[Résolu] Infecté par CBT-Locker

[pear]

Hélas , il n'y pas de solution garantie.

Voyez là:(c'est en Anglais, mais il y a des traducteirs automatique)

 

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#discover

[ALSCO]

Donc, je ne suis pas sur que le virus est désactivé ?

Modifié le 21 janvier 2015 par ALSCO

[pear]

 

Plus de nouvelles ?

Je vous ai répondu à 8.45

 

Je n'ai rien à ajouter, hélas !

[ALSCO]

On est quand même bien d'accord sur le fait que le virus n'est plus actif ?

 

Toujours Merci.

[pear]

Mais non.

 

sur le lien Bleeping Computer il est dit que CBT-Locker n'est pas supprimable.

[ALSCO]

Sur le lien Bleeping Computer, il n'est pas dit que CBT-Locker n'est pas supprimable, mais que les documents cryptés par celui-ci sont indécryptables à moins de tenter de payer sans garantie qu'une clé de décryptage sera fournie.

 

Par contre, dans le dossier System Volume Information du disque qui contient toutes les données, j'ai un fichier asser volumineux datant du 12/01/2015 (avant l'attaque du virus).

 

Est ce que je ne peux pas l'utiliser pour restaurer les données à cette date ?

 

Pour rappel, c'est sur un serveur 2003 qui n'a pas l'option "points de restauration", d'ou je ne sais pas comment faire.

[pear]

Le dossier System Volume Information est une zone du disque dur créée par le système d'exploitation et utilisée par Windows pour stocker des informations critiques relatives à la configuration du système.
L'accès au dossier "System Volume Information" est protégé et seul le système d'exploitation y a accès.

Comme vous n'avez pas l'option "points de restauration", vous ne pouvez pas l'utiliser.

[ALSCO]

J'ai tardé avant de répondre car je voulais vous donner mon expérience sur le sujet et surtout vous faire part des erreurs à éviter si vous n'avez pas de backups des données ou que ceux-ci ont été cryptés aussi.

 

1° Si vous êtes attaqué par CBT-Locker et que sa fenêtre s'affiche, ile st déjà trop tard...Tout vos documents et certains fichiers de configuration Windows ont été cryptés.

 

2° Désactiver mais ne pas effacer le ou les processus de cryptage (en garder une copie en quarantaine p. ex.). Ma première erreur a été de les effacer.

 

3° Ne plus travailler sur l'ordinateur, ne pas faire de mises à jours (éviter autant que possible tout ce qui peut provoquer des écritures sur le(s) dique(s) dur(s)). C'est ma deuxième erreurs.

 

4° Si vous avez un antivirus payant, contactez le support. Les meilleurs vous demanderont un ou deux fichiers cryptés et si possible leur équivalent non crypté, les clés publiques de décryptage, mais surtout une copie des fichiers responsables du cryptage (voir point 2).

Ces derniers contiennent la clé privée de cryptage qui est propre à chaque ordinateur infecté. Ils pourront alors vous donner une solution de décryptage

 

5° Si le support de votre antivirus ne peut pas vous aider, il reste une dernière possibilité avant de payer la rançon demandée:

utiliser un logiciel de récupértion de fichiers effacés (p. ex. R-Studio) à ne pas installer sur le(s) disque(s) infecté(s).

Il semble que CBT-Locker fasse une copie cryptée de vos documents avant d'effacer la copie non cryptée. Selon l'espace libre sur votre disque dur, il est possible de récupérer tout ou une partie de vos documents, mais celà peut savérer être un travail de titan.

 

6° Si il n'y a pas d'autres solutions et que la récupération de vos documents est indispensables, il ne reste plus qu'à payer la rançon.

J'ai fini par le faire après 3 semaines (ne pas tenir compte de leur décompte de 90 heures) la peur au ventre et la rage au coeur.

Après le payement (approximativement 625 €) , j'ai pu télécharger un programme permettant de décrypter les fichiers et ça a fonctionné.

Je tenais à le dire car avant de payer j'ai cherché le témoignage de quelqu'un qui avait payé pour voir si ils ont pu décrypter leurs fichiers et e n'en ai trouvé aucun.

 

ATTENTION : le fichier téléchargé pour décrypter les fichiers semble contenir un Trojan. Donc après décrypage, il faut faire un nettoyage du PC

[pear]

Le point 6 est intéressant.

D'habitude on déconseille de payer car c'est risquer de perdre son argent pour rien.

C'est la première fois que je vois quelqu'un qui a pu décrytter ses fichiers après paiement.

J'en suis ravi pour vous.

 

Avez vous la possiblité de communiquer le programme de décryptage ?

Cela pourrait servir à d'autres.

[ALSCO]

Je crois que d'habitude on déconseille de payer si il y a moyen de faire autrement pour ne pas encourager les pirates.

 

Et c'est aussi mon point de vue (mais je n'ai pas eu le choix).

 

Avant de tenter de décrypter les fichiers (sur un serveur), j'ai copier quelques fichiers cryptés sur un autre ordi ainsi que le programme de décryptage afin de faire un test.

 

Il détecte qu'il s'agit d'un autre ordi et d'un autre système d'exploitation et conseille de ne pas continuer (menace ?).

 

En plus ce programme contient la clé privée de décryptage qui comme je l'ai dit, est propre à chaque ordi infecté (mais il devrait permettre de changer cette clé).

 

Je peux envoyer ce programme, mais il ne sert à rien sans cette clé.

Modifié le 5 février 2015 par ALSCO