Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe protéger mes données et mon accès internet

Demande de rançon

Jaime
star
star
4 297  

Re : Demande de rançon

Bonsoir @samdemaubran

 

Un fait qui me revient, un utilisateur avait le même problème que toi, un Rançongiciel avait modifié les extensions

 

Malgré la suppression du Rançongiciel quelques extensions étaient encore modifiées

 

L’outil "RstAssociations" répare les plus connus, les plus utilisés, vu le nombre qui existent impossible de toutes les réparer

 

En utilisant une fonction de l’Explorateur Windows on avait pu les remettre par défaut, ce qu’il faut est que tu donnes quelles sont les applications qui bloquent,

Je vais chercher si un tutoriel existe, si non je te le prépare, en texte et images,

Il faudra bien préciser quelles applications

 

J’ai aussi le souvenir de @LPC5 (peut être @LCP actuellement) qui avait un problème similaire au tien, mais lui avait été réparé avec l’outil fixexelnk de Pierre Torris qui n’existe plus, la preuve

 

En attente de ton rapport de ZHPDiag, sans rien faire d’autre pour avoir un suivit

==============          

 

Pour @Paule@coccinelle29 ; @fredolerouge ; @PhilDur ; @Ancien Membre ; @Le_Novice et @melet39

 

pouvez vous lire ce tutoriel et corriger si besoin

http://jaime.over-blog.fr/article-fixexelnk-de-pierre-torris-114204618.html

 

comme signalé ci-dessus l’outil fixexelnk de Pierre Torris qui n’existe plus, la preuve

voila pourquoi j'ai modifié

 

et si besoin j'ajouterai celui que je prévoie pour @samdemaubran

 

merci et vos pseudos seront ajoutés, comme celui de LCP5  , c'était sur les anciens forums d'ou introuvable

 

bonne semaine à toi et à et l’aquitain  @Calvino toi aussi tu peux corriger

================================
"Un païs sens sa lenga es mut"
(un pays sans sa langue est muet)
Paule
super fan
super fan
4 287  

Re : Demande de rançon

Pour Jaime :

 

LPC5 (et non LCP5) est toujours actif sur ce forum. La preuve :

http://pix.toile-libre.org/upload/original/1450644618.jpg

 

Il remercie de temps en temps pour les mises à jour...

 

A+.

.

 

Ancien Membre
4 254  

Re : Demande de rançon

Bonsoir,

RstAssociations est un outil compatible avec Windows XP, Vista, Seven versions 32 & 64 bits
d'après Xplode.

On ne connait pas l'OS utilisé par samdemaubran ....

A+

Jaime
star
star
4 218  

Re : Demande de rançon

Bonjour  @samdemaubran

 

Dans ma réponse du 20-12-2015 à 17h54 je t’ai demandé de transmettre le rapport de RstAssociations - version scr v1.3, il est important que tu suives les consignes que nous te transmettons, ici ce n’est pas bien grave, suivant le logiciel les risques sont un plantage de ton système, voir ce que je note plus bas à @Dreamerz

 

Toujours en attente de ton rapport de ZHPDiag, puisque Paule est dans ton fil, et @melet39 peuvent te confirmer l’intérêt de ce rapport

=============

 

Bonjour @Paule

 

tu as raison LPC5, je viens de corriger, pourtant le blog je lui avais fait lire et il n’avait pas corrigé

 

comme dans ma réponse du ‎20-12-2015 à 20h00 il faudra lui donner comment transmettre le rapport de ZHPDiag par Cjoint : http://www.cjoint.com/

 

je précise pour @Paule@coccinelle29 ; @fredolerouge ; @PhilDur ; @papou22@Le_Novice et @melet39

vous ne pouvez pas corriger ce lien

http://jaime.over-blog.fr/article-fixexelnk-de-pierre-torris-114204618.html

mais me signaler si vous trouvez une "fôte", merci

 

Bonne journée à vous tous, à l’aquitain  @Calvino et celles et ceux qui passeront par là

 

=============

 

Pour @Dreamerz

 

Si tu reproposes un outil de nettoyage des microbes sans donner un lien d’un tutoriel, attention à ce qui suit

 

Toujours demander le rapport d’analyse avant de lancer le nettoyage, lire ces liens

Faux positif détecté par le logiciel malwarebyte

Attention : faux positifs de malwarebytes

Malwarebytes Anti-Malware (MBAM) Procédure pour signaler un faux positif

 Malwarebytes' Anti-Malware : Faux Positif

 

Et ce sont toutes les solutions de sécurité qui peuvent avoir des faux positifs = > Antivirus : un faux positif sème la zizanie

et ici : AdwCleaner v4.101 nouvelle version

 

Demande à @fredolerouge l’alérion, si l’Adware W32/GameVance.U2.gen!Eldorado est un nuisible ou pas :robotlol:

 

Si tu proposes à nouveau un antimicrobes sans transmettre un tutoriel, et sans demander le rapport d’analyse avant de lancer le nettoyage, je signale à la Modération que ta réponse est dangereuse, désolé,

=============

 

Pour @Ancien Membre

 

Je sais lire, sauf que tu dois ignorer que le noyau de Windows 7 est le même que celui de Windows 10, donc !!!!!!!!!!!!!!!!

================================
"Un païs sens sa lenga es mut"
(un pays sans sa langue est muet)
Ancien Membre
4 196  
darkus
star
star
4 180  

Re : Demande de rançon

Bonjour à tous

 

Bonjour  @Dreamerz

 

si tu tu proposes des anti-bestioles  :smileywink:

 

Pour Malwaresbytes-antimalwares , c ' est ici

http://assiste.com/Malwarebytes_Anti_Malware_MBAM.html

 

la plupart des anti-machins ont une sauvegarde des trucs supprimés !


les faux positifs d Adwcléaner concernaient les utilisateurs de l AV Norton
et le log " Adwcléaner " n " était plus pris en charge par son véritable concepteur = Xplode


tout ça , c ' est du passé !

 

en ce qui concerne le plantage de la machine , inutile de terroriser !
les restaurations , ça existe !  :smileyhappy:

 

en cas de doutes , comme il vaut mieux prevenir que guérir

 

http://assiste.com/Decontamination_anti_malwares.html

 

 

et Kaspersky propose un log de redémarrage en cas de blocage du  PC  par un virus :smileyvery-happy:

 

 

PS/ un PC  contaminé   ne  peut pas  se  connecter  sur  le site  de  l " éditeur  de   MBAM pour   télécharger le  programme

 http://assiste.com/Decontamination_anti_malwares.html

 

Bonne journée

 

LPC5
passionné
4 164  

Re : Demande de rançon

Bonjour Jaime

Bonjour Paule ,

 

Et oui LPC5 toujours actif sur le forum notamment pour les mises à jour.

Il est vrai que depuis un grand nettoyage de mon PC avec les conseils de Jaime et le respect de quelques règles fondamentales , j'ai très peu de problèmes.

 

Merci à la communauté

 

Joyeuses fêtes....

 

LPC5 (je crois que Jaime n'y arrivera jamais avec mon pseudo ...:smileywink

 

Paule
super fan
super fan
4 154  

Re : Demande de rançon

Bonjour samdemaubran.

 

Suis bien les précieux conseils de Jaime qui te propose de t'aider à désinfecter ton PC comme il se doit.

LPC5 (bonjour à toi) peut en témoigner.

 

Je rappelle, ci-dessous, la marche à suivre pour copier ton rapport ZHPDiag ou autre dans Cjoint et le transmettre dans un prochain message :

 

Lien du site Cjoint :
http://cjoint.com/index.php

 

----------------------------------------------------------------------

 

Pour copier ton rapport dans Cjoint :

- clique sur le lien Cjoint pour ouvrir le formulaire
- clique sur "Parcourir"
- sélectionne ton rapport ZHPDiag ou autre
- clique sur "Ouvrir"

 

A "Votre adresse mail pour gérer le document" : ne rien mettre

- clique sur le bouton "Créer le lien Cjoint"

 

A  "Le lien a été créé" :
- sélectionne le lien en faisant glisser le curseur du dernier caractère jusqu'au premier caractère.
Le lien devient bleu.

 

Pour copier le lien :

- appuie en même temps sur la touche Ctrl et le caractère C

 

Pour coller le lien :

Il ne te reste plus qu'à venir poster ce lien dans un prochain message en appuyant en même temps sur la touche Ctrl et le caractère V.

 

A + avec ton rapport ZHPDiag par lien Cjoint.

 

-----------------------------------------------------------------------

 

Pour copier : Ctrl C
Pour coller  : Ctrl V
.

 

Pierre_Terdef_
helper actif
4 124  

Re : Demande de rançon

Bonjour,

 

Vous êtes victime d'une attaque de type " ransomware " par une variante de TeslaCrypt (qui utilise une grande part du code Alpha Crypt et en est, probablement, une variante).

 

Tous les fichiers utilisateurs (cette liste peut varier d'une version à une autre du " ransomware ") de types .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, sont chiffrés (cryptés) en utilisant un algorithme RSA 2048.

 

Il n'y a que trois solutions.

 

  1. Repartir de sauvegardes
  2. Payer la rançon
  3. Tout perdre

 

Cette attaque détruit également les copies de sécurité faites par Windows ("Versions précédentes" dans les propriétés des fichiers) si tant est qu'elles soient activées, ce qui n'est jamais le cas par défaut et est inconnue des utilisateurs

Sauvegardes des fichiers par Windows - Versions précédentes des fichiers

 

 

Je traduis en très bref abrégé l'article de Grindler (un MVP (MS MVP) - sur son site de référence : bleepingcomputer.com )

 

TeslaCrypt et Alpha Crypt sont des Ransomware qui ciblent toutes les versions de Windows, y compris Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10. TeslaCrypt est apparu vers la fin de Février 2015 et Alpha Crypt vers la fin d'Avril 2015. Lorsque vous êtes infecté par TeslaCrypt ou Alpha Crypt, ils analysent votre ordinateur, sur l'ensemble de vos lettres de lecteurs, à la recherche de vos fichiers de données (Windows lui-même et les applications sont ignorées de manière à ce que l'ordinateur puisse continuer à fonctionner afin d'aller sur Internet et payer la rançon). Les fichiers de données sont chiffrés (cryptés) en utilisant un chiffrement AES. Ils ne peuvent plus être ouverts sans être déchiffrés et il n'existe pas de solution de déchiffrement de l'AES.

 

Notons qu'ils prétendent utiliser, dans les cas de TeslaCrypt et Alpha Crypt, une clé asymétrique RSA 2048.Dans la réalité, les fichiers chiffrés le sont en AES symétrique.

 

On ne sait pas, non plus, quelle est la dureté du chiffrement. Il n'est pas certain qu'il s'agisse de 2048 bits car le cybercriminel a besoin que le chiffrement soit rapidement effectué afin de minimiser les chances d'être détecté avant la fin du chiffrement de tous les fichiers utilisateur.

 

Les suffixes utilisés pour les fichiers chiffrés sont variables : .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, etc. ... Il existe une version de TeslaCrypt qui ne modifie pas les noms des fichiers.

 

Une fois le chiffrement terminé, TeslaCrypt ou Alpha Crypt affiche une application qui contient des instructions sur la façon de récupérer vos fichiers. Ces instructions incluent un lien vers un site de service de décryptage, derrière un réseau TOR (rendant le cybercriminel indétectable), qui vous informera du montant de la rançon, de la quantité de fichiers cryptés, et vous donnera des instructions sur la façon de payer. Le coût de la rançon commence à environ 500 $ (USD) et est payable par l'intermédiaire de bitcoins. L'adresse Bitcoin que vous devez utiliser pour le paiement est différente pour chaque victime.

 

 

COUPEZ TOUT - NE TOUCHEZ A RIEN

 

COUPEZ votre ordinateur !

 

Ne faites rien dessus.

 

Sortez le disque dur et faites en un clone sur un banc de copie de manière à avoir la possibilité, si un jour un outil de déchiffrement gratuit existe, de récupérer vos fichiers.

 

Si vous avez une copie de sécurité de vos fichiers, analysez votre disque de sécurité sur une autre machine, ne contenant aucune donnée sensible, et elle-même totalement fiable et analysée : Procédure gratuite de décontamination anti-malwares, anti-crapwares, anti-adwares

 

En particulier, analyse avec Malwarebytes Anti-Malware (MBAM) et avec Hitman Pro (HitmanPro).

 

En principe, ne jamais payer car cela encourage les cybercriminels mais, si vous êtes obligé de passer au paiement, NE DETRUISEZ AUCUN FICHIER, NE MODIFIEZ RIEN sur votre ordinateur, dans la mesure où la procédure de déchiffrement, après paiement de la rançon, risque d'avoir besoin de ses fichiers inscrits sur votre disque dur.

 

Si vous choisissez de payer, le déchiffrement de vos fichiers risque d'être très long, selon leur nombre et la machine (plusieurs heures...).

 

 

Prévention :

Le bon sens

Les mises à jour officielles permanentes

Les sauvegardes off-line et les copies de sécurité.

La lute contre le virus PEBCAK (Virus Pebcak)

La version gratuite (ou plus) de http://www.bleepingcomputer.com/forums/t/572146/cryptomonitor-stop-all-known-crypto-ransomware-befor...

La version gratuite (ou plus) de Cryptoprevent Malware Prevention

 

Attention : à cause d'une censure automatique de certains mots, l'URL de Cryptoprevent Malware Prevention ne fonctionne pas. Recopiez l'URL suivante puis retirez les espaces

 

https://www.fooli s h i t.com/cryptoprevent-malware-prevention/

 

 

 

Un espoir (sans trop d'espoir)

Il existe un outil de déchiffrement gratuit, mais qui ne semble pas concerner votre version de chiffrement (concerne les fichiers chiffrés lorsqu'ils ont comme suffixe .ECC, EZZ et .EXX.

 

Vous pouvez télécharger http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Suivre ce fil de discussion à propos de cet outil :

http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-e...

 

Cordialement

Pierre (aka Terdef)
https://assiste.com
Pierre_Terdef_
helper actif
4 053  

Re : Demande de rançon

Re,

 

Toujours fouillant le Web au sujet de TeslaCrypt, je découvre des conne...ries monstrueuses et des escroqueries.

 

En particulier, je répète : ne touchez à rien ! Ne supprimez rien si vous envisagez de payer la rançon parce que vos fichiers sont vitaux et que vous devez les récupérer (fichiers professionnels).

 

Je viens de voir les sites imbéciles de la nébuleuse de sites faisant la promotion du Scareware bien connu SpyHunter dire de supprimer les fichiers TeslaCrypt !

Ne faites rien ! N'achetez rien ! Il n'y a pas de solution de rattrapage !

 

Soit vous avez des sauvegardes

Soit vous payez

Soit vous effacez complètement et reformatez votre disque dur

 

Cordialement

Pierre (aka Terdef)
https://assiste.com

Vous avez une question ?

Interrogez la communauté

Déjà 761593 membres inscrits 🧡

2298 personnes actuellement en ligne

Tous les membres en ligne