FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[g3n-h@ckm@n]

comme je disais , c'est pas un guignol qui a fait ca ^^

[Alek5555]

Bonjour !

Je reviens vers vous pour savoir si vous vous en sortez ?

Je vous avoue, j'aurais préféré que ça soit un guignol qui est fait ce virus ^^

Avez vous besoin de quelque chose d'autre ?

[g3n-h@ckm@n]

bon apparement j'ai fait divers tests et on dirait bien que la seule solution est de les faire un par un manuellement (sacré boulot en perspective :/ )

[Alek5555]

aille aille aille !!!

Comme vous dite ^^ sacré boulot en perspective, mais bon, c'est déjà super ce que vous avez fait !

Encore merci

Concernant la manip vous préférer, faire un mini tuto sur un fichier txt ou l'écrire à la suite de notre conversation autant en faire profiter tout le monde, au cas ou un chanceux... chope la même chose !

[g3n-h@ckm@n]

re

je pense que le mieux est que je fasse une petite vidéo en faite...

[2011N2]

Salut,

Dis, en attendant que g3n te fasse la vidéo, tu souhaiterais vérifier si ton PC n'a pas quelques autres cochonneries ?
Autant en profiter.

Gabriel.

[2011N2]

Re,

Bon finalement je vais m'occuper de t'expliquer la démarche :

1. Télécharge Binary Browser (clique sur rien, le téléchargement va se lancer tout seul) : http://download.cnet.com/Binary-Browser ... 6f7c94685c
2. Installe-le.
3. Ouvre-le.
4. Fais un clic droit sur la case en haut à gauche (où il y a le gros F en fond) et clique sur Hexadecimal (pour qu'il soit coché).
5. Dans cette même case, tape ffd8ff (tu les verras donc en haut en petit en gris).
6. Fais glisser un fichier infecté .rtf dans la grande partie grise de Binary Browser.
7. Double-clique sur la case en haut à gauche où tu viens d'entrer ffd8ff. Cela va t'amener sur l'occurrence trouvée.
8. Positionne-toi sur la case d'avant (tu peux le faire avec la flèche gauche de ton pavé directionnel).
9. Avec la touche MAJ enfoncée, remonte tout en haut de la fenêtre (avec l'ascenseur pour aller vite).
10. Clique sur la première case à gauche en haut, pour que tout ce qui soit avant ffd8ff soit sélectionné.
11. Fais un clic droit dessus = cut.
12. Clique sur File = Save as. Tu enlève l'extension .enc.rtf pour laisser juste .jpg, et tu enregistres.
    
    Ensuite ouvre ton image et elle devrait être OK.
    Et tu peux enchaîner pour les autres fichiers de la même manière.

Tiens, je t'ai même fait une petite vidéo :

 

Désolé pour la qualité, je l'ai passée dans Windows Movie Maker pour modifier un truc et ça a flingué toute la qualité. ^^

Bon courage.

Gabriel.

[Alek5555]

Bonjour,

Désolé de répondre si tard mais j'ai pas eu une minutes pour allez voir votre poste.

Merci BEAUCOUP pour ce tuto bien expliqué et détaillé !

Je vais pouvoir attaquer la partie la moins drôle qui est de faire 20000 fois cette manip

Je vous souhaite une bonne journée !

Cordialement

[2011N2]

Bonjour,

Bon courage à toi.

Et donc, souhaites-tu en profiter pour vérifier si ton PC n'est pas infecté par d'autres éléments ?

Gabriel.

[g3n-h@ckm@n]

si j'y avais pas montré il aurait jamais pu faire la vidéo ^^ huhuhuhuhu ^^

(je taquine)

[2011N2]

[Thoms]

Bonjour à tous.

Je ne connaissais pas du tout ce type de trojan plutôt redoutable pour s'attaquer ainsi à l'intégrité des fichiers!
Du coup ce n'est pas seulement l'extesion qui est touché il arrive à verrouiller les fichiers?
(curieux de comprendre le fonctionnement )

Par contre je me dit qu'il est peut être possible de faire un batch pour automatiser le correctif avec l'utilisation du prog binary browser ou c'est utopique ?

[2011N2]

Salut,

Il y a eu une vague assez importante durant l'été 2012 je crois (plus sûr du moment).

Oui il crypte entièrement les fichiers, en plus de modifier l'extension dans la plupart des cas.

Non ce n'est pas possible d'automatiser la tâche, beaucoup de développeurs (particuliers comme les développeurs d'antivirus) ont tenté de trouver un moyen de décryptage, en vain.

L'auteur de ce sujet a beaucoup de chance, c'est rare de pouvoir décrypter les fichiers, mais là heureusement ça fonctionne pour les jpg.

Gabriel.

[g3n-h@ckm@n]

déjà qu'en autoIt ca donne ca :


Local $t = 1
While 1
   If $t = 2 Then ExitLoop
   If FileExists("dsc_6299.jpg.enc.rtf") Then
         GUICtrlSetData($LABEL1, "Traitement : dsc_6299.jpg.enc.rtf")
      Global $file_in = "dsc_6299.jpg.enc.rtf"
      $digit = '[[:xdigit:]]{2}'
      $FILE = FileOpen($file_in, 16)
      $caract = StringRegExp(FileRead($FILE), '[[:xdigit:]]{32}', 3)
      FileClose($FILE)
      $txt0 = ""
      Local $d = 1
      For $I = 0 To UBound($caract) - 1
         If $count = 0 Then
            If StringInStr($caract[$i], "ffd8ffe1ff") Or StringInStr($caract[$i],"ffd8ffe103") Then
                  $count = 1
               EndIf
            EndIf
         If $count = 1 Then
            $caract[$i] = StringReplace($caract[$i], "0d0a", "")
            _ArrayAdd($add,$caract[$i])
         EndIf
      Next
      For $a in $add
         If $a '' Then
            $b = StringSplit($a,@CRLF)
            $c = _HexToString($b[1])
            FileWriteline("dsc_6299.jpg",$c)
         EndIf
      Next
   EndIf
$t += 1
WEnd

et c'est pas fonctionnel à 100% alors en batch j'ose même pas imaginer ^^

[Thoms]

Merci pour les précisions 2011N2 et g3n !

[Alek5555]

Bonjour non ça ira je vous remercie

Le PC va être changé après la récupération des fichiers

Par contre j'aurais aimé savoir si ce message d'erreur vous parlais

AutoIt Error
line 20897 (chemin du logiciel short.exe)
Error Variable used without "being de closed"

Je ne suis plus sur de la fin de la phrase

Ce message est apparu 2 fois après le passage de Shortcut à 94% une idée ?

Dois je fermer ce poste et en ouvrir un autre ou l'on peu continuer sur celui si ?

En tout cas merci d'avance

[g3n-h@ckm@n]

hello , tes protections devaient pas être désactivées au lancement je présume....

[Alek5555]

...... effectivement je ne crois pas avoir désactiver kaspersky erreur bête !

Merci de l'info !

[Alek5555]

Messieurs bonjour,

Je reviens vers vous après avoir utilisé votre technique, j'ai pu récupérer une partie des photos mais un très grand nombres de fichiers sont différents des premiers.

J'aimerais vous envoyer deux fichiers un .psd d'environ 50Mo (l'originale) et celui modifié par le virus 132Mo .psd.enc.rtf

Comment puis-je vous les envoyer ? Et Avez vous encore le courage de vous en occuper ?

Merci d'avance et bonne journée à vous !

[2011N2]

Bonjour,

Tu peux ouvrir un compte sur Dropbox : https://www.dropbox.com/
C'est gratuit, et assez pratique.

Bonne journée,

Gabriel.

[Alek5555]

Bonsoir tout le monde,

Voici les fichiers :

https://www.dropbox.com/s/4v5utejvuu8i55q/DSC_0105.psd

https://www.dropbox.com/s/w05ob07yqcr3j ... sd.enc.rtf

Quelques informations qui très certainement ne vous servirons à rien, on ne sais jamais

Sur l’ensemble des fichiers infectés seul les ".TIFF" n'ont pas été cryptés les autres oui ( .RAW / .JPEG / .PSD / .AVI / .Docx / .doc / .Xlsx / .Xls

La méthode utilisé auparavant pour les .JPEG à fonctionné pour environ 50% des cas. Enfaite cela dépendait des dossiers, soit l'intégralité d'un dossier était décryptable soit aucun fichier ne l'était.

La méthode de décryptage n'a rien avoir selon les formats ? Mêmes s'il ont tous un rapport avec l'image.

Un grand merci d'avance ! Si je peux vous aidez sur quoi que se soit n’hésitez pas !

[g3n-h@ckm@n]

salut non car les offsets des fichiers sont differents

[Alek5555]

Ha.... Vous pensez qu'il y a une chance de récupérer ces fichiers .psd ? Ce sont les plus importants et j'ai eu cette information trop tard, sinon je vous les aurais proposé en premier...

Je vous en demande beaucoup, je comprendrai si vous refusé.

Cordialement

[g3n-h@ckm@n]

le souci c'est que le fichier de 132 Mo est trop gros et qu'il fait beugger binary browser chez moi

[Alek5555]

Bonjour !

Désolé de répondre si tardivement ces derniers jours ont été très chargé

Que me conseillez vous ? Une solution pour ces gros fichiers volumineux ? Savez vous quel taille de fichier max est supporté par binary ?

Merci d'avance

[g3n-h@ckm@n]

re

non aucune idée