Ransomware crypteur - fichiers locked-
dionisys
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai été infectée le 7 avril dernier, par une nouvelle variante du ransomware du type gendarmerie.
Une autre victime en parle ici:
http://www.commentcamarche.net/forum/affich-24880015-tout-mes-fichiers-locked-help?page=6.
La vilaine bêbête a du utiliser un exploit... car java et flash n'étaient pas à jour :(
Comme pour les autres infectés... après avoir enrayé l'infection, avec Malwarebytes en mode sans echec, j'ai eu la "bonne" surprise de voir l'en tête de mes fichiers modifiée en locked- ainsi que l'extension.
Les fichiers sont inutilisables (même en les renommant)car ils ont été cryptés.
J'ai consulté divers forum et sites internet (kaspery, drweb, commentçamarche, malekal, etc.)
à la recherche d'une solution.
Sans succès!
J'ai tenté:
- le renommage
- la restauration via un log de récupération du type obdoso fileretrieval
- le fix Te94decryptor (en 81 et 91) de Dr Web (utilisé par malekal ici:
http://www.malekal.com/2012/04/12/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/ )
- le fix xorist
- les logiciels file repair, format factory, etc
Cependant!
J'ai pu sauver 80% de mes PDF grâce à Recovery Tools for PDF (version enregistrée).
Mais rien à faire pour mes mp3, jpg, doc, txt, psd, ai etc.
Du moins pas sans payer, il semble que la gamme recoverytool marche aasez bien mais pas sans passer par la caisse.
Si quelqu'un a une idée?!
Merci vos conseils
J'ai été infectée le 7 avril dernier, par une nouvelle variante du ransomware du type gendarmerie.
Une autre victime en parle ici:
http://www.commentcamarche.net/forum/affich-24880015-tout-mes-fichiers-locked-help?page=6.
La vilaine bêbête a du utiliser un exploit... car java et flash n'étaient pas à jour :(
Comme pour les autres infectés... après avoir enrayé l'infection, avec Malwarebytes en mode sans echec, j'ai eu la "bonne" surprise de voir l'en tête de mes fichiers modifiée en locked- ainsi que l'extension.
Les fichiers sont inutilisables (même en les renommant)car ils ont été cryptés.
J'ai consulté divers forum et sites internet (kaspery, drweb, commentçamarche, malekal, etc.)
à la recherche d'une solution.
Sans succès!
J'ai tenté:
- le renommage
- la restauration via un log de récupération du type obdoso fileretrieval
- le fix Te94decryptor (en 81 et 91) de Dr Web (utilisé par malekal ici:
http://www.malekal.com/2012/04/12/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/ )
- le fix xorist
- les logiciels file repair, format factory, etc
Cependant!
J'ai pu sauver 80% de mes PDF grâce à Recovery Tools for PDF (version enregistrée).
Mais rien à faire pour mes mp3, jpg, doc, txt, psd, ai etc.
Du moins pas sans payer, il semble que la gamme recoverytool marche aasez bien mais pas sans passer par la caisse.
Si quelqu'un a une idée?!
Merci vos conseils
A voir également:
- Ransomware crypteur - fichiers locked-
- Renommer des fichiers en masse - Guide
- Fichiers epub - Guide
- Wetransfer gratuit fichiers lourd - Guide
- Explorateur de fichiers - Guide
- Osd locked - Forum Ecran
3 réponses
Salut,
As-tu essayé ça ?
http://support.kaspersky.com/fr/faq/?qid=208280933
J'ai testé l'infection sur ma machine virtuelle et en effet le fix de dr web est inneficace car c'est sur un autre trojan (du même style) qu'il sait agir.
Je tente à l'instant le fix de Kaspersky.
Tiens moi au jus de ton côté.
A+
As-tu essayé ça ?
http://support.kaspersky.com/fr/faq/?qid=208280933
J'ai testé l'infection sur ma machine virtuelle et en effet le fix de dr web est inneficace car c'est sur un autre trojan (du même style) qu'il sait agir.
Je tente à l'instant le fix de Kaspersky.
Tiens moi au jus de ton côté.
A+
J'ai le même problème avec toutes mes données personnelles. J'ai des sauvegardes anciennes et vais donc perdre beaucoup de données. Quelqu'un aurait-il une solution pour décrypter tous les fichiers "locked-" ?
Yes ça existe maintenant.
https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
voir le dernier EDIT- en bas de page.
https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
voir le dernier EDIT- en bas de page.
Les 2 fix en question (Kaspersky et Dr Web) sont pas conçus pour cette infection en particulier.
Du coup, tu pourras rien faire pour le moment.
EDIT :
https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
Voir EDIT en bas.
La nouvelle variante prend en otage les documents sur le bureau et dans le dossier Documents.
Ces derniers ne sont plus utilisables.
Un prefixe locked- est ajoute ainsi qu'un sufixe de quelques lettre.
Exemple :
locked-cports.exe.wify
locked-HiJackThis.exe.vpdm
locked-liste.txt.hyst
locked-N?nuphars.jpg.kvtf
locked-Procmon.exe.rrfn
locked-readme.txt.pvtl
locked-v4omn0r8.exe.kgye
locked-go.cmd.darl
locked-Index of -malwares.url.ejre
locked-mbr.exe.rysr
locked-OTL.exe.fahf
locked-prout.txt.vinq
locked-Thumbs.db.llab
Pour le moment aucune solution n'est disponible.
oui je pense que ces fix marchent mieux pour d'autres versions du virus... qui ajoutent notamment un .encyphered au fichier.
arf! je vais gentillement patienter et continuer mes recherches.