Infecté par DirtyDecrypt

Résolu
pontdavignon Messages postés 2 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour
Tout d'abord, bien le bonjour et merci de m'accepter dans ces forums.
Je vous expose mon problème: je suis infecté par le virus "DirtyDecrypt". J'ai retiré manuellement le fichier Dirty.exe. Depuis, mes fichiers Excel, jpeg et .avi sont bloqués. J'ai fais une restauration de mon système mais rien n'y fait. Les fichiers bloqués (cryptés) se trouvent sur un disque externe. Je possède Avast comme anti-virus. J'ai lancé plusieurs anti-rootkits (Spybot, sargui, Sophos) mais rien n'y fait.
Que dois-je faire d'un peut plus malin pour me débarrasser de cette engeance ?
Par avance merci
Serge

35 réponses

  • 1
  • 2
Résumé de la discussion

Le sujet porte sur une infection par le ransomware DirtyDecrypt qui chiffre des fichiers (Excel, JPEG, AVI) sur un disque externe après avoir retiré Dirty.exe, malgré l'antivirus Avast et des restaurations système. Des solutions évoquées incluent la désinstallation éventuelle de Spybot, l’utilisation d’AdwCleaner pour nettoyer les éléments indésirables et un lien vers des instructions Kaspersky qui évoque une clé de chiffrement différente selon l’infection. D'autres participants rapportent des échantillons de récupération partielle et des situations où les fichiers cryptés ne pourront peut-être pas être décryptés, et le chiffrement varie selon les fichiers et les systèmes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    suite

    Tu n'as pas désinstallé spybot comme demandé

    Tu as installé des logiciels publicitaires

    Télécharge ici: AdwCleaner (de Xplode)

    ▶ Lance-le

    ▶ Clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

    ========================

    Par contre ...


    Error - 21/06/2013 12:00:11 | Computer Name = Zébulon | Source = Winlogon | ID = 4103
    Description = Échec de l'activation de la licence Windows. Erreur 0x80070005.

    Un Windows pirate EST et RESTERA un gruyère ... T'étonnes pas d'avoir encore des soucis !
    3
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ou des RATs ^^
      0
    2. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      ou un botnet ;-)
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour Serge,
    Essaie ça pour voir : http://support.kaspersky.com/us/viruses/solutions?qid=208286527
    Poste le rapport

    PS : Spybot, sophos et sargui à désinstaller ils servent à rien (et spybot n'est PAS un antirootkit, c'est un anti rien du tout carrément)

    .::. Contributeur Sécurité .::.
    1
  3. pontdavignon
     
    Merci pour votre aide. J'ai pu reconstituer une partie des fichiers infectés et perdus. A ben le.....

    Serge
    1
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      salut comment t'as fait pour les reconstituer ??????????????
      0
    2. jojokarnickel Messages postés 1 Statut Membre
       
      Oui, comment ? Ça fait une semaine que je communique avec l'opérateur de Trend Micro (basé en Hongrie pour les Français) pour trouver une solution au problème, il m'ont refilé des trucs pas mal pour retrouver des fonctionnalités normales de l'ordinateur mais ils ne connaissaient pas encore ce virus et je leur ai envoyé quelques exemplaires de fichiers infectés pour qu'ils les analysent, mais ils ne m'ont pas (encore) demandé d'exemplaires de fichiers sains pour comparer. Je suis preneur de toute autre solution, car pour l'instant la plupart de mes fichiers .doc, .jpg, .avi et .wmv sont bloqués. C'est surtout embêtant pour les .doc qui sont du travail personnel dont je n'ai pas de copie.
      0
    3. armanik Messages postés 1 Statut Membre
       
      bonjour

      Je suis victime parmi plein d'autres personnes apparemment de ce fichu dirtydecrypt. Je vois que les choses évoluent lentement pour trouver des solutions. J'ai bien tenté d'analyser des fichiers corrompus avec un editeur hexa mais cela entraine un travail colossal qui ne m a pas apporté de bons résultats le cryptage est différent selon les fichiers.
      Merci de vos informations sur ce sujet.
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut, Kaspersky a dit, une clef de chiffrage différent pour chaque fichier ou PC infecté.
    Bref, y a pas de solution.
    1
    1. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      Coucou juju :p

      Ben il doit être possible de percer le logiciel de décryptage intégré au malware, non ?
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      non.
      tigzy a essayé.
      g3n a essayé en modifiant les offsets de chaque fichiers.
      kaspersky labs a essayé aussi ... faut pas délirer.
      0
    3. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      hé ben x)

      en fait, les clés sont stockées coté serv, c'est ça ?
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui
      0
    5. Sugel Messages postés 4293 Date d'inscription   Statut Membre Dernière intervention   728
       
      okay ^^'

      *je sors*
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pontdavignon Messages postés 2 Statut Membre
     
    Hello
    Il semble qu'il y ait un problème. Les fichiers infectés sont crypyés mais ne change pas d'extension ni de nbre de bits..... Un message d'avertissement est là, à la place du tableau ou de l'image ou du fichier vidéo. Ce message demande d'utiliser DirtyDecrypt.exe. Je ne l'ai pas fait car je me doute que je vais tomber sur un message de paiement dans un quelconque paradis fiscal !
    Kaspersky ne prend, semble t-il, en compte que les fichiers modifiés en bits ! Dans ses message il me dit que le nombre de bits est le même donc pas de problème. Le même que quoi ? Certe je ne suis pas très fort en anglais...
    Merci
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    J'ai l'impression que tes fichiers sont mourus ...
    Voilà pourquoi il faut toujours faire des sauvegardes des fichiers les plus importants sur des supports non réenregistrables.

    Dans nos contrées francophones, je crois que t'es le premier à être touché par ce ransomware.

    Le seul autre sujet concernant DirtyDecrypt que j'ai trouvé se trouve ici : https://www.bleepingcomputer.com/forums/t/493322/dirtydecryptexe/
    Et le helper anglophone dit à la fin : " Some bad news - unfortunately there is no way to get their files back. "

    Fais tout de même un scan OTL (voir ci-dessous) car il serait intéressant de récupérer une souche du "virus" pour l'envoyer aux labos kaspersky/dr web/eset qui ont l'habitude de sortir des fix particuliers sur ce genre de "virus"

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    Clique ici pour voir la configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    HKCU\Software
    HKLM\Software
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %localappdata%\*
    %localappdata%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %programFiles%\*
    %programFiles%\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %LocalAppData%\*
    %LocalAppData%\*.
    %SYSTEMDRIVE%\*.*
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    msconfig
    netsvcs
    BASESERVICES
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT
    SAVEMBR:0
    dir "%Homedrive%\*" /S /A:L /C


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

    0
    1. bobmoran78 Messages postés 2 Statut Membre
       
      Bonjour juju666,

      Voici les deux liens comme expliqué dans la procédure.

      https://forums-fec.be/upload/www/?a=d&i=9320463773
      https://forums-fec.be/upload/www/?a=d&i=6283169197

      Merci par avance de ton aide.
      Bob
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      salut merci d'ouvrir ton propre sujet
      0
  8. Ambucias Messages postés 47312 Date d'inscription   Statut Modérateur Dernière intervention   142
     
    Bonsoir,

    Cette personne croit avoir la solution à un virus qui demande une ransom:

    [hxxp://www.fixpcyourself.com/how-to-remove-.......-exe-file-locking-ransomware-virus/]
    0
    1. Ambucias Messages postés 47312 Date d'inscription   Statut Modérateur Dernière intervention   142
       
      Merci beaucoup. Je me demandais justement ce que serait ton avis et tes conseils concernant ce virus, Merci d'être intervenu pour mettre les pendules à l'heure concernant mon lien.

      Comme je l'ai dit, le gars croit avoir la solution, ce qui ne semble pas être le cas puisque tu le dis.
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      tous ces sites fixmachin spyware-remover et compagnie ca sert plus à te gratter qu'à guerir ton pc
      0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re,

    D'après https://www.trojaner-board.de/134832-dirtydecrypt-verschluesselungs-trojaner.html#post1072116 c'est l'entête des fichiers qui sont bousillés.
    Un peu comme https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ (voir EDIT - 4 Mai 2012 en fin de billet, avec les fichier locked-)
    Du coup le RannohDecryptor que je t'ai envoyé au debut devrait fonctionner, mais il te faut 1 fichier original et sa copie bousillée par le ransom et faut qu'il fasse minimum 4MO.
    Une fois qu'il a les 2 fichiers en main, il a l'algorythme de cryptage et peut dès lors décrypter tes fichiers.

    Envoie quand même les rapports OTL stp, même si le RannohDecryptor fonctionne. Merci.

    .::. Contributeur Sécurité .::.
    0
  10. pontdavignon
     
    Hello !
    Rapports OTL:
    7249564423 (Extra)
    1932793325 (OTL)

    Merci même si je n'ai pas de solution "valable". J'ai commencé a détruire les fichiers infectés et il y a de quoi faire !

    Bonne soirée
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Non, ne détruit pas les fichiers infectés !
    Si tu as un fichier infecté et sa copie originale ça m'intéresse.

    Ou même plusieurs .DOC ou .XLS infectés. Envoie-les moi stp.

    Je regarde les rapports OTL.

    Pour ceux que ça intéresse :

    Extras : https://forums-fec.be/upload/www/?a=d&i=1932793325

    OTL : https://forums-fec.be/upload/www/?a=d&i=7249564423

    .::. Contributeur Sécurité .::.
    0
  12. Jeansuifortèze Messages postés 9 Statut Membre
     
    Bonjour à tous,

    Je suis l'heureux deuxième infecté par DirtyDecrypt.exe (hiers le 3 juillet). J'ai tout bien stoppé par RogueKiller tout bien nettoyé à la main et par Adwcleaner backé par MalwareBite (je confirme que MSE est la pire des passoires, par zèle j'ai réinstallé Antivir qui m'a trouver au moins trois autres trojans alors que MSE les regardais passer comme une vache des TGV) mais bon, les antivirus, à part prendre des ressources...

    Par contre j'ai passé une bonne heure avec Rannohdecryptor de Kaspersky et rien à faire : il refuse d'aller plus loin sous prétexte que le fichier original n'a pas la même taille que le fichier crypté-bousillé par le message "file is encrypted, this file can be decrypted using DirtyDecrypt.exe".

    L'encryptage des fichiers par ce virus change à chaque fois de qq Ko sa taille par rapport à l'original. Donc impossible pour Rannohdecryptor d'aller au delà de la première Etape, il bloque à chaque fois indiquant "the files has not the same size". J'ai même tenté de ruser en lui indiquant une photo saine et une photo crypté différente mais de même taille (me suis dit que deux photo prise par AïePhone différentes mais de même taille ça devrait lui suffire) mais il ne se laisse pas berner indiquant "files are not the same" (alors même que je les ai nommé de la même façon).

    C'est vraiment pas de chances car je venais juste de finir de taper un rapport super chiant et tous les fichiers .doc .pdf .rtf .odt (mais aussi les jpg) on été cryptés. La rage, il faut que je réécrive tout !!! (Je n'ai pas de point de restauration, pas de backup sur aucun DD ni cloud, je sais, et je m'en rend compte, c'était à mes risques et maintenant à mon péril!)

    Donc si juju666 arrive à avancer sur la question ou tout grand manitou du codage trouve l'astuce pour récupérer les fichier et m'éviter des heures à tout réécrire, ils seront mes idoles à vie et je m'engagerai à faire du lobbying pour que leur bustes remplace ceux de Marianne dans les mairies de France et de Navarre.

    Si aussi vous tombez sur des new patch/prog qui pourrait être mis au point permettant de récupérer les fichiers cryptés par DirtyDecript.exe n'hésitez pas à m'inonder de liens!

    Bien cordialement.

    (suis sous Windows 7).
    0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut tu l'as ce DirtyDecrypt.exe ?
    0
  14. pontdavignon
     
    Hello !
    J'ai fini par détruire tous les fichiers infectés, passé divers anti-trojan et autres anti-rootkit, repris ma plume pour refaire les fichiers détruits. Certes, il est de bon ton de stocker les fichiers sur un support non ré-inscriptible mais comment faire lorsque ces fichiers doivent être souvent amendé ?
    Avast et Zone Alarm surveillent (sic) mon Internet. Inch Alllah, on verra bien si il y a d'autres pépins.
    Merci pour tout.
    Serge
    0
  15. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    si tu répondais à ma question ca serait hyper cool , et de plus ne te crois pas à l'abri tant que je ne te l'ai pas dit
    0
  16. Jeansuifortèze Messages postés 9 Statut Membre
     
    Pour ma part j'ai tout jeté, plus aucun dirtydecrypt.exe nulle part. C'est sûr que si j'avais au moment de l'infection su que c'était un si nouveau virus contre lequel il n'y a pas encore de patch j'en aurai gardé un échantillon... Je n'ai plus que les fichiers infectés avec, quand on les ouvre, le message suivant qui apparaît à la place du texte du .doc ou de la photo.jpg :

    File is encrypted
    This file can be decrypted using the program DirtyDecrypt.exe
    Press CTRL+ALT+D to run DirtyDecrypt.exe

    If DirtyDecrypt.exe not opened ?heck the paths:
    C:\Program Files\Dirty\DirtyDecrypt.exe
    C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
    C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
    C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
    C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

    Il n'y a plus aucun dirtydecrypt.exe

    Si je pouvais récupérer ne serait-ce qu'un fichier, celui le plus important...
    0
  17. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    grrrrr !!!!!!

    tu as un fichier encrypté et son double sain ?
    0
  18. Jeansuifortèze Messages postés 9 Statut Membre
     
    STOOOOOP! J'en ai trouvé un dirtydecrypt.exe ! j'avais pas regardé partout, je bosse sur un compte à droit limités exprès pour limiter l'impact d'éventuels virus. En passant par la session admin de l'ordi j'en ai trouvé un dans un fichier appdata

    Et oui j'ai moult fichier sains et leur pendants infectés (toutes les photos de l'aïePhone backées sur l'ordi ont été cryptées mais sont toujours ok sur le device)...
    0
  19. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    ok fais peter le decrypt.exe

    clic droit dessus , envoyer vers , dossiers compressés puis heberge l'archive sur https://www.cjoint.com/ et donne le lien

    je vais "l'éclater" voir ce qu'il cache :)
    0
  20. Jeansuifortèze Messages postés 9 Statut Membre
     
    et voilà https://www.cjoint.com/?CGfqby6kbPr bon éclatage en espérant que tu puisses en extirper les viscères à réinjecter dans les fichiers bousillés.

    Si non n'y a-t-il pas un moyen de récupérer juste un fichier .doc (important) crypté, sais pas, avec un éditeur genre dreamweaver ou un truc dans le genre?

    Merci en tout cas pour l'effort.
    0
  21. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c'est beaucoup plus compliqué que ca , certains octets du fichier ont été modifiés/rajoutés

    je vais voir ce que je peux faire avec ce truc j'aurai certainement besoin que tu m'envoies dans une archive :

    un fichier crypté
    sa copie saine
    et un autre fichier crypté sans sa copie
    0
  • 1
  • 2