Bonjour,
Je viens solliciter votre aide.
Je me retrouve dans une situation très grave.
 
J'ai attrapé ce satané microbe de rançon CoinVault.
Virus qui encrypte tous vos fichiers et qui deviennent illisible, sauf si vous payer ces pirates mafieux de merde.
Et encore, vous n’êtes pas sûr d'avoir le décodage de vos fichiers avec ces gens-là.
 
Ce qui est grave, ce ne sont pas mes fichiers de travail, je m'en fou presque en rapport à  
toutes mes photos personnelles de mon bébé (depuis Trois ans donc).  
Pourtant j'avais bien fait attention de tous stocker sur un RAID 1 et dupliqué en réseau.
 
Voilà, je me sens désarmé face à cette menace, je ne sais plus comment faire.  
Sauf peut-être en récupérant les données de chacun de mes disques dur individuellement
sur ma grappe RAID1 en espérant que l’encryptage ne se soit dupliquer sur l'un ou l'autre des disques.
 
Merci de votre aide, je vous en supplies

PS: J'ai acheté depuis des années Eset NOD 32 (License que je renouvelle tous les trois ans) et Malwarebytes.
 

Si quelqu'un connait un logiciel de décryptage de données? Je suis prêt à laisser tourner ma becane pendant des mois s'il faut.
I7 4930 + I7 920 + I7 2630QM

Bonjour,
 
Quelle misère ces ransomwares ! On les trouve généralement dans des fausses mises à jour, via des exploits, des pièces jointes de mails, par les supports USB  
 
A moins de payer, il n'y a en principe très peu de chance de récupérer ses données perso. De plus, il ne faut pas supprimer le malware avant de tenter la récupération des documents. Plus tu attends, plus la rançon augmente.  
Il n' y a pas de logiciel décryptage spécifique.  
 
Quelques mesures à tenter si tu as des sauvegardes antérieures: ShadowExplorer  
 
Autre:  
L'excellent programme Stellar Phoenix Photo Recovery
 
Photorec et R-Studio
 
Recuva
 
 
Je vous aiderai ensuite à désinfecter le PC.

Merci Monk,
J'ai malheureusement du effacer toutes trace de virus ou malware en faisant un scan approfondi avec nod, qui m'a bien-sur tout effacer.
 
En fait, le gros du problème c'est pas le disque C, j'efface tout et je recommence, mais le disque en RAID 1 (miroir).
 
Et j'ai bien peur qu'il n'y ai aucune restauration possible pour ces cas là?

Oui effectivement pour les disques annexes mais tente quand même les logiciels de récupération de photos, ils arrivent à récupérer des fichiers supprimés. En fait lorsque CoinVault crypte un fichier, il fait d'abord une copie de celui-ci, le chiffre, puis supprime l'original. Donc à essayer.
 
Il faudra quand même désinfecter les résidus de l'infection sur le disque C.

Je tente une récupération disque par disque sur une autre config saine avec stellar phoenix que vous m'avez conseiller, encore merci.
 
Je vais voir si j'arrive à trouver au moins une partie de mes souvenirs.
 
Vive les cassettes de camescope et l'argentique pour les photos.
 
Prochaine je crypte tous mes disques, je sauvegarde en plus les photos sur Bluray et copie sur sd.
 
Je testerais mes programmes sur VMware et partition linux, non visible par Windobe

Pour les résidus sur le Disque C, je vais formater, limite bas niveau. Et je pars une source propre.
 
Quand pensez vous?

Pas obligé, je peux faire un diagnostic précis du système avec ZHPDiag.

Je vous donne la procédure au cas où :
 
 
Attention : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.  
 
 
Comment créer et poster le lien d'un rapport :
 

• Se rendre sur le site http://www.cjoint.com/
• Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
• Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
• Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme htt://cjoint.com/CFnaaobHAob, et sélectionner copier l'adresse du lien.  
• Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.

 
 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Fermer les programmes en cours d'utilisation.

• Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  

• Cliquer sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

 
 
le problème c'est que tu as confondu RAID 1 et sauvegarde.... un RAID 1 n'est pas une sauvegarde, aucun RAID ne fait office de sauvegarde. de même que ton disque en réseau, ce n'est pas une sauvegarde parce qu'il est relié en permanence à ton PC.
 
Pour ton idée de sauvegarde sur blu ray, c'est pas mieux.... un disque n'est pas super fiable, sans parler de la limitation au 50 Go.... de même que pour une carte SD : pas top non plus.
 
si tu avais eu une disque dur externe avec une vraie sauvegarde, c'était bon.
 
bon courage, avec monk tu es entre de bonnes mains

il y a un topic sur ce sujet : http://www.bleepingcomputer.com/fo [...] ort-topic/
Malheureusement, il semble que le chiffrement soit fait en AES et qu'on ne puisse pas le décrypter.
Par contre les versions précédentes ne sont pas supprimées.
 
Il n'est pas utile de faire du formatage bas niveau.
Il est plus utile de comprendre comment ce programme est arrivé.
Est ce par un programme non à jour, genre java 6 ou via une pièce jointe ?
 
Tu disais que ton disque raid 1 est dupliqué sur le réseau, tu n'as pas moyen de récupérer les données depuis cet endroit ?

Effectivement l'article d'explications et solutions de bleepingcomputer fait froid dans le dos :
http://www.bleepingcomputer.com/vi [...] nformation

nnwldx
Mes disques réseau sont aussi touchés.
Et j'avais un disque de sauvegarde en usb 3, et comme un con, il n'y a pas d'autre mot, je l'ai oublié allumé, juste ces deux jours.
Pile pendant l'infection.  
 
Jgcollection, je ne confonds pas sauvegarde et raid1, mais je m'attendais plutôt à une perte de donnée suite à panne, pour ça, donc que j'ai utilisé le raid1

Oui j'avais regarder l'article sur bleepingcomputer

tu as regardé si tu avais les versions précédentes d'activés sur le stockage local ou le stockage réseau ?

monk, je tacherais de faire le diag demain, merci

Ok, pas de problème. Le malware n'est pas difficile à enlever en lui même, du moins les traces résiduelles dans cette situation.

 
ben c'est bien ce que je dis, tu confonds RAID et sauvegarde. Il n'y a pas qu'une panne qui est possible, il y a aussi un virus!
 

Jg tu sais que critiquer?  
Parceque là t'es lourd
bravo t'es fort, ok?

 
pardon??????
 
je t'explique simplement que tu as confondu RAID et sauvegarde et tu me réponds que non...... le fait est que maintenant que tes données sont cryptées à cause d'un virus, tu es mal.... si tu avais mis en place une vraie sauvegarde au lieu d'un RAID 1 et d'un disque en réseau, ca ne serait pas arriver.
 
ca ne me donne même pas envie de te conseiller pour à l'avenir faire de bonnes sauvegardes.....  marre de passer du temps à expliquer aux gens certains trucs pour me faire agresser ensuite.
 
bon courage.  
 

Enfin, merci t'as tout compris

Je suis exactement dans le même cas (coinvault+RAID1).
En tout j'ai perdu 2To de données... mais "seules" 100Go m'importe vraiment et y'a peu d'espoir de les récupérer...
Je vais également tenter un recovery des disques 1 par 1 en désepoir de cause.
En tout cas bon courage à toi italia_jp
 
Edit : pour info l'origine de l'infection est une vidéo avec un .exe à coté qui se trouvaient dans un fichier .rar.
Par contre je ne sais pas si c'est à la décompression ou au lancement de la video (je n'ai pas exécuté le .exe)

Je ne vois pas trop pourquoi vous faites du RAID 1.
C'est fait pour qu'une entreprise puisse continuer de travailler même si un disque lache.
Pour un particulier il faut mieux casser le raid et garder un disque pour la sauvegarde.
 
C'est sur que la sauvegarde ne sera peut être pas tout le temps à jour et que des fichiers risquent d'être perdus.
Mais au final c'est plus sûr d'avoir un disque de sauvegarde plutôt qu'un raid 1.

 
mais c'est clair!!!!

On fait du RAID1 pour avoir du RAID1...
Effectivement tu peux nous reprocher de ne pas avoir de sauvegarde et je suis d'accord. Mais le RAID1 a son utilité.

 
pas pour un particulier.  
 
nnwldx a totalement raison.

Rien ne sert de débattre plus la dessus de toute façon l'objet du topic prouve à lui seul que tu as raison.
 
En tout cas si jamais quelqu'un trouve un solution pour décrypter les fichier cryptés par coinvault, il fera des heureux !!!
 
PS : autre info, avant de dezipper le fichier je l'avait scanner avec Security Essentials et Malwarebytes mais ils n'avaient rien trouvé...

 
Pour mon information personnelle :
Tu veux dire que tu avais un fichier .rar avec à l'intérieur une vidéo + un fichier .exe ?  
ou un fichier .rar avec une vidéo dont le nom de fichier avait pour extension .exe ?
Comment peux-tu savoir que l'infection vient de ce fichier .rar ?
Et ce fichier .rar était dans un message dont tu connaissais l'expéditeur ?
 
Merci d'avance ( c'est juste pour savoir au cas où)
 
 
 

la plus part du temps ces cryptolocker utilisent des fausses mises à jours et des fichiers ou liens en pièce jointe.
 
Si tu reçois une vidéo dans un format RAR, c'est déja louche.
Car une vidéo est déja compressé et la compresser ne donnera rien.
 
L'archive sert souvent de prétexte pour mettre à l'intérieur un fichier exécutable ou tout autre malware.
 
Si on te demande d'installer un executable pour lire une vidéo, tu fuis le site. Tu ne télécharges le flash que sur le site officiel.
Si tu as des doutes sur une pièce jointe, il faut mieux même pas l'ouvrir.
 

 
Oui un fichier rar avec la video dedans + un dossier et a l'intérieur du dossier un exe
 
Ce n'était pas une MAJ de flash ou java, ni un téléchargement depuis un site internet bidon, c'était un téléchargement sur les newsgroup...
D'habitude je suis trés prudent, je n'ai jamais rien chopé comme virus depuis que j'ai un pc (15ans...)
En règle général ce genre de .rar avec exe je supprime mais là je sais pas pourquoi...

tu affiches l'extension de fichiers??
 
je pense que ca devait être un fichier qui s'appelait   nom.rar.exe  
et tu as du voir juste nom.rar

 
De mémoire, on trouve des outils de décryptage sur le site de Kaspersky.
Edit : regarde ici :
http://support.kaspersky.com/viruses/utility

 
Non non c'était bien un .rar  
 
Merci steven67, je jette un oeil.

Après plusieurs logiciels passés impossible de récupérer mes fichiers...

Pour le moment, il n'y a pas de logiciel capable de le faire.
Tu peux toujours garder les fichiers de coté, si quelqu'un trouve une faille dans la conception du programme.
C'était arrivé dans la 1ère version du cryptolocker.