Zerolocker : Récupérer mes fichiers cryptés par un ransomware

Résolu/Fermé
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015 - Modifié par Weydmar le 6/08/2014 à 22:02
 fa - 16 mars 2016 à 23:55
Bonjour,

J'ai été victime d'un ransomware appelé zerolocker. Celui-ci a essayé de crypter un à un mes fichiers. Je crois avoir réussi à m'en débarasser définitivement à l'aide de RogueKiller, mais je ne sais pas comment récupérer les fichiers qui ont été encryptés. En effet mon ordinateur n'a ni point de sauvegarde, ni version antérieure des fichiers altérés.
J'ai pas mal cherché sur le net, il semble que les clés de décryptage de certains programmes de ce genre soient connues, mais pas celui-ci. En tapant "zerolocker", "zerolocker ransomware" ou encore "zerolocker crypted files", je ne trouve rien.
Je m'en remet à vos éventuelles idées, car pour le moment je suis au bout du rouleau.

Merci

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
6 août 2014 à 22:03
Salut,


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

0
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
Modifié par Weydmar le 6/08/2014 à 22:16
J'ai l'impression que c'est mal barré ^^. Malwarebytes plante dès que j'essaie de le mettre à jour ou de lancer un scan...
0
http://pjjoint.malekal.com/files.php?id=20160316_r5k13o15m7e11
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
6 août 2014 à 22:35
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
7 août 2014 à 18:14
Voici le rapport OTL.txt :
https://pjjoint.malekal.com/files.php?id=20140807_d12v5x11k14l5

Ainsi que Extras.txt :
https://pjjoint.malekal.com/files.php?id=20140807_n8l59g10m13

Merci de t'occuper de moi Malekal ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/08/2014 à 23:14
humm...
bon envoie ces fichiers sur http://upload.malekal.com
C:\Users\Lucas\AppData\Roaming\Win32\WinUpd32.exe
C:\Program Files (x86)\Java\jre7\bin\javaw.exe

si ça ne fonctionne pas, zip les et envoie les par mail sur spamhere-@wanadoo.fr

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3997183515-376546335-968874101-1001..\Run: [sysXboot] C:\Program Files (x86)\Java\jre7\bin\javaw.exe (Oracle Corporation)
O4 - HKU\S-1-5-21-3997183515-376546335-968874101-1001..\Run: [0235d900151d843bfe5a2d7988e87f3a] .. [2014/08/06 20:26:35 | 000,000,000 | ---D | M]
O2 - BHO: (mysearchdial Helper Object) - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\bh\mysearchdial.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (mysearchdial Toolbar) - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\mysearchdialTlbr.dll File not found
CHR - Extension: Speedial = C:\Users\Lucas\AppData\Local\Google\Chrome\User Data\Default\Extensions\bakijjialdiiboeaknfpmflphhmljfkd\9.4.26_0\
[2014/08/05 18:18:51 | 000,407,552 | ---- | M] () -- C:\Users\Lucas\AppData\Roaming\Win32\WinUpd32.exe
:files
C:\Users\Lucas\AppData\Local\Google\Chrome\User Data\Default\Extensions\bakijjialdiiboeaknfpmflphhmljfkd\


* poste le rapport ici



Redémarre l'ordinateur

Tu peux donner une copie du message qui est donné par le ransomware ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
8 août 2014 à 07:53
Fichiers envoyés, je lance le fix d'OTL et je t'envoie les résultats ce soir en rentrant.

Mmh pour le WinUpd32, j'aurais du me douter de quelque chose. Il réapparaît régulièrement, mais avira le bloque toujours. Et comme par hasard, l'icône est la même que celle du ZeroLocker.

Quant au message du ransomware, je n'en ai pas eu. A mon avis c'est parce qu'il n'avait pas encore encrypté tous les fichiers visés lorsque je l'ai neutralisé. Le seul indice supplémentaire que je puisse te donner, c'est qu'il a créé un autre .exe sur mon bureau, qui s'appelait "Get your files back.exe" ou un truc du genre. A mon avis c'est la fameuse page, qui attendait juste d'apparaître.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 août 2014 à 08:27
Fais la correction OTL.
Faut virer MySearchDial aussi.


voila : https://forum.malekal.com/viewtopic.php?t=48751&start=

~~

0 detection, j'ai envoyé aux antivirus.


Pour la récupération des données
Essaye de voir si les versions précédentes des fichiers sont disponibles : https://forum.malekal.com/viewtopic.php?t=46739&start=

Tu peux aussi ré-envoyé le fichier en demandant s'il est possible d'avoir un programme de décryptage dans le cas où le gars s'est chier dessus sur la partie qui chiffre les fichiers.
https://vms.drweb.com/sendvirus/?lng=en
https://kaspersky.antivirus.lv/eng/service/report/
0
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
8 août 2014 à 09:33
J'ai fait la correction OTL avant de partir au boulot. Par contre, j'ai un petit soucis je crois. J'ai effectué la correction et redémarré sans vérifier si j'avais le rapport (j'ai rien vu). Avant de partir au boulot j'ai voulu relancer OTL qui n'a pas démarré (bien que le processus soit actif). Est-ce que ca déconne? ou est ce qu'il est en train de générer le rapport ou je ne sais quoi, ce qui expliquerait pourquoi il n'a pas démarré tout de suite?

Je n'ai pas de version précédente de mes fichiers, donc je vais essayer d'envoyer le fichier aux deux sites que tu m'a filé. V - X m'a aussi proposé de me filer un coup de main. Ce soir je lui enverrais des fichiers cryptés, avec leurs originaux, pour qu'on voit s'il peut faire quelque chose.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 8/08/2014 à 10:25
Ok, je pense que l'on a terminé.
Au cas où, change tous tes mots de passe.
On sait jamais.

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

il va virer les restes de MySearchDial.

Reconfigure l'ouverture de page du navigateur pour supprimer Speedial / MySearchdial :
* Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
* Firefox : https://www.malekal.com/reparer-firefox/?t=36057&start=
* Google Chrome : https://www.malekal.com/reparer-google-chrome/?t=35837&start=

Supprime l'extension Speedial sur Google Chrome.


~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
8 août 2014 à 10:42
Merci Malekal pour ton aide.
En espérant que ce sujet aidera d'autres.

Je repasserais surement par ici, surtout si on trouve un moyen de décrypter les fichiers, histoire d'en faire profiter d'éventuelles futures victimes.
0
naty03 Messages postés 9 Date d'inscription jeudi 15 janvier 2015 Statut Membre Dernière intervention 18 janvier 2015
18 janv. 2015 à 10:02
Bonjour, je me suis également fait avoir et je voudrai savoir si tu as réussi à décrypter tes fichiers et comment ? merci
0
Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
18 janv. 2015 à 10:19
Malheureusement non, je n'ai pas pu récupérer quoi que ce soit.
Avec l'aide d'une personne calée, il est peut être possible de trouver la clé de cryptage si tu possède encore des versions non-cryptées de certains fichiers en plus des cryptées. Malheureusement dans mon cas ça n'a pas marché.
La solution la plus simple serait de restaurer ton système à une sauvegarde antérieure, à condition que tu en ai une
0
naty03 Messages postés 9 Date d'inscription jeudi 15 janvier 2015 Statut Membre Dernière intervention 18 janvier 2015 > Weydmar Messages postés 9 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 18 janvier 2015
18 janv. 2015 à 10:57
Non je ne peux pas restaurer mon système, avec tous les nettoyages tout a été effacé. Par contre j'ai un le même fichier crypté et non crypté, peut être que je trouverai quelqu'un qui trouvera la clé.
Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 janv. 2015 à 09:37
Si le cryptage est bien fait, c'est à dire pas de faiblesse dans le code, y a aucun moyen de trouver la clef, à part si elles sont stockées sur le serveur et qu'il est récupéré par les autorités par exemple.
0