Fichiers locked par un ransomware

Fermé
Benoude - Modifié le 3 août 2020 à 12:25
bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 - 4 août 2020 à 14:28
Bonjour,

Je viens de récupérer un vieu pc (windows XP 32 bit) chez mes beaux parents qui traînait dans un coin car il avait été infecté par un ransomware "gendarmerie" il y a quelques années.
J'ai réussi à me débarrasser du ransomware (enfin je pense).
Toutes les photos était toujours présentes sur le disque mais à 0 octet.
J'ai utilisé Recuva pour récupéré les fichier qui on un poid normal par contre je ne parvient pas à décrypter les données qui ont comme nom "locked-nom du fichier.extention.4 lettres aléatoires".

J'ai déjà essayé d'appliquer les solutions de cette page mais sans succès. (sauf celle de drweb car je n'arrive pas à télécharger le logiciel)
https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/

Est-ce que vous auriez une solution svp ?
Merci davance

3 réponses

bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 18 914
3 août 2020 à 12:30
Bonjour,
Pour désinfecter ton pc utilise cette maethode.
Sur les anciens ransomwares il existe des moyens pour les décrypter, vu que tu ne donnes pas l'information esentielle c'est à dire l'extension du ransomware (.4 lettres aléatoires) trouve par toi-même le bon outil de décryptage en allant sur ces sites:
Pour trouver le nom du ransomware :
https://id-ransomware.malwarehunterteam.com/
Pour trouver l'outil de décryptage correspondant au ransomware :
https://www.nomoreransom.org/fr/decryption-tools.html

Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020
Modifié le 3 août 2020 à 14:13
Bonjour,

Merci pour ta réponse je vais regarder ça.
Je te tien au courant si ça donne quelque chose.

Pour ce qui est de l'extension du ransomware j'ai mis "4 lettres aléatoire" car tout les fichiers ont 4 lettres différentes.
0
Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020
3 août 2020 à 15:48
Bon désolé, c'est pas gagné.
J'ai essayé d'exectuer NOD32 mais il n'est pas compatible sur windows xp en 32 bits. Est-ce qu'il y aurai une autre solution?

J'ai tout de même tenté id-ransomware mais il me dit " Impossible de déterminer le ransomware."
J'ai essayé avec plusieurs fichiers au cas où mais c'est pas mieux.
bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 18 914
Modifié le 3 août 2020 à 16:44
Pour ce qui d'XP il est complètement dépassé la majorité des logiciels comme les antivirus ne sont plus compatibles tu ferais mieux de passer à Linux Mint ou Xubuntu ou réinstalle XP au propre mais je ne te le conseille pas vu qu'XP est obsolète depuis déjà plusieurs années il ne bénéficie plus du support de Microsoft ce qui le rend très peu sûr.

Pour les fichiers cryptés, sauvegarde-les sur un disque dur externe ou une clé USB en attendant une éventuelle solution, car désinfecter le pc ne décryptera pas les fichiers il ne faut pas confondre désinfection et décryptage qui lui est le résultat d'une infection, une fois tes fichiers sauvegardés installe Linux ou réinstalle XP au propre.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

L'Outil de decryptage de Bitdefender

https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

https://id-ransomware.malwarehunterteam.com/

https://www.nomoreransom.org/fr/decryption-tools.html

https://forum.malekal.com/viewtopic.php?f=98&t=57145

https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
.
0
Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020
3 août 2020 à 18:51
Merci pour ton aide.
Je vais voir ce que je peu faire avec tous les liens que tu m'as donné.

Mon but n'est pas de récupérer le PC mais uniquement les données.
Donc si je copie mes données sur un disque dur externe et je j'essaie le décryptage depuis un autre pc plus récent est ce que ça craint pour ce dernier?
bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 18 914
Modifié le 4 août 2020 à 09:17
Si ton but est seulement de récupérer les données laisse tes fichiers cryptés sur ton pc sous XP, et attend qu'une éventuelle solution de décryptage soit trouvée.
Je ne sais pas quel est le ransomware qui a crypté les fichiers mais cela n'a rien à voir avec le ransomware "Gendarmerie" car il ne cryptait pas les fichiers, il empêchait simplement d'accéder à Windows, vu qu'il a été impossible de déterminer le ransomware sur le site que je t'avais indiqué, cela signifie certainement qu'il n'y a aucune solution de décryptage actuellement, tu peux aussi essayer de retrouver les anciennes versions de ces fichiers c'est à dire avant qu'ils aient été cryptés avec Shadow Explorer.
Je pense que si tes fichiers ont été cryptés récemment, il te sera probablement impossible de les récupérer, les clés de décryptage actuelles étant online.
Bon courage et bonne journée.
0
Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020 > bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024
4 août 2020 à 12:08
C'est étrange car j'ai trouver ce site qui parle du virus et qui cryptait les données : https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/
J'ai essayer plusieurs solutions mais ça ne donne rien (sauf celle de drweb pour laquel je n'arrive pas à télécharger le logiciel car il demande un mot de passe). La seul différence que j'ai trouver c'est que mes fichiers étaient à 0 octet et que j'ai du utiliser Recuva pour les récupérer.
Tous les fichiers locked date du 25/05/2012 à 16h39 donc je pense que c'est bien lié à l'infection de l'époque (surtout que le pc n'a pas ou très peu servi depuis.)

J'ai testé Shadow Explorer mais encore une fois il n'est pas compatible avec windows xp.

En parallèle j'ai aussi avancé sur la désinfection. J'ai trouvé une version compatible windows xp de Malwarebytes.
Il m'a trouvé 7 menaces type Adware.GibMedia, Hijack.Regedit, etc...)
Est-ce que ça peu avoir un lien?

Est-ce que récupérer mes données sur un disque dur externe et essayer de les traiter sur un pc plus récent pourrais aider?
0
bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 18 914 > Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020
4 août 2020 à 13:12
C'est étrange car j'ai trouver ce site qui parle du virus et qui cryptait les données 

Tu as parlé d'un ransomware Gendarmerie qui date de plusieurs années donc rien n'a rien voir vu qu'il ne bloque que l'ordinateur, ce qui t'as infecté c'est un crypto-ransomware c'est tout à fait différent, cela n'a rien d'étonnant vu que XP est devenu une vraie passoire.
Est-ce que récupérer mes données sur un disque dur externe et essayer de les traiter sur un pc plus récent pourrais aider?

Attention il ne faut récupérer que les fichiers cryptés rien d'autre, je pense que de toute façon tu ne pourras pas décrypter ces fichiers, les derniers crypto-ransomwares utilisent des clé online ce qui rend le décryptage quasi impossible, je ne peux rien faire de plus pour toi regarde les pages que je t'ai indiqué et attend une éventuelle solution de décryptage, mais je n'y crois pas trop.
0
Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020 > bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024
4 août 2020 à 13:38
OK super merci quand même pour ton aide.
Je vais voir si je trouve quelque chose dans tous ce que tu m'a donné.
0
bazfile Messages postés 55254 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 juillet 2024 18 914 > Benoude78 Messages postés 5 Date d'inscription lundi 3 août 2020 Statut Membre Dernière intervention 4 août 2020
4 août 2020 à 14:28
OK
Bonne journée
0