Aller au contenu


Photo
- - - - -

Virus gendarmerie nationale - Fichiers Locked


  • Veuillez vous connecter pour répondre
5 réponses à ce sujet

#1 13mars

13mars

    Junior Member

  • Membres
  • 3 messages

Posté 02 juin 2012 - 09:18

Bonjour,

Mon ordinateur a été infecté il y a une semaine par le virus "gendarmerie nationale", j'ai a priori réussi à m'en débarasser en utilisant RogueKiller et Malwarebytes Anti-Malware mais la totalité de mes fichiers est inaccessibles. Ils sont tous précédés du mot locked et une suite de 4 lettres au hasard est écrite après l'extension.

Je suis sous windows Vista.

Merci de m'aider à résoudre ce problème.

Merci d'avance.

Modifié par 13mars, 02 juin 2012 - 09:19 .

  • 0

PUBLICITÉ

    Annonces Google

#2 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24031 messages

Posté 02 juin 2012 - 09:52

Bonjour,

Après Rogue killer et Mbam:

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web
ces outils recherchent et décryptent les fichiers cryptés.
à la condition que vous leur indiquiez une seule paire:
un fichier crypté et une copie du même non crypté à rechercher


Pour cela: Sous Vista /7:
Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.
Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.
Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.
Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".
Télécharger ShadowExplorer
Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".
Suivre la procédure d'installation.

Toujours Exécuter en tant qu'administrateur, d
onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector
Téléchargez RectorDecryptor sur l'ordinateur infecté
Décompressez l'archive.zip
Lancez RectorDecryptor.exe
cliquez sur le bouton Start scan.
La recherche et le déchiffrage des fichiers cryptés se réalise.
choisir l’option Delete crypted files after decryption.
Le rapport a un nom de type :
C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

2)Téléchargez RannohDecryptor
Lancez le et cliquez Start scan


Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage
Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).
Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.
Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt


2) Dr.Web fournit un fix dont voici l’adresse:
ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe
Mettre le fix sur le bureau et pas ailleurs.
Lancer Menu Démarrer -> executer ->
Tapez successivement
cmd
cd bureau
te94decrypt.exe -k 85
ou dernières versions
te94decrypt.exe -k 91 ou 100
Image IPB

ou dernière évolution

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)
Sinon il risque de crypter aussi le reste
une copie originale d'un des fichiers cryptés est nécessaire

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

3- lancer Matsnu1decrypt.exe

4- indiquer le chemin d'un fichier original (Select original file)

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

Ensuite l'outil va décrypter tous les fichiers cryptés



Comme c'est une méthode de décryptage TRES récente,
il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous
  • 0

#3 13mars

13mars

    Junior Member

  • Membres
  • 3 messages

Posté 02 juin 2012 - 01:47

Bonjour Merci pour votre aide.

j'ai suivi la méthode de decryptage des fichiers par "Matsnu1decrypt.exe". ces derniers ont été decryptés et je vous remercie beaucoup pour votre aide.

juste un petit problème : les fichiers précédés du mot "locked" sont toujours présents dans les différents dossiers à coté des fichiers decruptés.

comment faire pour supprimer automatiquement ces fichiers en double sans être obligé de le faire à la main

Merci
  • 0

#4 pear

pear

    Devil Member !

  • Equipe Sécurité
  • 24031 messages

Posté 02 juin 2012 - 01:57

Dans l'outil Kasparsky, il y a cette option:

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage]

Si vous ne l'avez pas dans Dr Web;
Vous faites une recherche sur *.locked, vous devriez les avoir tous.
  • 0

#5 13mars

13mars

    Junior Member

  • Membres
  • 3 messages

Posté 03 juin 2012 - 11:25

Bonjour,
tout est rentré dans l'ordre maintenant

Merci beaucoup pour votre aide.
  • 0

#6 Dylav

Dylav

    Modérateur

  • Modérateur [Dylav]
  • 17547 messages

Posté 03 juin 2012 - 12:55

Bonjour 13mars,

Puisque tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

Image IPB
[1] En bas du premier message de ton sujet, clique sur [Modifier]
[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]
[3] En haut de l'éditeur complet, ajoute [Abandonné] au titre de ton sujet.
  • 0