Security-X
Forum Security-X => Désinfections => Discussion démarrée par: ElifD le mai 23, 2012, 10:11:48
-
Bonjour,
Suite à l'infection de mon ordinateur par le virus de la gendarmerie, mon Ipod qui était également branché dessus a vu tout son contenu également bloqué par le virus, tous les fichiers sont "LOCKED".
Maintenant mon ordinateur est entièrement désintfecté avec bien sur il n'y a plus aucunes données ce pourquoi il faut sauver le ipod dans lequel j'avais tout sauvegardé.
J'ai un anti virus, c'est Norton Antivirus 2012 malgré ça le virus a pu intégré mon PC !
J'ai essayé de décrypter mes fichiers avec Xoristdecryptor mais cela ne fonctionne pas.
Voici le bilan, quelqu'un voudrait-il bien m'aider?
-
Bonjour ElifD,
J'ai essayé de décrypter mes fichiers avec Xoristdecryptor mais cela ne fonctionne pas.
Ce n'est en effet pas le bon outil pour ton cas.
Dans ton MP, tu signalais que le système avait été réinstallé, il est donc tout neuf tout propre.
C'est bien le cas, tu peux confirmer ?
J'ai un anti virus, c'est Norton Antivirus 2012 malgré ça le virus a pu intégré mon PC !
Oui, hélas, le Virus Gendarmerie profite d'une faille de sécurité présente sur le système, en général Java ou Flash Player non à jour.
Pour décrypter tes fichiers "locked" sur ton ipod, il faut impérativement au moins une copie saine d'un des fichiers, copie non cryptée donc.
Est-ce que tu auras cet original ?
Un document ou une photo que tu aurais transmis par mail ou stocké ailleurs ?
@+
-
Oui je le confirme le système est tout clean, l'informaticien a fait le nécessaire pour desinfecté de fond en comble l'ordinateur.
Concernant le fichier, il faut que le je trouve un fichier similaire du fichier qui a été infecté? Parce que dans mon ipod, certains dossiers ont été infecté et d'autre sont resté sain je crois que le virus n'a pas eu le temps d'infecter certains dossier, sur les 30 dossiers que j'ai 4 dossiers sont restés sains.
-
Re,
Il faut un fichier sain non crypté et son homologue crypté pour que l'outil puisse déterminer la clé de cryptage.
Par exemple si tu as un fichier monimage.jpg, il faut son homologue crypté locked-monimage.jpg.<xxxx>
<xxxx> étant 4 lettres aléatoires
@+
-
Très bien j'en ai trouvé un.
Le non crypté est : 20 ans 015 JPEG
Le crypté est : locked-20 ans (15).JPG.rkbs
-
Re,
Si ce sont bien les 2 mêmes fichiers (original et crypté), on va tenter donc le décryptage.
Il faut bien sûr que ton Ipod soit connecté.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RannohDecryptor :
- Télécharge RannohDecryptor.exe (http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe) de Kaspersky et enregistre-le sur ton Bureau
- Exécute RannohDecryptor.exe par clic-droit -> Exécuter en tant qu'administrateur
- Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
- Clique sur Start scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsupport.kaspersky.com%2Fimages%2Fsupport_new%2F8547-1-en.png&hash=cab29ed21569d4fa48937c9997907ad61d4d35a5)
- L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté si demandé
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
- Poste le rapport dans ta prochaine réponse ou héberge-le sur pjjoint.fr (http://pjjoint.malekal.com/) s'il est trop long et indique le lien
- Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options
@+
-
Je l'ai téléchargé. J'ai cliqué sur "change parameters" puis séléctionner uniquement "removable drives" car tous mes fichiers cryptés sont sur le ipod. Ensuite j'appuie sur "start", et il me dit " Original copy of at least one of encrypted files larger than 4096 bytes is required for successfull descryption. You need to specify path to this file and to encrypted copy after pressiong the button Continue".
Je clique sur le bouton "continue". Et là, une fenetre s'ouvre où je dois selectionner un fichier "specify the path to original file". Je selectionne le fichier sain. J'appuye sur "ouvrir". Une autre fenetre s'ouvre automatiquement après avoir cliqué sur "ouvrir" alors je selectionne le fichier contaminé.
Alors il me répond qu'il y a erreur en disant : "encrypted file size doesn't equal to original" alors que ce sont les deux mêmes fichiers.
-
Re,
L'outil signale que la taille du fichier crypté n'est pas égal à l'original.
Le fichier que tu détermines comme original n'est pas la copie conforme du son homologue crypté.
Il faut que les 2 fichiers soient vraiment identiques et la copie saine doit être la même que celle cryptée.
Il te faut tenter de trouver un autre fichier non crypté qui a un homologue crypté.
@+
-
J'ai réussi !!!!!! Tout est décrypté !
Merci milles fois !!! :BAN :BAN :BAN :AAF
-
Super :sup:
Tous les fichiers cryptés ont été débloqués ?
On va vérifier que les modules qui avaient posé problème sont bien à jour.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) SX Check&Update :
- Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) de igor51 et enregistre-le sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur SXC&U.exe pour lancer l'application
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Au menu principal, clique sur le bouton Rapport
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FCU%2Fsxcu.png&hash=4ce3b6b598456ee2af6a6d32a7a77c73f3ea0b3b)
- Copie-colle le contenu de ce rapport dans ta prochaine réponse.
---------------------------------------------------------------------------------------------
D'autre part, tu as bien fait toutes les mises à jour via Windows Update après la ré-installation du système ?
@+
-
J'ai crié victoire trop tôt. Tous mes fichiers n'ont pas été débloqué 1/3 est toujours locked.
Que faire?
Oui toutes les mises à jour sont à jour.
-
Bonjour,
Il me faudrait le rapport s'il te plaît.
Du moins la fin du rapport, de la ligne Statistic à la ligne Scan finished.
Tente de trouver encore un autre fichier sain pour que l'outil puisse le comparer avec son homologue qui est encore crypté et repasse l'outil.
Sauvegarde sur un autre support tes fichiers déjà déjà débloqués.
@+
-
J'ai renouvellé l'opération 6 fois avec 6 fichiers différents et ca ne fonctionne pas. les fichiers continuent à rester bloqué.
Voici ce que dit le rapport :
6:24:39.0446 7528 Statistic:
16:24:39.0446 7528 Processed: 149493
16:24:39.0446 7528 Suspicious: 0
16:24:39.0446 7528 Found: 4545
16:24:39.0446 7528 Decrypted: 2691
16:24:39.0446 7528 ================================================================================
16:24:39.0446 7528 Scan finished
16:24:39.0446 7528
-
Bonjour,
Oui, en effet, il en manque encore 2000 à décrypter.
Ce sont essentiellement quoi comme fichiers ?
Des photos, documents ?
On va essayer avec un autre outil.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) matsnu1-decryptor :
- Télécharge matsnu1decrypt.exe de Dr.Web ici -> ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe
et enregistre-le sur ton Bureau
- Exécute matsnu1decrypt.exe par clic-droit -> Exécuter en tant qu'administrateur
- Indique le chemin du fichier non crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fnon_en10.jpg&hash=80ca4da27f4701eafd56547114989e08c25c1afb) (http://www.servimg.com/image_preview.php?i=615&u=12972154)
- Ensuite, indique le chemin du même fichier crypté
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Fencryp10.jpg&hash=efab0327452690c244e6f8f4a1816685789f7a17) (http://www.servimg.com/image_preview.php?i=616&u=12972154)
- L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked
- Un message de réussite apparaît, referme l'outil et indique dans ta prochaine réponse si tes fichiers ont bien été décryptés.
@+
-
Les fichiers n'ont pas été décryptés.
-
Re,
Tu n'as pas répondu à cette question
Ce sont essentiellement quoi comme fichiers ? Des photos, documents ?
Je n'ai hélas pas d'autres solutions.
Contacte les services Dr.Web pour leur soumettre un des fichiers cryptés et son homologue sain, sur cette page (en fin d'article)
http://news.drweb.fr/show/?i=628&c=5
Si les données restent codées après son utilisation, adressez-vous au Laboratoire Doctor Web pour faire analyser un fichier suspect à la rubrique « Soumettre un fichier suspect ». Ce service est gratuit.
Tiens-nous au courant,
@+
-
Ce ne sont que des images et peu de documents.
Merci beaucoup quand même, j'en ai récupéré une grande partie tout de même.
-
j'en ai récupéré une grande partie tout de même.
Il en manque tout de même près de 2000.
Ça fait beaucoup :III
Ce sont bien tous des fichiers identifiés locked ?
Autant tenter de les récupérer avec le Laboratoire Doctor Web, ils trouveront peut-être la raison pour laquelle leur outil est inopérant sur ces fichiers.
@+