Votre question

Fichiers cryptés suite au virus de la gendarmerie

Tags :
  • Virus
  • msn
  • Kaspersky
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Juillet 2012 15:22:30


Bonjour

j'ai été infectée par le fameux virus "gendarmerie nationale" je l'ai éradiqué, du moins je l'espère ,au moyen du live CD Kaspersky.
Suite aux divers sujets vus sur le forum , j'ai téléchargé j'ai installé OTL et j'ai procédé à la recherche puis à la suppresion des éventuels restes de ce virus. Comme à peu près tout le monde tous les fichiers de mon PC sont passés en "locked" et j'aimerai bien un coup de main pour les récupérer.
voila les rapports OTL:

Extras.txt http://pjjoint.malekal.com/files.php?id=20120711_g6v12z...
OTL.txt http://pjjoint.malekal.com/files.php?id=20120711_j13u15...

je vous remercie d'avance pour le coup de main

Ghazi

Autres pages sur : fichiers cryptes suite virus gendarmerie

a c 628 8 Sécurité
11 Juillet 2012 22:41:48

Bonsoir,

On va regarder cela en deux temps : vérifier l'absence de l'infection après le cryptage, puis décrypter les fichiers.

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

/!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

/!\ Ne modifie pas le nom ou l'extension des fichiers crypté sous peine de ne plus pouvoir les décrypter, et de même n'essaye pas de les ouvrir /!\


Pour débuter il va falloir me remettre les liens de tes rapports car ils ont été amputé semble-t-il et ne renvoi donc à rien ;) 
Réhéberge-les.

:jap: 
m
0
l
Contenus similaires
a c 628 8 Sécurité
12 Juillet 2012 10:30:45

Re,

Est-ce que c'est toi ou un de tes programmes qui a créé ces dossiers sur ton bureau ?
Citation :
[2012/07/09 10:24:42 | 000,024,576 | ---- | M] () -- C:\Users\g\Desktop\sNupfNsuXxquNU
[2012/07/05 18:48:20 | 000,070,144 | ---- | M] () -- C:\Users\g\Desktop\XuNspQEsaxotasysV
[2012/07/05 10:32:34 | 000,014,339 | ---- | M] () -- C:\Users\g\Desktop\pfuTxEevnUyarLQnQ
[2012/07/03 19:09:25 | 000,022,177 | ---- | M] () -- C:\Users\g\Desktop\AevTrVAsqrVujOnJT
[2012/07/03 19:09:22 | 000,047,180 | ---- | M] () -- C:\Users\g\Desktop\OTDftOdqrVXALGlQpt
[2012/07/03 19:00:39 | 000,017,800 | ---- | M] () -- C:\Users\g\Desktop\VxUxxnGpnyptrvjLDJ
[2012/07/03 12:37:37 | 001,158,656 | ---- | M] () -- C:\Users\g\Desktop\gjQuVOorpGgErNtuOA
[2012/06/28 17:45:33 | 000,289,804 | ---- | M] () -- C:\Users\g\Desktop\fqufxvTyfesarudXJj
[2012/06/28 15:01:25 | 000,028,160 | ---- | M] () -- C:\Users\g\Desktop\uTAsNOxErlxpeLOudfp
[2012/06/26 11:44:54 | 000,276,599 | ---- | M] () -- C:\Users\g\Desktop\AEyOsdTlfjXnVaqEu
[2012/06/14 14:10:50 | 000,075,318 | ---- | M] () -- C:\Users\g\Desktop\UNNVQtqrVpXedGrVQsq
[2012/06/11 18:13:38 | 000,435,712 | ---- | M] () -- C:\Users\g\Desktop\jJDloqjvlUysEUynUs
m
0
l
12 Juillet 2012 10:39:53

ce sont des documents excel et word! c'est moi qui les a crée
m
0
l
a c 628 8 Sécurité
12 Juillet 2012 10:42:49

Re,

OK.

Celui-là aussi ?
[1601/02/13 10:28:18 | 000,003,602 | ---- | C] () -- C:\Users\g\uNJfvsueXlUQyU

C'est dans ton dossier utilisateur.
m
0
l
12 Juillet 2012 10:47:41

Re;

Non je connais pas ce fichier! il fait 3Ko
m
0
l
a c 628 8 Sécurité
12 Juillet 2012 11:21:41

Re,

OK, tu le supprimes si possible, sinon dis-le moi.

On passe au décryptage :

L'outil peut avoir besoin d'une copie saine et non modifiée d'un des fichiers crypté, elle peut être issue d'un autre pc, d'une sauvegarde, d'une clé usb, d'un téléchargement, etc ...

Télécharge RannohDecryptor (de Kaspersky) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur RannohDecryptor.exe pour le lancer
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Sélectionne tous les lecteurs à analyser dans Change parameters et valide par OK
  • Clique sur Start scan


  • L'utilitaire va chercher les fichiers cryptés, il faudra lui indiquer le chemin d'un fichier non crypté quand demandé

  • L'outil va, par comparaison entre les 2 fichiers, identifier le mode de cryptage et pouvoir ainsi appliquer le décryptage correspondant à tous tes fichiers locked

  • Un rapport RannohDecryptor.Version_Date_Time_log.txt est enregistré sous C:\
  • Poste simplement les dernières lignes du rapport dans ta prochaine réponse.

  • Après vérification, tu peux supprimer les copies de fichiers cryptés avec le nom locked si le décryptage a réussi, avec l'option Delete crypted files after decryption dans Change parameters -> Additional options

    Merci à Chantal11 pour la procédure
    m
    0
    l
    12 Juillet 2012 11:45:04

    je l'ai supprimé ce fichier!

    J'ai suivi ton tuto, j'ai pris le meme fichier sain et crypté mais un msg d'erreur s'affiche:" Cannot find decryption key. May be unknown trojan program modification."

    Voila les dernières lignes du rapport:


    11:23:46.0102 3528 Initialize success
    11:34:36.0005 3312 Can't initialize on pair
    11:34:36.0005 3312 Can't init decryptor
    11:34:37.0128 2432 Deinitialize success
    m
    0
    l
    a c 628 8 Sécurité
    12 Juillet 2012 11:54:32

    Re,

    Les fichier crypté sont nommé comment ?

    Le fichier sain fait-il plus de 4 ko ?
    m
    0
    l
    12 Juillet 2012 11:55:24

    Il fait 6,24 Mo !
    m
    0
    l
    a c 628 8 Sécurité
    12 Juillet 2012 11:57:54

    Citation :
    Les fichier crypté sont nommé comment ?
    m
    0
    l
    12 Juillet 2012 12:02:43

    voila quelques exemples de noms de fichiers cryptés:

    vGUOutflAVlvGU

    gjQuVOorpGgErNtuOA

    nreXVlaqeXasDUUesnUdG
    m
    0
    l
    a c 628 8 Sécurité
    12 Juillet 2012 14:18:17

    Re,

    Donc c'était ceux que je t'avais demandé qu'est-ce qu'il faisait sur ton bureau ...

    Pourquoi tu m'as parlé de :
    Citation :
    tous les fichiers de mon PC sont passés en "locked"


    Effectivement, comme le signale Destrio, c'est la dernière variante qui vient de débarqué.

    Les éditeurs devraient sortir les décrypteurs d'ici quelques jours, donc il va falloir patienter en attendant.

    Par ailleurs, je te conseille de restaurer ce fichier/dossier :
    [1601/02/13 10:28:18 | 000,003,602 | ---- | C] () -- C:\Users\g\uNJfvsueXlUQyU

    C'est surement aussi un fichier légitime qui a été encrypté.

    Je reviens vers toi dès qu'une solution est possible.
    :jap: 

    PS : tu te rappel de l'origine de l'infection ? C'est en surfant sur le web ou en ouvrant une pièce jointe de mail ?
    m
    0
    l
    12 Juillet 2012 14:37:11

    Salut,

    J'ai ouvert une pièce jointe d'un mail.

    T as une idée sur combien d'octets sont chiffrés les données?
    m
    0
    l
    a c 628 8 Sécurité
    12 Juillet 2012 14:40:11

    Ok,
    C'est bien la variante actuelle alors.

    Citation :
    T as une idée sur combien d'octets sont chiffrés les données?

    Non, elle vient d'apparaitre, on a encore très peu d'infos dessus.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS