SoooS...

[Hobbes]

Bonjour Mortimer,

Est-ce que tu as pu identifier le type du logiciel qui t'as infecte (CryptoLocker? TeslaCrypt? CoinVault?).

Je te conseillerai dans un premier temps de sauvegarder tous les fichiers qui ont ete chiffres sur un support externe (cle USB, disque dur externe). Sans la cle privee de chiffrement (stockee sur les serveurs des pirates) il te sera malheureusement impossible de dechiffrer les fichiers. Cependant il reste un tres mince espoir de recuperer cette cle.

Dans le cas du logiciel CryptoLocker une operation a ete menee et a permis de mettre la main sur la base de donnees des pirates.
http://en.wikipedia.org/wiki/Operation_Tovar
Une fois les cles recuperees un outil a ete mis en place afin que les personnes dont l'ordinateur a ete infecte par ce logiciel puisse recuperer leurs donnees.

Kaspersky est parvenu a developper un logiciel permettant de recuperer les donnees chiffrees par CoinVault (lien remonte par Fanfan). Cependant il faut avoir note au prealable les informations de paiement de rancon fournies par le logiciel (en l'occurrence l'adresse d'un portefeuille bitcoin). L'outil de Karspersky doit probablement permettre de generer la cle privee de dechiffrement a partir de l'adresse bitcoin.

Bref, conserve tes donnees sur un support externe, on ne sait jamais...

[Fanfan]

Je partage l'avis de hobbes.
Garde tes fichiers dans un coin, sur une clé USB, si il n'est pas possible de les récupérer maintenant, cela ne veut pas dire que ça ne sera pas possible plus tard.

A ta place, tant qu'à réinstaller un système d'exploitation, je réfléchirai sérieusement à installer Linux à la place de Windows...

[Mortimer-]

Tout est stocké sur un disque dur externe (mais ce sont des fichiers ecc. cryptés).

J'avais quelques fichiers non endommagés heureusement antérieurement stockés sur autres clés USB.
Je n'ose pas ouvrir ces clés USB sur mon PC pour voir...

Le Ransomware s'appelle Help-Restore-Files. Je ne sais pas de quel type il est.
Je l'ai supprimé de mon PC, donc je ne peux pas remonter à la source pour avoir d'autres infos.

Le lien donné par Fanfan n'aboutit pas à une solution pour ce problème.

Merci pour vos infos et aides.



@ Fanfan. Linux, je ne connais absolument pas... ?

[Fanfan]

Voilà un article, non technique, qui te permettra de te faire une petite idée.
http://www.commentcamarche.net/faq/7283-linux-n-est-pas-windows

Personnellement, voici les raisons qui m'ont fait passer à Linux :
- j'en avais marre que mon Windows se mette à ramer au bout de quelques mois après l'installation
- j'en avais marre des Antivirus et Pare-Feux personnels qui prennent toutes les ressources
- j'étais frustré par l'interprêteur de commande de Windows
- j'en avais marre de chercher des logiciels craqués (car je suis radin)

Du coup avec Linux, j'ai trouvé un système d'exploitation plus sûr et plus souple, qui me convient mieux et qui est moins gourmand en ressources pour mon vieux PC.
Si tu es curieuse et que tu as un peu de temps à passer, rien ne t'empêche d'essayer. C'est devenu tellement simple avec les Live CD et Live USB...

[Mortimer-]

C'est un fait, j'ai été piratée et j'ai perdu la quasi-totalité de mes fichiers. 10 ans de photos. Des historiques personnels, des stockages de facturations, des budgets prévisionnels, etc. etc. etc.

Mais par les temps qui courent, je vois tous les jours des gens, des familles perdre plus important. Pour eux, la vie s'arrête vraiment. Et puis d'autres qui sont inondés, cambriolés, ruinés, dévastés.

Alors, on relativise.
C'est embêtant ? Oui très. C'est dramatique ? Non.

Conclusion de cette affaire dont je ne suis pas sortie indemne : je ne trouverai pas la chouette.

Merci de vos conseils et infos.

[crew]

Alors, on relativise.
C'est embêtant ? Oui très. C'est dramatique ? Non.

De tout coeur avec toi tout de même !

[Couscous]

C'est un fait, j'ai été piratée et j'ai perdu la quasi-totalité de mes fichiers. 10 ans de photos. Des historiques personnels, des stockages de facturations, des budgets prévisionnels, etc. etc. etc.

Mais par les temps qui courent, je vois tous les jours des gens, des familles perdre plus important. Pour eux, la vie s'arrête vraiment. Et puis d'autres qui sont inondés, cambriolés, ruinés, dévastés.

Alors, on relativise.
C'est embêtant ? Oui très. C'est dramatique ? Non.

Conclusion de cette affaire dont je ne suis pas sortie indemne : je ne trouverai pas la chouette.

Merci de vos conseils et infos.

Tu a toujours l'option de le faire voir par un informaticien du coin, tu déconnecte les disque dur et tu lui apporte et tu lui demande s'il peut faire quelque chose, vaux mieux sa que tout éraser surtout que je suis pratiquement sur que tout et dedans!

[Couscous]

A priori ce que j'ai pu lire sur forum fr sp ang, il n'y a pour le moment aucune solution.....suis désolé, mais c'est une question de temps! donc n’efface rien car peut être demain tu pourra tout récupérer, sois patiente.

[Mortimer-]

De la patience, j'en ai.

Ca me rappelle les gens malades qui se font congeler aujourd'hui en espérant que dans 50 ans les progrès de la médecine pourront les réveiller et les soigner...

[Archimede]

Bon, ben voilà. J'ai tout essayé. C'est bel et bien perdu...

C'est un signe...
Une bonne occasion pour recommencer un tout nouveau déroulé, tout neuf...

Ouais je sais ce n'est pas marrant de perdre toutes ses données de son ordinateur, je suis navré pour toi Mortimer.

Ne reformate rien, garde tes supports, surement d'ici quelques temps une solution pour ton problème/virus précis apparaîtra sur le net.

Bon courage.

[Hobbes]

Le Ransomware s'appelle Help-Restore-Files. Je ne sais pas de quel type il est.

Tu es sur du nom? Aucun resultat sur google...
Comment est-ce que tu as decouvert que ton PC etait infecte?
C'est vraiment important de pouvoir determiner le type du logiciel qui t'as infecte. Ca permettra de limiter les recherches (il existe une multitude de clones/variantes de ce type de logiciel).

[Mortimer-]

Non, je ne suis pas sûre. Je l'ai supprimé avec Malewarebytes.

Les fichiers sont restés renommés avec une forme d'adresse email et l'extension ecc.
Puis deux jours après la forme d'email a disparu mais l'extension ecc. est restée.
Je l'ai vu sur le net et je fais une recherche.

Je crois qu'il s'agit de ça :

Aucun montant de rançon n'était affiché, par contre il y avait un délai à ne pas dépasser.

[ptigone]

Salut,

à tu essayer de démarrer ton PC avec un système Lynux ? L'avantage de se système c'est qu'il boot sur le cd et n'as pas besoin d'avoir un disque dur en état de marche.

Tu as le choix avec Ubuntu :
http://www.ubuntu-fr.org/

ou bien si tu as un vieux PC, j'utilise toutoulinux pour pouvoir booter sans passé par un disque dur:
http://toutoulinux.free.fr/


C'est très utile si on veut récupérer des fichiers avec un disque dur HS ou un infecter.

Après entre nous il vaut mieux ne pas avoir un système d'exploitation qui fait de l'anti-virus un Business ... mais ça c'est un autre débat ... ^^

Greg

[Mortimer-]

Mes connaissances en informatique sont très limitées. Je n'ai que le niveau de l'utilisateur lambda.
L'expérience en cours me permet d'en apprendre un peu plus, mais il vaut mieux que je reste dans le basique, au risque de faire de grosses bétises (enfin, d'encore plus grosses).

Mon disque dur n'est pas HS et il n'y a plus d'infection.
Par contre mes fichiers d'avant le 12 avril sont encryptés et il est impossible de les ouvrir.

Pour les nouveaux fichiers, j'ai essayé d'en créer et ça va. Ils sont cleans.

J'ai un seul fichier excel sur une clé USB, antérieurement sauvegardé, qui est vraiment très important mais que je n'ose pas ouvrir avec ma bécane.

[Mortimer-]

@ Hobbes

J'ai retrouvé des traces de la signature dans mes fichiers.
Donc, il en reste encore mais ce n'est pas reconnu comme virus :

Voici ce qui s'attache aux noms des éléments qui ressemblent à des morceaux de programmes (je peux faire une copie de tout) :

Elément supprimé sur le forum - par prudence - et envoyé par MP à Hobbes.

Est-ce que ça te met sur une voie ?

[Hobbes]

Je crois qu'il s'agit de ça :

Si c'est bien le message que tu as vu il s'agirait d'un malware du type CTB-locker (Critroni?).
Les fichiers ont ete chiffres en utilisant un algorithme a base de courbes ellipitques (ECC : elliptic curve cryptography).
Sans la cle privee (stockee sur les serveurs des pirates) impossible de dechiffrer les donnees.
Si par chance dans le futur une action est menee avec succes pour localiser les serveurs des pirates et mettre la main sur la base de donnees des cles prives alors il sera possible de dechiffrer tes donnees.

Mais il ne faut pas mettre trop d'espoir sur cette hypothese : ils ont pris la precaution d'utiliser Tor (http://fr.wikipedia.org/wiki/Tor_%28r%C3%A9seau%29) pour acceder a leur serveur, rien ne garantit qu'ils n'ont pas deja efface les cles privees de leur serveur, etc.

Par contre il serait prudent de conserver un maximum d'information, en particulier la cle publique qui a ete utilisee pour chiffre tes fichiers est normalement stockee dans un fichier "HELP_RESTORE_FILES.txt". Est-ce que tu as conserve une copie de ce fichier?

Voici ce qui s'attache aux noms des éléments qui ressemblent à des morceaux de programmes (je peux faire une copie de tout) :
(...)

Il s'agit d'un autre type de malware, je ne trouve pas de lien avec CTB-locker...

[Mortimer-]

Il me semble que le "second" malware n'en est pas un. C'est lié au premier car il c'est venu en même temps. Tous les fichiers ont été rebaptisés avec le "fudx@... etc." et l'extension ecc. en même temps que l'attaque. Le lien correspondant est certainement celui auquel il faut s'adresser pour payer la rançon.

[Mortimer-]

Bonjour,

J'ai perdu Mapannot et ne sais plus où le télécharger (pas retrouvé chez zarquos)

J'ai perdu les fichiers Word des énigmes que m'avait envoyés titechouette.

Une bonne âme pour me dire où je peux retrouver tout ça ?

M.

[cramoisi2]

Salut!
Eh bien que de soucis!

Les énigmes:
http://www.lachouette.net/index.php?a=E

Mapannot plus les cartes:
http://kelpi.zabro.free.fr/Web/Outildoc/mapannot.htm

[Mortimer-]

C'est récupéré. Merci !