Auteur Sujet: Hermes 2.0 ransomware  (Lu 3071 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Hermes 2.0 ransomware
« le: mai 24, 2017, 11:04:03 »
Bonjour
Je viens d'être contaminé par ce virus suite a un lien qui m'a lancé un .exe

Suite a cela des fichiers ce sont installés tels que war of tank etc...
Le system m'a ensuite lancé des messages de commande (le virus en fait) que j'ai fermé et ignoré, depuis le virus a penetré le systeme et impossible douvrir photo, pdf, word
Je peux cependant ouvrir des video sous vlc.

J'ai vu des tuto sur le net mais sont-ils réellement fiables ?

Merci en tous cas pour l'aide que vous pourrez m'apporter :)

Bonne journée
Franck
« Modifié: mai 24, 2017, 11:08:55 par Choudoudou »

Security-X

Hermes 2.0 ransomware
« le: mai 24, 2017, 11:04:03 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #1 le: mai 24, 2017, 11:37:33 »
Bonjour,

Malheureusement, comme la plupart des ransomware évolué, il n'existe à l'heure actuel aucun moyen de décrypter les fichiers pris en otage par ce ransomware.

Il n'existait un moyen que pour la première version de cette variante.

La seule chose que l'on peut faire est donc de vérifier qu'il n'est plus actif sur ton système.

La seule solution reste de restaurer tes documents si tu avais une sauvegarde externe.

Désolé.
 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #2 le: mai 24, 2017, 13:54:44 »
Ah cest dommage ca :(

Et il n'y pas de sauvegarde système que l'on peut utiliser où les fichiers sont restauré comme a letat t-1 ?

En tous cas, je veux bien de laide pour verifier si il est encore actif.

Vous pensez qu'il est interessant de conserver les fichiers si decryptage il y a ? Ou generalement personne ne trouve l'algorithme ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #3 le: mai 24, 2017, 15:56:17 »
Re,

Citer
Et il n'y pas de sauvegarde système que l'on peut utiliser où les fichiers sont restauré comme a letat t-1 ?

La restauration système Windows ne protège que les fichiers système et le registre, pas les données personnelles.
De plus ce ransomware a la particularité de supprimer la fonction Shadow copie qui permet de retrouver un fichier à un état antérieur (fonctionne pour les fichiers système, et personnel seulement si y'a une sauvegarde Windows liée)

Donc, si tu n'as jamais effectué une sauvegarde via l'outil Windows ou un autre logiciel, ce qui en soit est déjà un grave manquement, pour pleins d'autres raisons, non aucun moyen de récupérer quoi que ce soit ...



Citer
Vous pensez qu'il est interessant de conserver les fichiers si decryptage il y a ? Ou generalement personne ne trouve l'algorithme ?

Cela devient très compliqué avec les variantes actuelles, les clés de chiffrement étant trop forte, mais cela ne coute rien de les conserver au cas ou.



Citer
En tous cas, je veux bien de laide pour verifier si il est encore actif.

Normalement il ne l'est plus dès la fin de son chiffrement, mais pour voir :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou  64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Oui pour accepter le disclaimer.
  • Clique sur le bouton  Analyser.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.


Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #4 le: mai 26, 2017, 19:58:09 »
Bonjour,

Alors non je n'ai pas de sauvegarde via l'outil windows, mes points de restaurations ont semble t-il été supprimés... ou alors ce n'est pas de cela dont vous parlez ? Je suis vraiment newbie en informatique et j'ai toujours été en mode "peace and love, les virus ça arrive aux autres pas à moi  O0" mais faut croire que finalement quand on va n'importe où ben ... ça m'arrive aussi.

Alors depuis ma contamination, j'ai lancé malwarebytes et j'ai tout nettoyé ainsi. Cependant, j'ai inséré une clé USB entre temps pour récupérer des fichiers mais la clé à été contaminée.... je l'ai formaté du coup.
Dois-je garder seulement les fichiers cryptés ou bien aussi le fichier virus "UNIQUE_DO_NOT_REMOVE" etc ?

J'ai lancé FARBAR, voici les resultats :
... en fait pas de resultat possible à vous donner, j'arrive pas à poster trop de caractère ... quand je vous dis que je suis une quiche en informatique ...

Correction2: non j'ai compris en fait, les liens vont suivrent si tout se passe bien :D
« Modifié: mai 26, 2017, 20:00:28 par Choudoudou »


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #6 le: mai 26, 2017, 20:40:53 »
Re,

Citer
Alors non je n'ai pas de sauvegarde via l'outil windows, mes points de restaurations ont semble t-il été supprimés... ou alors ce n'est pas de cela dont vous parlez ? Je suis vraiment newbie en informatique et j'ai toujours été en mode "peace and love, les virus ça arrive aux autres pas à moi  O0" mais faut croire que finalement quand on va n'importe où ben ... ça m'arrive aussi.

Oui, c'est ce que je disais, l'infection supprime la restauration.
Et oui, il suffit d'une fois. ET c'est en cela que sert une sauvegarde externe ... entre autre.

Dropox tu sauvegardais rien dessus ?



Citer
Alors depuis ma contamination, j'ai lancé malwarebytes et j'ai tout nettoyé ainsi.

Pas tout, y'a encore des éléments en fait.

Néanmoins, il me faudrait le rapport de Malwarebyte's :


Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #7 le: mai 27, 2017, 12:29:29 »
Non dropbox m'a anciennement servi mais je ne l'utilisais plus. Du coup pas de sauvegarde recente externe mais j'y veillerai à l'avenir.
En parlant de cela, j'ai fait la betise de commencer à transférer des photos non cryptées du pc sur un nouveau disque dur mais vu ce que vous me dites j'ai fait machine arriere et formater ce disque dur externe en attendant d'éradiquer totalement la menace :)

Voici le rapport de malwarebytes :

https://up.security-x.fr/file.php?h=R1c46b8bf3dd41f0a7447ec6f20f64c8e

POur les antivirus, euh j'avais AVAST depuis longtemps mais il avait expiré et depuis j'ai rien mis à jour. TrendMicro, je crois qu'il a toujours été là mais jamais servi, je ne savais meme pas que c'était un antivirus... non j'ai vraiment fait n'importe quoi sur ce pc et j'ai regardé ... à une epoque il me servait vraiment que pour du pro et mes projets, c'est depuis que je m'en sers uniquement pour du privé que ça a mer** ^^

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #8 le: mai 27, 2017, 14:24:50 »
Re,

Un antivirus non à jour ne sers strictement à rien ...
Il en existe des gratuits qui suffisent amplement ... Je t'en proposerais en fin de procédure

Citer
Drive c: (OS) (Fixed) (Total:116.44 GB) (Free:3.17 GB) NTFS ==>[système avec composants d'amorçage (obtenu depuis lecteur)]
Drive d: (DATA) (Fixed) (Total:327.83 GB) (Free:14.78 GB) NTFS

Tes deux partition de disque dur sont saturés
Cela va provoquer ralentissements et plantages
Tu dois absolument désinstaller les programmes inutiles, et supprimer ou archiver tes documents personnels (photo, vidéos, documents, etc ...)



à suivre :


1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- avast! Internet Security (puis utilises cet utilitaire pour nettoyer les restes : https://www.avast.com/fr-fr/uninstall-utility )
- Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
- Java(TM) 6 Update 31 (version obsolète et vulnérable, tu possèdes une plus récente, mais qu'il faudra aussi mettre à jour en fin de procédure)
- Pando Media Booster (inutile et consomme de la ressource pour rien)
- Trend Micro Titanium Internet Security
 




  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe/FRST64.exe
  • Appuie simultanément sur Ctrl + y (Touches Ctrl et y)
  • Un fichier fixlist.txt s'ouvre, copie/colle la totalité du contenu de la zone Code ci-dessous dedans

Start
CreateRestorePoint:
CloseProcesses:
AlternateDataStreams: C:\ProgramData\Temp:41099CE9 [290]
AlternateDataStreams: C:\ProgramData\Temp:D20FFA63 [133]
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
FirewallRules: [{D9780C17-99FD-4BAD-8483-957F4CB8FC0E}] => (Allow) C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
FirewallRules: [{F44339E2-8862-42F4-A5D7-6442AB91BF40}] => (Allow) C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
FirewallRules: [{D6B8DC03-5188-4C22-A651-C78D494BDC0D}] => (Allow) C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
FirewallRules: [{BF050740-326C-4948-8FB8-0FA0A8B41D14}] => (Allow) C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
FirewallRules: [{744F6561-BF7A-478B-9E2B-5D9EE269A779}] => (Allow) C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
HKLM\...\Run: [VizorHtmlDialog.exe] => C:\Program Files\Trend Micro\Titanium\UIFramework\VizorHtmlDialog.exe [1123664 2010-10-08] (Trend Micro Inc.)
HKLM\...\Run: [Trend Micro Client Framework] => C:\Program Files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe [192520 2010-10-12] (Trend Micro Inc.)
HKLM\...\Run: [Trend Micro Titanium] => C:\Program Files\Trend Micro\Titanium\VizorShortCut.exe [322384 2010-09-17] (Trend Micro Inc.)
C:\Program Files\Trend Micro
HKLM\...\Run: [hshhsaaaws] => ******************************************************************************************************************************************************************************************************** (l'élément de données a 59 caractères en plus).
BHO: TmIEPlugInBHO Class -> {1CA1377B-DC1D-4A52-9585-6E06050FAC53} -> C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg.dll [2010-09-17] (Trend Micro Inc.)
BHO: TmBpIeBHO Class -> {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} -> C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll [2010-09-17] (Trend Micro Inc.)
BHO-x32: Pas de nom -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> Pas de fichier
BHO-x32: TmIEPlugInBHO Class -> {1CA1377B-DC1D-4A52-9585-6E06050FAC53} -> C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg32.dll [2010-09-17] (Trend Micro Inc.)
BHO-x32: TmBpIeBHO Class -> {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} -> C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe32.dll [2010-09-17] (Trend Micro Inc.)
Handler: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe64.dll [2010-09-17] (Trend Micro Inc.)
Handler-x32: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\Module\20002\6.5.1234\6.5.1234\TmBpIe32.dll [2010-09-17] (Trend Micro Inc.)
Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg.dll [2010-09-17] (Trend Micro Inc.)
Handler-x32: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\TmIEPlg32.dll [2010-09-17] (Trend Micro Inc.)
FF Extension: (Yahoo Toolbar and New Tab) - C:\Users\kikiche\AppData\Roaming\Mozilla\Firefox\Profiles\ofe8s8ey.default\Extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}.xpi [2017-05-06]
FF user.js: detected! => C:\Users\kikiche\AppData\Roaming\Mozilla\Firefox\Profiles\ofe8s8ey.default\user.js [2014-03-12]
FF NetworkProxy: Mozilla\Firefox\Profiles\ofe8s8ey.default -> type", 0
FF HKLM-x32\...\Firefox\Extensions: [{22C7F6C6-8D67-4534-92B5-529A0EC09405}] - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\firefoxextension
FF Extension: (Trend Micro NSC Firefox Extension) - C:\Program Files\Trend Micro\AMSP\Module\20004\1.5.1381\6.5.1234\firefoxextension [2011-03-24] [non signé]
R2 TiMiniService; C:\Program Files\Trend Micro\Titanium\TiMiniService.exe [241488 2010-09-17] (Trend Micro Inc.)
S3 Amsp; "C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe -m=rb -dt=60000 [X]
S2 ObjectStore Cache Manager R7.0; "D:\Program Files (x86)\Cognition\ObjectStore\bin\oscmgr6.exe" [X]
S2 ObjectStore Server R7.0; "D:\Program Files (x86)\Cognition\ObjectStore\bin\osserver.exe" [X]
R2 tmactmon; C:\Windows\System32\DRIVERS\tmactmon.sys [90704 2010-09-17] (Trend Micro Inc.)
R2 tmcomm; C:\Windows\System32\DRIVERS\tmcomm.sys [144464 2010-09-17] (Trend Micro Inc.)
R2 tmevtmgr; C:\Windows\System32\DRIVERS\tmevtmgr.sys [67664 2010-09-17] (Trend Micro Inc.)
R1 tmtdi; C:\Windows\System32\DRIVERS\tmtdi.sys [105552 2010-09-17] (Trend Micro Inc.)
2017-05-25 10:24 - 2017-05-25 11:56 - 00000000 ____D C:\Users\kikiche\AppData\Roaming\Enigma Software Group
2017-05-25 10:24 - 2017-05-25 10:24 - 00000000 ____D C:\sh4ldr
2017-05-25 10:23 - 2017-05-25 10:23 - 00000000 ____D C:\Program Files\Enigma Software Group
2017-05-23 23:24 - 2017-05-23 23:24 - 00320134 _____ C:\Users\kikiche\Downloads\OTL.Txt
2017-05-23 23:24 - 2017-05-23 23:24 - 00123660 _____ C:\Users\kikiche\Downloads\Extras.Txt
2017-05-23 22:51 - 2017-05-23 22:51 - 00602112 _____ (OldTimer Tools) C:\Users\kikiche\Downloads\OTL.exe
2017-05-23 20:02 - 2017-05-25 09:44 - 00001520 _____ C:\Users\Public\a.bat
2017-05-23 20:01 - 2017-05-25 09:40 - 00001444 _____ C:\Users\Public\UNIQUE_ID_DO_NOT_REMOVE
2017-05-23 20:01 - 2017-05-23 20:01 - 00006308 _____ C:\Users\Public\Documents\DECRYPT_INFORMATION.html
2017-05-23 20:01 - 2017-05-23 20:01 - 00006308 _____ C:\Users\Public\DECRYPT_INFORMATION.html
2017-05-23 20:01 - 2017-05-22 18:41 - 00001444 _____ C:\Users\Public\Documents\UNIQUE_ID_DO_NOT_REMOVE
2017-05-22 19:11 - 2017-05-22 19:11 - 00006308 _____ C:\Users\kikiche\Downloads\DECRYPT_INFORMATION.html
2017-05-22 19:11 - 2017-05-22 19:11 - 00006308 _____ C:\Users\kikiche\Documents\DECRYPT_INFORMATION.html
2017-05-22 19:11 - 2017-05-22 18:41 - 00001444 _____ C:\Users\kikiche\Downloads\UNIQUE_ID_DO_NOT_REMOVE
2017-05-22 19:11 - 2017-05-22 18:41 - 00001444 _____ C:\Users\kikiche\Documents\UNIQUE_ID_DO_NOT_REMOVE
2017-05-22 18:55 - 2017-05-22 18:55 - 00006308 _____ C:\Users\kikiche\DECRYPT_INFORMATION.html
2017-05-22 18:55 - 2017-05-22 18:41 - 00001444 _____ C:\Users\kikiche\UNIQUE_ID_DO_NOT_REMOVE
2017-05-19 21:01 - 2017-05-19 21:01 - 50089984 ____H (Lamsungggggggg ) C:\Users\kikiche\exthjki.exe
2017-05-19 20:39 - 2017-05-19 20:39 - 00341192 _____ C:\ProgramData\tw23660702.exe
EmptyTemp:
End
  • Appuyer simultanément sur Ctrl + s pour enregistrer. Fermer le fichier fixlist.txt
  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction

  • Le pc va demander à redémarrer, accepte.
  • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #9 le: mai 28, 2017, 10:22:14 »
Deja un grand merci à toi Hyunkel !

Je vais m'impliquer un peu plus la prochaine fois et faire bien attention pour éviter ce genre d'ennuis.

ALors j'ai supprimé ce que tu m'as dit mais en redémarrant le pc me met un message :

Impossible de charger le fichier ou l'assembly 'MOM.implementation' ou une de ses dépendances. le fichier spécifié est introuvable

Autrement, je me demandais, j'ai aussi des programmes appelé window live mesh avec des ecritures type symboles comme le chinois etc ... Je me demandais si il fallait pas supprimer et si c'etait pas un programme virus vu que mon pc est européen ?

Tu dois absolument désinstaller les programmes inutiles, et supprimer ou archiver tes documents personnels (photo, vidéos, documents, etc ...)
=> alors je veux bien en archiver mais j'ai peur de balancer le virus sur mon disque dur ou ma clé du coup que me conseilles-tu avant que je passe à l'étape d'après ?

Merci encore

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #10 le: mai 28, 2017, 10:57:18 »
Re,

Citer
Impossible de charger le fichier ou l'assembly 'MOM.implementation' ou une de ses dépendances. le fichier spécifié est introuvable

Donne-moi le rapport demandé de FRST : fixlog.txt s'il te plait.



Citer
Autrement, je me demandais, j'ai aussi des programmes appelé window live mesh avec des ecritures type symboles comme le chinois etc ... Je me demandais si il fallait pas supprimer et si c'etait pas un programme virus vu que mon pc est européen ?

Tu peux tout désinstaller, ce n'est pas infectieux, c'est juste des pack langage installé avec ces anciens programmes Windows Live qui ne sont plus vraiment utilisé

Citer
=> alors je veux bien en archiver mais j'ai peur de balancer le virus sur mon disque dur ou ma clé du coup que me conseilles-tu avant que je passe à l'étape d'après ?

Tu dois dans un premier temps désinstaller les programmes dont tu n'as pas l'utilité, si tu as un doute, au besoin, demande-moi avant.

Pour les documents personnels, deux cas :
- S'ils sont cryptés par l'infection, il faut les rassembler sur un même support, comme un disque externe ou clé USB (pour ceux que tu souhaites garder, en cas, peu probable, d'un outil de décryptage, sinon, supprime-les)
- S'il ne sont pas crypté, les sauvegarder sur un autre support que le précédent si besoin, ou les supprimer

Il n'y a pas de risque de transmission, l'infection n'est pas active sur le fichier crypté, seulement sur ton système, et encore, normalement après cette procédure, elle ne devrait plus l'être.

 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #11 le: mai 28, 2017, 23:23:03 »
Re,

Voici le lien pour le rapport fixlog :
https://up.security-x.fr/file.php?h=R7885b1a05fdc3f7882a204e343c08023

Ca marche j'ai desinstallé les window live mesh

Bon si je comprends bien, j'avais une premiere fois "virusé" ma clé car j'avais mis les fichier du virus dessus "UNIQUE..." et "DECRYPT..."

Merci en tous cas

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #12 le: mai 29, 2017, 09:54:08 »
Re,

Sachant qu'en fait les fichiers que tu indiques ne sont pas "infectieux" en soit, ce ne sont que des fichiers "informatifs" de l'infection pour tenter de faire payer la rançon.
Mais ils ont dû être détecté par ton antivirus.



Pour le reste, pour moi l'infection n'est maintenant plus active, donc je t'invite à effectuer ce qu'il faut pour mettre de côté les fichiers crypté à conserver, et ceux encore intact à sauvegarder, afin de réduire l'espace disque sur ce PC

 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #13 le: mai 29, 2017, 23:32:40 »
Merci à toi
Je vais faire le nécessaire.

Quelques questions:

-La touche FN ne fonctionne plus, je n'ai plus donc de raccourci avec tels que FN+F6 FN+F7 etc. aurai-je supprimé un mauvais programme ?
-Apparemment  on peut se faire decrypter 3 fichiers par ces hackers, je serai tenté de leur envoyé 3 fichiers mais j'ai peur qu'ils m'envoient un virus par la suite ...
-Pour maintenant, que me conseilles tu comme antivirus ?

Merci encore pour toute l'aide que tu as su m'apporter :)

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #14 le: mai 30, 2017, 08:58:34 »
Re,

Citer
-La touche FN ne fonctionne plus, je n'ai plus donc de raccourci avec tels que FN+F6 FN+F7 etc. aurai-je supprimé un mauvais programme ?

Si tu ne m'indiques pas ce qui a été désinstallé, impossible de te répondre. ;)
Je t'avais proposé de t'indiquer si tu pouvais désinstaller ou pas en me soumettant les programmes avant.

Citer
-Apparemment  on peut se faire decrypter 3 fichiers par ces hackers, je serai tenté de leur envoyé 3 fichiers mais j'ai peur qu'ils m'envoient un virus par la suite ...

Je déconseille fortement tout contact avec les auteurs de ces infections, pour quelque raison que ce soit.

Citer
-Pour maintenant, que me conseilles tu comme antivirus ?

Aucun antivirus ne t'aurait protéger de cette infection, qui est généralement lié à l'ouverture par un utilisateur d'une pièce jointe d'un email douteux.
C'est de prévention qu'il faut faire....

Pour le reste, tous les antivirus, payant ou gratuit se valent dans le cadre d'une utilisation avec un comportement responsable du PC.

 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #15 le: mai 30, 2017, 10:02:29 »
Alors j'ai désinstallé uniquement ceux que tu m'as indiqué. ET des jeux videos et le programe window pour les langues etrangères mais je t'avais demandé sinon rien d'autres ... :/

Ca marche :) merci !

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #16 le: mai 30, 2017, 10:10:54 »
En fait je vais reformater ce pc ce sera plus simple et çalui fera du bien, trop de n'importe quoi dessus. Par contre, je n'ai pas de CD d'installation window 7, puis-je le retrouver sur internet peut-etre ?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #17 le: mai 30, 2017, 10:29:43 »
Re,

C'est toi qui voit, c'est effectivement une solution pour ^repartir sur du "propre"

Pas besoin de quoique ce soit, tu as ta partition Recovery :
Citer
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 465.8 GB) (Disk ID: E0C5913D)
Partition 1: (Not Active) - (Size=21.5 GB) - (Type=1C)
Partition 2: (Active) - (Size=116.4 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=327.8 GB) - (Type=OF Extended)

Tu dois lancer la procédure Recovery Asus de cette manière :
https://www.asus.com/fr/support/faq/1005389/

On est bien d'accord que cette procédure supprimera l'ensemble des programmes installés et tes données personnelles !
Tu retrouveras le système en état "sortie d'usine"

 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #18 le: mai 30, 2017, 10:33:48 »
Oui on est bien d'accord mais au moins je repartirai sur du propre en effet :)

Merci pour tout encore, je vais retrouver un pc digne de ce nom :)

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #19 le: juin 03, 2017, 18:29:34 »
Hello !

Petit Up vous avez vu cet article ?
http://www.theregister.co.uk/2017/06/01/wannacrypt_coding_mistakes/

Apparemment les ransomware commencent à intéresser du monde et il sera possible de decrypter des fichiers
Info ou intox ??

Bonne journée

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #20 le: juin 03, 2017, 22:25:25 »
Bonsoir,

Tu n'es malheureusement pas victime de ce ransomware, ce n'est pas la même famille donc même s'ils trouvaient un moyen de décrypter cela ne fonctionnerait pas pour toi.

Désolé.

 :AAN

Hors ligne Choudoudou

  • Membres
  • Members
  • *
  • Messages: 14
Re : Hermes 2.0 ransomware
« Réponse #21 le: juin 03, 2017, 22:31:50 »
Aie dommage, je pensais que les dernières version de ransomeware avaient quasi tous le meme type d'algo et que si tu en decryptes un, tu peux tous les avoir ^^
Bon tant pis:)

Bonne soirée

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Hermes 2.0 ransomware
« Réponse #22 le: juin 03, 2017, 22:49:44 »
Re,

Non car chaque ransomware a une manière de crypter les fichiers, de conserver ou pas les clé de chiffrement, etc ...
Ils sont tous différents, même au sein d'une même famille une variante est différente de l'autre

Tags: