Virus gendarmerie nationale - Fichiers Locked

[13mars]

Bonjour,

 

Mon ordinateur a été infecté il y a une semaine par le virus "gendarmerie nationale", j'ai a priori réussi à m'en débarasser en utilisant RogueKiller et Malwarebytes Anti-Malware mais la totalité de mes fichiers est inaccessibles. Ils sont tous précédés du mot locked et une suite de 4 lettres au hasard est écrite après l'extension.

 

Je suis sous windows Vista.

 

Merci de m'aider à résoudre ce problème.

 

Merci d'avance.

Modifié le 2 juin 2012 par 13mars

[pear]

Bonjour,

 

Après Rogue killer et Mbam:

 

Ensuite utiliser l'un de ces 2 outils: Kaspersky 1et 2 ou 3)Dr Web

ces outils recherchent et décryptent les fichiers cryptés.

à la condition que vous leur indiquiez une seule paire:

un fichier crypté et une copie du même non crypté à rechercher

 

Pour cela: Sous Vista /7:

Une des particularités des éditions "Professionnelle" et "Intégrale" de Vista est la fonction : Shadow Copy.

Cette fonctionnalité crée et restitue automatiquement des clichés instantanés des fichiers personnels, en utilisant le support de la création automatique des points de restauration.

 

La restauration système à une date antérieure ne va agir que sur les fichiers système et ne touchera en aucun cas, vos fichiers personnels.

 

Bien sûr, lors de la création des points de restauration, vos fichiers personnels sont aussi enregistrés dans ce cliché, mais cet enregistrement n'est accessible que dans les éditions "Professionnelle" et "Intégrale", via l'onglet "Versions précédentes" dans les "Propriétés" du fichier.

Il est alors possible, dans ces éditions de Vista, de récupérer un fichier supprimé accidentellement ou une modification enregistrée par erreur.

Cette fonctionnalité est activée par défaut sur toutes les éditions de Vista mais n'est pas exploitable dans les éditions "Basique" et "Familiale".

 

ShadowExplorer va donc vous permettre de pouvoir récupérer la copie d'un fichier perdu ou modifié, même dans les éditions "Basique" et "Familiale".

Télécharger ShadowExplorer

Clic-droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur".

Suivre la procédure d'installation.

 

Toujours Exécuter en tant qu'administrateur, d

onc d'un clic-droit sur le programme, par les "Propriétés", onglet "Compatibilité", cocher la case "Exécuter en tant qu'administrateur", et "Appliquer".

 

1)Déchiffrer les données cryptées par le programme malveillant Trojan-Ransom.Win32.Rector

Téléchargez RectorDecryptor sur l'ordinateur infecté

Décompressez l'archive.zip

Lancez RectorDecryptor.exe

cliquez sur le bouton Start scan.

La recherche et le déchiffrage des fichiers cryptés se réalise.

choisir l’option Delete crypted files after decryption.

Le rapport a un nom de type :

C:\RectorDecryptor.2.2.0_12.08.2010_15.31.43_log.txt

 

2)Téléchargez RannohDecryptor

Lancez le et cliquez Start scan

 

 

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage

Par défaut, le journal d'utilité est enregistré sur le disque système (celui avec le système d'exploitation installé).

Nom du fichier journal est UtilityName.Version_Date_Time_log.txt.

Par exemple, C: \ RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt

 

 

2) Dr.Web fournit un fix dont voici l’adresse:

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Mettre le fix sur le bureau et pas ailleurs.

Lancer Menu Démarrer -> executer ->

Tapez successivement

cmd

cd bureau

te94decrypt.exe -k 85

ou dernières versions

te94decrypt.exe -k 91 ou 100

 

ou dernière évolution

 

ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

S'assurer que le virus n'est plus là suite à la restauration (plus de demande de rançon)

Sinon il risque de crypter aussi le reste

une copie originale d'un des fichiers cryptés est nécessaire

 

1- télécharger ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe

 

2- brancher le disque dur externe pour pouvoir accéder à une copie originale d'un des fichiers cryptés

 

3- lancer Matsnu1decrypt.exe

 

4- indiquer le chemin d'un fichier original (Select original file)

 

5- indiquer le chemin du fichier correspondant crypté (Select encrypted file)

 

La comparaison des deux fichiers va permettre à l'outil de trouver la méthode de cryptage

 

Ensuite l'outil va décrypter tous les fichiers cryptés

 

 

 

Comme c'est une méthode de décryptage TRES récente,

il y a peu; les fichiers étaient tous perdus, dites nous ce que ça donne chez vous

[13mars]

Bonjour Merci pour votre aide.

 

j'ai suivi la méthode de decryptage des fichiers par "Matsnu1decrypt.exe". ces derniers ont été decryptés et je vous remercie beaucoup pour votre aide.

 

juste un petit problème : les fichiers précédés du mot "locked" sont toujours présents dans les différents dossiers à coté des fichiers decruptés.

 

comment faire pour supprimer automatiquement ces fichiers en double sans être obligé de le faire à la main

 

Merci

[pear]

Dans l'outil Kasparsky, il y a cette option:

Pour supprimer des copies de fichiers cryptés avec le nom du «locked-<original_name>. <4 caractères aléatoires>" après un décryptage réussi, utilisez l'option Supprimer les fichiers cryptés après le décryptage]

Si vous ne l'avez pas dans Dr Web;

Vous faites une recherche sur *.locked, vous devriez les avoir tous.

[13mars]

Bonjour,

tout est rentré dans l'ordre maintenant

 

Merci beaucoup pour votre aide.

[Dylav]

Bonjour 13mars,

 

Puisque tu considères que la question est réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Abandonné] au titre de ton sujet.