12-2015 à 18:14 #
Salut,

Tes rapports sont plutôt curieux.
Télécharge WinChk sur ton bureau, puis exécute-le.
Il doit être impérativement enregistré sur le bureau, pas de raccourci
◦Clique sur le bouton [Exécuter].
◦Patiente durant la création du rapport.
◦Celui-ci s'affiche à l'écran à la fin de l'analyse.
Si rien n'apparaît, le rapport est présent à la racine de votre disque dur : C:\WinChk.txt
Héberge-le sur http://www.cjoint.com et colle le lien dans ta réponse.
@+







(Modifié par clikinkou le 02-12-2015 à 18:17)
Re: Fichiers cryptés RSA-2048
le  2-12-2015 à 18:53 #
Le rapport me parait bien court mais le voici :

http://www.cjoint.com/c/ELcr0BZH8QV
Re: Fichiers cryptés RSA-2048
le  7-12-2015 à 12:29 #
Bonjour Sixou,

Je t'ai fait un script spécial pour nettoyer ton pc.

---------------------------------------------------------------------------------------------------------
/!\ A l’attention de ceux qui passent sur ce thread :
Ce script est à usage unique pour ce pc dans le cadre de cette désinfection.
Ne pas le réutiliser sous peine d’endommager votre pc.
-------------------------------------------------------------------------------------------------------------


@ Sixou :

a) Télécharge ZHPFix .
Ce logiciel nécessite une installation.

/l\ : Si tu as une alerte pour le télécharger et l'installer, désactive Avast.
Clic droit sur l'icône dans la zone de notification --> gestion des Agents Avast --> Désactiver 1h

b) Traitement :
Clique sur ce lien et ouvre le fichier,
Fais un clic droit n'importe où sur le texte et choisis "Tout sélectionner",
puis fais un nouveau clic droit sur le texte et choisis "Copier".

Lis attentivement la suite puis ferme le navigateur.

• Rends-toi sur le Bureau, clique droit sur l’icône de ZHPFix en forme de seringue et choisis "Exécuter en tant qu'administrateur".
• Une fois ZHPFix ouvert, clique sur le bouton "IMPORTER"
=> Tu verras apparaître le script dans la fenêtre du logiciel.
• Vérifie qu'il est bien complet (il commence par Script ZHPFix et finit par FirewallRaz).

• Lis attentivement ou note la suite puis ferme ton navigateur.
Clique sur le bouton "GO" pour lancer le nettoyage, puis confirme le nettoyage des données.
ZHPFix va te demander si tu souhaites vider ta corbeille, clique selon ton choix, puis patiente.
/!\ Si un message te dit que ZHPFix ne répond pas, ne le relance pas , il travaille.

• Si en fin de nettoyage, un message te demande de redémarrer le pc, accepte.
Le nettoyage se poursuit au redémarrage qui peut être plus lent que d'habitude.

c) Rapport :
• Une fois le traitement terminé, un rapport ZHPFix.txt sera créé et sauvegardé sur le bureau.
• N'oublie pas de réactiver Avast pour retourner sur le net.
• Héberge le rapport sur http://www.cjoint.com et colle le lien dans ta réponse.

Dis-moi également comment se comporte le pc après nettoyage.
Bonne journée.
Clikinkou.



(Modifié par clikinkou le 07-12-2015 à 12:53)
Re: Fichiers cryptés RSA-2048
le  7-12-2015 à 13:19 #
Bonjour Clinkinkou,

voici le rapport : http://www.cjoint.com/c/ELhmqTCVjyV

concernant la réaction de l'ordinateur, il tourne toujours très bien, seulement tous les fichiers cryptés sont présent sur l'ordinateur et beaucoup de fichiers se sont aussi ajoutés avec la demande de rançon, fond d'écran changé avec la demande de rançon etc..

Merci encore pour ton aide

Sixou
Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 02:21 #
Il faut que je fasse quoi du coup maintenant ?
Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 06:17 #
Salut Sixou,

◾Télécharge RogueKiller :
Ce fichier est la version valable pour ton architecture en 32 bits.
Lis attentivement la suite.

Redémarre en mode sans échec,
--> Mode sans échec sous Windows Vista

Lance Roguekiller.exe par clic droit et " Exécuter en tant qu'administrateur"
Il y a d'abord un pre-scan qui se lance dès l'ouverture, puis clique sur "Scan" (bouton à droite)
En fin de scan, clique sur "Rapport".
Ne supprime rien dans l'attente de ma réponse.
Le rapport s'ouvrira dans le bloc-notes et sera conservé sur le bureau sous le nom de Rgkiller.txt.
Reviens en mode normal.
Héberge-le sur http://www.cjoint.com et colle le lien dans ta réponse.

Je préfère que tu n'ailles pas en mode sans échec sur le net car tu seras sans protection et vu tes problèmes actuels, il n'est pas utile de donner libre accès aux pirates.

A te lire,
Clikinkou.



(Modifié par clikinkou le 10-12-2015 à 17:54)
Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 10:40 #
Bonjour clikinkou,

Je suis étonné de la réponse que tu me proposes car je suis sous vista en 32 bits, et dans le tuto, tu me parles de 64 buts et de Windows 10, c'est normal ou pas ?

Sixou
Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 17:43 #
Bonjour Sixou,

Je viens de corriger. C'est une erreur de ma part, due à la fatigue, c'est pourquoi je prends toujours des garde-fous en détaillant tout. Non seulement parce que je ne sais pas le niveau informatique de la personne que j'aide mais en cas d'erreur de ma part (même si c'est rare, rassure -toi), la personne aidée se rend immédiatement compte que quelque chose ne va pas et comme tu vois, ça fonctionne


Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 22:53 #
Aucun problème, tu fais très bien de détailler comme ça!

Voici le rapport RogueKiller : http://www.cjoint.com/c/ELkv3pFISSV


(Modifié par Sixou le 10-12-2015 à 22:55)
Re: Fichiers cryptés RSA-2048
le 10-12-2015 à 23:27 #
1) Remets-toi en mode sans échec.

2) Relance Roguekiller par clic droit et "Executer en tant qu'administrateur".
Tu devras refaire Pre-scan et scan,

Je viens de vérifier, coche toutes les cases dans les onglets "Registre" et "Fichiers".
Puis clique sur "Supprimer".
Patiente le temps du nettoyage.
S'il t'est demandé de redémarrer, accepte.
Le nettoyage se poursuit au redémarrage qui peut être un peu plus lent

En fin de traitement, un rapport s'ouvrira dans le bloc-notes.
Il sera également sur le bureau.
Héberge-le sur http://www.cjoint.com et colle le lien dans ta réponse.

As-tu toujours le message de demande de rançon ?





(Modifié par clikinkou le 10-12-2015 à 23:30)
Re: Fichiers cryptés RSA-2048
le 12-12-2015 à 16:26 #
Bonjour clickinkou,

j'ai eu quelques problèmes pour le nettoyage, après la demande de redémarrage de l'ordinateur, roguekiller ne s'est pas remis en fonctionnement. Du coup pas de rapport, j'ai donc relancé et scan et fait un nettoyage en mode normal. Il ne restait donc plus que les Fichiers, j'ai un rapport pour ce deuxième nettoyage : http://www.cjoint.com/c/ELmpzn3WmEV

Quand à la demande de rançon, elle est toujours présente, notamment à l'allumage de l'ordinateur.

Sixou
Re: Fichiers cryptés RSA-2048
le 13-12-2015 à 05:40 #
Bonjour Sixou,

C'est ce que je craignais. La menace est coriace et a des défenses. Elle bloque Roguekiller au redémarrage pour ne pas être supprimée. Les autres saletés ont été nettoyées.

Va dans l'explorateur Windows ici :
--> C:\Utilisateurs\AppData|Roaming
et vérifie si tu vois des fichiers au nom aléatoire ( ex : 324335423.dll) ou des fichiers Skype.dat
Note le nom et la date ou fais des capture d'écran.

Concernant les documents qui ont été cryptés : y en a-t-il beaucoup ?

A te lire, Clikinkou.



(Modifié par clikinkou le 13-12-2015 à 05:49)
Re: Fichiers cryptés RSA-2048
le 16-12-2015 à 12:48 #
Bonjour clikinkou et désolé pour le temps de réponse.

J'ai effectivement des dossiers au nom aléatoire, je t'ai fait une capture d'écran.
A savoir que quand je rentre dans chacun des dossiers de mon ordinateur au nom aléatoire ou non, je retrouve les : "how to recover.." qui est l'explication de la demande de rançon.



Concernant les dossiers cryptés, ils le sont tous sauf ceux créés après l'infection (soit uniquement les rapports etc..)

Sixou


(Modifié par Sixou le 16-12-2015 à 12:56)

(Modifié par Sixou le 16-12-2015 à 12:56)




Ces discussions pourraient vous intéresser également:


Pop-up de fichiers PDF...
UC a 100% ds mes fichiers reçu msn
Fichiers infectés
Fichiers manquants
éliminer des fichiers