[Résolu] Infection Cryptowall DD externe

[Pierre13]

Ok...

 

Après l'analyse, j'aurais bien aimé avoir le rapport de MBAM en texte..

Cela peut servir pour identifier le coupable s'il le trouve...

 

Bon courage...

 

@ demain.

[Sebest]

Bonjour, le journal analyse MBAM en txt

 

http://www.cjoint.com/c/EKmheNACFBG

 

Pour resummer ce qui reste:

 

help_decrypt et fichiers cryptés sur DD externe (je precise USB, marque Seagate)

 

Ce que j'avais pas vu c'est que le DD externe où je copie l'image systeme C a été aussi touché, j'ai immediatement procédé à son formatage vu que mon PC ne pose pas de probleme de fonctionnement.

 

La derniere installalion que j'ai faite dite "sensible" c'est Java.

En alant sur ce site,http://www.escapemotions.com/experiments/rebelle/index.php

j'ai du mettre à jour Java pour mettre des exceptions de sécurité. C'est peut-etre arriver par là.

[Pierre13]

Bonjour,

 

Merci pour le rapport en txt.

Rien dedans...

 

Tant mieux dans le sens où le PC est clean.

Dommage dans le sens que le coupable reste inconnu..

 

La page du lien ne donne rien de suspect (à 1ère vue du moins)

Possible que ce soit lors de la mise à jour de Java si le fichier ne vient pas du site officiel.

Si ce fichier de mise à jour est encore sur le PC, faut le supprimer.

 

Les fichiers cryptés ont une extension ou un nom particulier ?

On peut faire une recherche pour en avoir la liste.

 

Faudrait vérifier si dans les paramètres des points de restauration système c'est bien configuré comme ceci:

 

 

Si c'est le cas, il y a peut être une chance de récupérer des fichiers cryptés..

Il faut qu'il y ait eu un point restauration créé avant le souci avec cette infection.

 

Pour cela, il suffit de faire un clic droit sur le fichier ==>> Propriétés.

Onglet Versions précédentes

 

 

Attendre le temps de la recherche...

Si une version précédente est disponible, elle va s'afficher.

Cliquer dessus pour la sélectionner et cliquer sur Restaurer.

 

A voir si c'est possible...

[Sebest]

Non aucune extensions particulieres ni noms particuliers pour les fichiers crypytés.

Pas de point de restauration non plus.

J'ai vu aussi que parmi les logiciels de gestion disque Seagate il y avait Recuva. Malheuresement, la plupart des fichiers sont marqués irrecuperable.

[Pierre13]

Alors, les fichiers cryptés sont définitivement perdus..

Sinon, je pense que l'infection a bien disparu.

 

Pour s'en assurer, faut déjà supprimer tous les fichiers help_decrypt et ceux cryptés.

Faire une recherche avec mon outil Recherche.exe

 

Faudra alors choisir le lecteur du disque externe à la place de C:

Entrer help_decrypt dans le nom de fichier comme la 1ère fois.

Laisser le reste comme il est.

 

Poster le rapport sur cjoint.

 

Si souci, ne pas hésiter à le signaler.

 

@++

[Sebest]

J'ai déjà supprimer les help_decrypt avec la même methode faite précédement.

Recherche.exe-->script ZHPfix

 

700 fichiers help_decrypt supprimés

 

Pour ce qui est des fichiers cryptés, je vais essayer plusieurs outils type Ontrack Easy Recovery ou R-Studio. Le permier cité, a déjà recupéré plus de 60 fichiers à 9% du balayage disque.

 

Merci encore pour la désinfection. Je marque en résolu.

Je completerais si j'ai des résultats probants lors de recuperation, histoire d'etre complet sur Cryptowall et ses misères...

[Pierre13]

Ok...mais attention...

Il est possible qu'un des fichiers cryptés contienne le virus...

Méfiance donc.

Le mieux est de faire analyser le fichier avec MBAM (clic droit sur le fichier =>> analyser avec MBAM) ou avec l'anti virus.

 

Une autre solution est de l'analyser sur Virus Total.

 

Cette méthode est longue vu le nombre, mais ça peut éviter pas mal d'ennuis...

 

@++ Bon courage...

[Sebest]

Un petit UP sur ce qui s'est passer ensuite.

 

Déjà j'ai identifié d'où est venu l'infection. Elle est venu d'une application Java de peinture digitale sur Escapemotions. On peut tester leurs logiciels via un "experiment" en ligne.

Le navigateur m'avait averti que l'application Java n'etait pas sécurisé, que pour l'ouvrir il fallait faire une exception de sécurité, ce que j'ai fait...

ça a du charger Cryptowall 3.0 et commencer le cryptage pendant que j'etais sur cette application. D'où peut-etre le pourquoi le cyptage ait été interrompu.

 

Concernant la récuperation... j'ai testé beaucoup de logiciels... j'ai reussi a recuperer quelques copies de fichiers cryptés que j'avais supprimer moi même...ou des fichiers supprimés par le malware mais illisible.

Taux de reussite 5% sur DD externe en dehors de toutes sauvegarde Windows ou versions anterieurs. Sur le disque Windows, la reussite devait être meilleure.

Data Rescue PC3 (payant) et PHOTOREC (gratuit) ont été les plus satisfaisants.

 

----------------------------------

Au délà de ça je me suis aperçu que la désinfection et son lots de fichiers supprimés à casser l'historique d'Internet Explorer (je l'utilise de temps en temps).

Plus aucun sites ne s'enregistre, je n'ai plus à la classification de l'historique seulement l'option recherche qui debouche sur rien

Modifié le 26 novembre 2015 par Sebest