RANSOMWARE .GYZA

[sheitaneb]

Bonjour,

j'ai été infecter par le ransomware .gyza que j'ai réussi à éradiquer avec mon antivirus, le problème est que tout mes fichier important, notamment les photos de mes enfants etc sont crypter avec l'extension .gyza je voudrais savoir si il y a quelques choses à faire pour récupérer mes fichiers sans à nouveau tomber dans une arnaque.. ?

Merci d'avance .

[Longaripa]

Bonjour 

Tout d'abord, on va faire une analyse du PC pour voir si rien ne traine. 

Ensuite, il faudra essayer plusieurs "décodeurs" .
Je peux essayer de mon coté, si vous êtes d'accord.

Mettez dans une archive zip deux ou trois fichiers cryptés,(sans informations privées) ainsi que la lettre qui demande la rançon.
Hébergez le dans cjoint.com, ou si vous préférez, vous me l'envoyez par MP.

Pour vérifier le PC: 

Suivez ce tuto  --> https://community.lecrabeinfo.net/blogs/entry/92-désinfection-faire-en-premier-zhpsuite-frst/

Il y a 3 rapports à poster 

[sheitaneb]

Bonsoir, 

Déjà un grand merci de prendre du temps pour vous penchez sur mon problème,
c'est très gentil et si vous parvenez à décrypter mes fichier alors je vous devrais une fière chandelle et j'insisterais pour vous en remercier comme il se doit.

Voici les fichiers demandées.
Je pense avoir suivi les étapes à la lettre.
Merci d'avance.

lien fichier ZHPDIAG:
https://www.cjoint.com/c/MKAteUomJMK

lien fichier FRST:
https://www.cjoint.com/c/MKAtjyZmTZK

lien fichier Addition:
https://www.cjoint.com/c/MKAtjY0cxwK

fichier crypter + texte readme:
https://www.cjoint.com/c/MKAtnmMRSZK

[Longaripa]

Bonjour 

Ok pour les rapports. 

J'ai bien peur qu'il n'y ait pas moyen de décrypter le fichiers. Je vais encore essayer malgré tout. 
Ces nouvelles versions de ransomware utilisent des clé online, qui sont spécifiques à chaque machine, et indécryptable semblerait-il. 

Faites attention aux cracks( windows, office ou autre), sources d'ennuis.

Norton et Windows defender sont tous les deux désactivés, semble t-il. Il faut en ré activer un des deux.
Désinstallez Max Secure Total Security .

Citation

AV: Max Secure Total Security (Disabled - Up to date) {2818336F-1729-A370-DBF5-67717829BFC5}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Norton AntiVirus (Disabled - Up to date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}

On va faire un peu de ménage : 

Correction avec FRST : 

Copier la totalité du contenu, ( Sélectionner  tout   de start:: à end::  compris  -> Copier) de ce correctif hébergé ici -> https://textup.fr/746516S4

Faites uniquement "copier" pour mettre le texte dans le presse-papier, inutile de coller 

Lancez FRST en tant qu'administrateur par click droit
Cliquez sur "corriger" 

Patientez
Une fois le système redémarré, postez le rapport : fixlog.txt

Installez MalwareBytes.
Faites une analyse et postez le rapport.

Tuto  Malwarebytes

https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/

[sheitaneb]

Bonjour Longaripa, 

J'ai bien supprimer Max secure et réactiver NORTON, je l'avais désactiver pour telecharger les deux logiciels  d'analyses et remis en route de suite après.
J'ai bien supprimer tout les logiciels crackés de mon pc.

J'ai trouver une vidéo sur youtube d'un mec qui vend un logiciel qui decrypt les .gyza

https://youtu.be/c5R8qMXXUFg?si=Q5_xlCxTG42gupbH

Je l'ai contacté sur Watsapp, lui est demandé le prix (100usd bitcoin) et aussi des preuves, je lui ai envoyé une photo crypter qu'il m'a retourner décrypter
De toute évidence son logiciel fonctionne, c'est un russe apparement, je me demande si il n'est pas tout simplement le créateur du virus que j'ai chopé,
100 dollars c'est mieu que 950 mais ça fait un peu peur de tomber une nouvelle fois sur une arnaque, qu'en pensez-vous !? 

Voici les fichiers demandés:
 
Fixlog: 
https://www.cjoint.com/data3/MKBr0e2owtK_Fixlog.txt

Malwarebyte:
https://www.cjoint.com/c/MKBslY8pWaK

[Longaripa]

Je ne sais pas trop quoi en penser.

Vous lui avez communiqué  l'ID aussi?

Si vous pensez que ça vaut le coup de risquer 100$, vous pouvez essayer.

Comment ça devrait se passer ? Il envoie la clé  pour décrypter ?

Modifié le 27 novembre 2023 par Longaripa

[Longaripa]

Bonjour 

Je rajouterais : 

 - mettre en quarantaine les détections de Malwarebytes

- changer vos mots de passe 

[Longaripa]

Bonjour  @sheitaneb

 

Des nouvelles ?