CoinVault Virus très Grave

CoinVault Virus très Grave - Virus/Spywares - Windows & Software

Marsh Posté le 28-12-2014 à 08:40:24    

Bonjour,
Je viens solliciter votre aide.
Je me retrouve dans une situation très grave.
 
J'ai attrapé ce satané microbe de rançon CoinVault.
Virus qui encrypte tous vos fichiers et qui deviennent illisible, sauf si vous payer ces pirates mafieux de merde.
Et encore, vous n’êtes pas sûr d'avoir le décodage de vos fichiers avec ces gens-là.
 
Ce qui est grave, ce ne sont pas mes fichiers de travail, je m'en fou presque en rapport à  
toutes mes photos personnelles de mon bébé (depuis Trois ans donc).  
Pourtant j'avais bien fait attention de tous stocker sur un RAID 1 et dupliqué en réseau.
 
Voilà, je me sens désarmé face à cette menace, je ne sais plus comment faire.  
Sauf peut-être en récupérant les données de chacun de mes disques dur individuellement
sur ma grappe RAID1 en espérant que l’encryptage ne se soit dupliquer sur l'un ou l'autre des disques.
 
Merci de votre aide, je vous en supplies

Reply

Marsh Posté le 28-12-2014 à 08:40:24   

Reply

Marsh Posté le 28-12-2014 à 08:48:15    

PS: J'ai acheté depuis des années Eset NOD 32 (License que je renouvelle tous les trois ans) et Malwarebytes.
 
:(


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 09:39:53    

Si quelqu'un connait un logiciel de décryptage de données? Je suis prêt à laisser tourner ma becane pendant des mois s'il faut.
I7 4930 + I7 920 + I7 2630QM


Message édité par italia_jp le 28-12-2014 à 09:42:32

---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 09:51:29    

Bonjour,
 
Quelle misère ces ransomwares ! On les trouve généralement dans des fausses mises à jour, via des exploits, des pièces jointes de mails, par les supports USB :pfff:  
 
A moins de payer, il n'y a en principe très peu de chance de récupérer ses données perso. De plus, il ne faut pas supprimer le malware avant de tenter la récupération des documents. Plus tu attends, plus la rançon augmente.  
Il n' y a pas de logiciel décryptage spécifique.  
 
Quelques mesures à tenter si tu as des sauvegardes antérieures: ShadowExplorer  
 
Autre:  
L'excellent programme Stellar Phoenix Photo Recovery
 
Photorec et R-Studio
 
Recuva
 
 
Je vous aiderai ensuite à désinfecter le PC.


Message édité par monk521 le 28-12-2014 à 10:22:19
Reply

Marsh Posté le 28-12-2014 à 10:03:19    

Merci Monk,
J'ai malheureusement du effacer toutes trace de virus ou malware en faisant un scan approfondi avec nod, qui m'a bien-sur tout effacer.
 
En fait, le gros du problème c'est pas le disque C, j'efface tout et je recommence, mais le disque en RAID 1 (miroir).
 
Et j'ai bien peur qu'il n'y ai aucune restauration possible pour ces cas là?


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 10:09:54    

Oui effectivement pour les disques annexes mais tente quand même les logiciels de récupération de photos, ils arrivent à récupérer des fichiers supprimés. En fait lorsque CoinVault crypte un fichier, il fait d'abord une copie de celui-ci, le chiffre, puis supprime l'original. Donc à essayer.
 
Il faudra quand même désinfecter les résidus de l'infection sur le disque C.


Message édité par monk521 le 28-12-2014 à 11:29:51
Reply

Marsh Posté le 28-12-2014 à 10:45:52    

Je tente une récupération disque par disque sur une autre config saine avec stellar phoenix que vous m'avez conseiller, encore merci.
 
Je vais voir si j'arrive à trouver au moins une partie de mes souvenirs.
 
Vive les cassettes de camescope et l'argentique pour les photos.
 
Prochaine je crypte tous mes disques, je sauvegarde en plus les photos sur Bluray et copie sur sd.
 
Je testerais mes programmes sur VMware et partition linux, non visible par Windobe


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 10:47:39    

Pour les résidus sur le Disque C, je vais formater, limite bas niveau. Et je pars une source propre.
 
Quand pensez vous?


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 10:50:02    

Pas obligé, je peux faire un diagnostic précis du système avec ZHPDiag.

Reply

Marsh Posté le 28-12-2014 à 10:55:12    

Je vous donne la procédure au cas où :
 
 
:) Attention : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.  
 
 
Comment créer et poster le lien d'un rapport :
 

  • Se rendre sur le site http://www.cjoint.com/
  • Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
  • Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
  • Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme htt://cjoint.com/CFnaaobHAob, et sélectionner copier l'adresse du lien.  
  • Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.


 
 
 
==> ZHPDiag - programme de diagnostic
 
 

  • Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.


  • Fermer les programmes en cours d'utilisation.


  • Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  


  • Cliquer sur Complet


    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
    http://upload.sosvirus.net/images/2014/04/16/ZHPDiagc82cd.png
 

  • Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.


  • Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  


 
 

Reply

Marsh Posté le 28-12-2014 à 10:55:12   

Reply

Marsh Posté le 28-12-2014 à 10:57:47    

italia_jp a écrit :

Je tente une récupération disque par disque sur une autre config saine avec stellar phoenix que vous m'avez conseiller, encore merci.
 
Je vais voir si j'arrive à trouver au moins une partie de mes souvenirs.
 
Vive les cassettes de camescope et l'argentique pour les photos.
 
Prochaine je crypte tous mes disques, je sauvegarde en plus les photos sur Bluray et copie sur sd.
 
Je testerais mes programmes sur VMware et partition linux, non visible par Windobe


 
 
le problème c'est que tu as confondu RAID 1 et sauvegarde.... un RAID 1 n'est pas une sauvegarde, aucun RAID ne fait office de sauvegarde. de même que ton disque en réseau, ce n'est pas une sauvegarde parce qu'il est relié en permanence à ton PC.
 
Pour ton idée de sauvegarde sur blu ray, c'est pas mieux.... un disque n'est pas super fiable, sans parler de la limitation au 50 Go.... de même que pour une carte SD : pas top non plus.
 
si tu avais eu une disque dur externe avec une vraie sauvegarde, c'était bon.
 
bon courage, avec monk tu es entre de bonnes mains


Message édité par Profil supprimé le 28-12-2014 à 10:58:15
Reply

Marsh Posté le 28-12-2014 à 11:08:07    

il y a un topic sur ce sujet : http://www.bleepingcomputer.com/fo [...] ort-topic/
Malheureusement, il semble que le chiffrement soit fait en AES et qu'on ne puisse pas le décrypter.
Par contre les versions précédentes ne sont pas supprimées.
 
Il n'est pas utile de faire du formatage bas niveau.
Il est plus utile de comprendre comment ce programme est arrivé.
Est ce par un programme non à jour, genre java 6 ou via une pièce jointe ?
 
Tu disais que ton disque raid 1 est dupliqué sur le réseau, tu n'as pas moyen de récupérer les données depuis cet endroit ?


Message édité par nnwldx le 28-12-2014 à 11:23:47
Reply

Marsh Posté le 28-12-2014 à 11:16:03    

Effectivement l'article d'explications et solutions de bleepingcomputer fait froid dans le dos :
http://www.bleepingcomputer.com/vi [...] nformation

Reply

Marsh Posté le 28-12-2014 à 11:47:52    

nnwldx
Mes disques réseau sont aussi touchés.
Et j'avais un disque de sauvegarde en usb 3, et comme un con, il n'y a pas d'autre mot, je l'ai oublié allumé, juste ces deux jours.
Pile pendant l'infection.  
 
Jgcollection, je ne confonds pas sauvegarde et raid1, mais je m'attendais plutôt à une perte de donnée suite à panne, pour ça, donc que j'ai utilisé le raid1


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 11:50:37    

Oui j'avais regarder l'article sur bleepingcomputer


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 11:51:15    

tu as regardé si tu avais les versions précédentes d'activés sur le stockage local ou le stockage réseau ?

Reply

Marsh Posté le 28-12-2014 à 11:51:34    

monk, je tacherais de faire le diag demain, merci


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 11:52:45    

Ok, pas de problème. Le malware n'est pas difficile à enlever en lui même, du moins les traces résiduelles dans cette situation.


Message édité par monk521 le 28-12-2014 à 11:54:00
Reply

Marsh Posté le 28-12-2014 à 11:53:02    

italia_jp a écrit :


Jgcollection, je ne confonds pas sauvegarde et raid1, mais je m'attendais plutôt à une perte de donnée suite à panne, pour ça, donc que j'ai utilisé le raid1


 
ben c'est bien ce que je dis, tu confonds RAID et sauvegarde. Il n'y a pas qu'une panne qui est possible, il y a aussi un virus!
 

Reply

Marsh Posté le 28-12-2014 à 21:47:09    

Jg tu sais que critiquer?  
Parceque là t'es lourd
bravo t'es fort, ok?


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 28-12-2014 à 21:54:09    

italia_jp a écrit :

Jg tu sais que critiquer?  
Parceque là t'es lourd

bravo t'es fort, ok?


 
pardon??????
 
je t'explique simplement que tu as confondu RAID et sauvegarde et tu me réponds que non...... le fait est que maintenant que tes données sont cryptées à cause d'un virus, tu es mal.... si tu avais mis en place une vraie sauvegarde au lieu d'un RAID 1 et d'un disque en réseau, ca ne serait pas arriver.
 
ca ne me donne même pas envie de te conseiller pour à l'avenir faire de bonnes sauvegardes.....  marre de passer du temps à expliquer aux gens certains trucs pour me faire agresser ensuite.
 
bon courage.  
 

Reply

Marsh Posté le 28-12-2014 à 22:13:05    

Enfin, merci t'as tout compris


---------------
** Windows a détecté que vous n’aviez pas de clavier. Appuyez sur ‘F9′ pour continuer **
Reply

Marsh Posté le 30-12-2014 à 12:03:01    

Je suis exactement dans le même cas (coinvault+RAID1).
En tout j'ai perdu 2To de données... mais "seules" 100Go m'importe vraiment et y'a peu d'espoir de les récupérer...
Je vais également tenter un recovery des disques 1 par 1 en désepoir de cause.
En tout cas bon courage à toi italia_jp
 
Edit : pour info l'origine de l'infection est une vidéo avec un .exe à coté qui se trouvaient dans un fichier .rar.
Par contre je ne sais pas si c'est à la décompression ou au lancement de la video (je n'ai pas exécuté le .exe)

Message cité 1 fois
Message édité par svkignole le 30-12-2014 à 12:05:47
Reply

Marsh Posté le 30-12-2014 à 12:59:36    

Je ne vois pas trop pourquoi vous faites du RAID 1.
C'est fait pour qu'une entreprise puisse continuer de travailler même si un disque lache.
Pour un particulier il faut mieux casser le raid et garder un disque pour la sauvegarde.
 
C'est sur que la sauvegarde ne sera peut être pas tout le temps à jour et que des fichiers risquent d'être perdus.
Mais au final c'est plus sûr d'avoir un disque de sauvegarde plutôt qu'un raid 1.

Reply

Marsh Posté le 30-12-2014 à 13:03:36    

nnwldx a écrit :

Je ne vois pas trop pourquoi vous faites du RAID 1.
C'est fait pour qu'une entreprise puisse continuer de travailler même si un disque lache.
Pour un particulier il faut mieux casser le raid et garder un disque pour la sauvegarde.
 
C'est sur que la sauvegarde ne sera peut être pas tout le temps à jour et que des fichiers risquent d'être perdus.
Mais au final c'est plus sûr d'avoir un disque de sauvegarde plutôt qu'un raid 1.


 
mais c'est clair!!!!

Reply

Marsh Posté le 30-12-2014 à 14:03:22    

On fait du RAID1 pour avoir du RAID1...
Effectivement tu peux nous reprocher de ne pas avoir de sauvegarde et je suis d'accord. Mais le RAID1 a son utilité.

Reply

Marsh Posté le 30-12-2014 à 14:32:22    

svkignole a écrit :

On fait du RAID1 pour avoir du RAID1...
Effectivement tu peux nous reprocher de ne pas avoir de sauvegarde et je suis d'accord. Mais le RAID1 a son utilité.


 
pas pour un particulier.  
 
nnwldx a totalement raison.

Reply

Marsh Posté le 30-12-2014 à 14:46:23    

Rien ne sert de débattre plus la dessus de toute façon l'objet du topic prouve à lui seul que tu as raison.
 
En tout cas si jamais quelqu'un trouve un solution pour décrypter les fichier cryptés par coinvault, il fera des heureux !!!
 
PS : autre info, avant de dezipper le fichier je l'avait scanner avec Security Essentials et Malwarebytes mais ils n'avaient rien trouvé...

Reply

Marsh Posté le 30-12-2014 à 15:51:56    

svkignole a écrit :


Edit : pour info l'origine de l'infection est une vidéo avec un .exe à coté qui se trouvaient dans un fichier .rar.
Par contre je ne sais pas si c'est à la décompression ou au lancement de la video (je n'ai pas exécuté le .exe)


 
Pour mon information personnelle :
Tu veux dire que tu avais un fichier .rar avec à l'intérieur une vidéo + un fichier .exe ?  
ou un fichier .rar avec une vidéo dont le nom de fichier avait pour extension .exe ?
Comment peux-tu savoir que l'infection vient de ce fichier .rar ?
Et ce fichier .rar était dans un message dont tu connaissais l'expéditeur ?
 
Merci d'avance ( c'est juste pour savoir au cas où)
 
 
 

Reply

Marsh Posté le 30-12-2014 à 17:49:18    

la plus part du temps ces cryptolocker utilisent des fausses mises à jours et des fichiers ou liens en pièce jointe.
 
Si tu reçois une vidéo dans un format RAR, c'est déja louche.
Car une vidéo est déja compressé et la compresser ne donnera rien.
 
L'archive sert souvent de prétexte pour mettre à l'intérieur un fichier exécutable ou tout autre malware.
 
Si on te demande d'installer un executable pour lire une vidéo, tu fuis le site. Tu ne télécharges le flash que sur le site officiel.
Si tu as des doutes sur une pièce jointe, il faut mieux même pas l'ouvrir.
 

Reply

Marsh Posté le 30-12-2014 à 18:12:57    

Scipion80 a écrit :


 
Pour mon information personnelle :
Tu veux dire que tu avais un fichier .rar avec à l'intérieur une vidéo + un fichier .exe ?  
ou un fichier .rar avec une vidéo dont le nom de fichier avait pour extension .exe ?
Comment peux-tu savoir que l'infection vient de ce fichier .rar ?
Et ce fichier .rar était dans un message dont tu connaissais l'expéditeur ?
 
Merci d'avance ( c'est juste pour savoir au cas où)
 
 
 


 
Oui un fichier rar avec la video dedans + un dossier et a l'intérieur du dossier un exe
 
Ce n'était pas une MAJ de flash ou java, ni un téléchargement depuis un site internet bidon, c'était un téléchargement sur les newsgroup...
D'habitude je suis trés prudent, je n'ai jamais rien chopé comme virus depuis que j'ai un pc (15ans...)
En règle général ce genre de .rar avec exe je supprime mais là je sais pas pourquoi...


Message édité par svkignole le 30-12-2014 à 18:15:52
Reply

Marsh Posté le 30-12-2014 à 18:55:12    

tu affiches l'extension de fichiers??
 
je pense que ca devait être un fichier qui s'appelait   nom.rar.exe  
et tu as du voir juste nom.rar

Reply

Marsh Posté le 31-12-2014 à 01:14:26    

Citation :

En tout cas si jamais quelqu'un trouve un solution pour décrypter les fichier cryptés par coinvault, il fera des heureux !!!


 
De mémoire, on trouve des outils de décryptage sur le site de Kaspersky.
Edit : regarde ici :
http://support.kaspersky.com/viruses/utility


Message édité par steven67 le 31-12-2014 à 01:17:07
Reply

Marsh Posté le 31-12-2014 à 06:52:35    


 
Non non c'était bien un .rar  ;)
 
Merci steven67, je jette un oeil.


Message édité par svkignole le 31-12-2014 à 06:53:23
Reply

Marsh Posté le 02-01-2015 à 09:48:24    

Après plusieurs logiciels passés impossible de récupérer mes fichiers...

Reply

Marsh Posté le 02-01-2015 à 11:12:21    

Pour le moment, il n'y a pas de logiciel capable de le faire.
Tu peux toujours garder les fichiers de coté, si quelqu'un trouve une faille dans la conception du programme.
C'était arrivé dans la 1ère version du cryptolocker.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed