Malekal's forum

[BreizhMath]

Bonjour à tous,

Comme beaucoup j'ai été infecté par le virus gendarmerie, qui en a profité pour "locker" une grosse partie de fichiers, y compris pdf, mp3 et autres images.
J'ai consulté le web, et ai utilisé Malwarebytes pour éliminer le virus, ce qui a été fait. J'ai ensuite cherché sur ce forum le moyen de "délocker" mes fichiers, et ai téléchargé le fix de Dr. Web.
Je l'ai lancé, et il a fonctionné pour une partie des fichiers. Une partie seulement, car le manque de place sur mon disque dur a fait qu'il n'a pu correctement décrypter et je me retrouve donc avec des cohortes de fichiers soi-disant décryptés, mais qui pèsent en réalité 0Ko et ne sont donc pas décryptés.

J'ai donc décidé de virer tous les fichiers locked ayant été décryptés correctement par le fix (après vérification), et de relancer le programme. Le processus a donc recommencé, et lorsque la place a manqué, il a recommencé à créer des fichiers "vides" et non décryptés. Mais la nouveauté, c'est que j'ai découvert qu'il a également parfois créé des fichiers en apparence décryptés (bonne extension, même "poids" que l'original) mais qui sont en réalité corrompus ou illisibles... Et pour certains d'entre eux, convaincus que le fix avait fonctionné, j'ai supprimé les versions "locked".

Du coup je me retrouve maintenant avec un espace libre très faible sur le DD, avec des milliers de fichiers "locked", des centaines de "décryptés" à 0 Ko, et des faux décryptés illisibles...

Bref, avant de relancer le processus, j'aimerais savoir s'il est possible de façon locale de faire fonctionner le programme. Je m'explique: pour les docs sensibles ou auxquels je suis attaché (musiques, docs de travail), est-il possible de les décrypter sur un DD externe afin d'en assurer un bon décryptage?

En vous remerciant,

[Malekal_morte]

Salut,

Tu peux faire une recherche de fichiers sur la taille (0 ko) et tous les sélectionner pour les virer.

Retente avec un autre fichier source / crypté.

Si tu as le dropper envoie là : http://upload.malekal.com
S'il évolue (et la méthode de crypage aussi), ça peux faire que le fix est non fonctionnel.

[BreizhMath]

OK, je vais réessayer. Qu'entends-tu par le "dropper"?

[Nabou]

Bonjour,

Je suis dans le même cas:
- piégée par virus gendarmerie
- virus éradiqué
- utilisation du super fix du Dr Web contre les fichiers locked
- j'ai retrouvé tous mes fichiers sans exception!

Seul problème: mon disque D: Factory image est maintenant saturé...comme je ne peux pas y accéder je me demande si il contient lui aussi des fichiers locked.
Il doit exister une solution pour supprimer les fichiers locked inutiles sur le D: puisque j'ai tout récupéré sur le C:...

Précisions: windows 7, reste beacoup de place sur le C:
MErci beaucoup beaucoup pour votre aide!
Nabou

[jjo20050]

Bonour,

et merci pour tous vos conseils !

quelques mots sur mon aventure. J'ai été infecté par une version italienne du virus "locked". (zip envoyé par mail qu a été ouvert..)
Le pc (seven 64 bits) etait normalement protégé par avast gratuit...

tous les documents utilisateurs sont désormais chiffrés et on été renommé en
locked-nomdefichier.extension.4caractères aléatoires.

J'ai pu désinfecter facilement grâce à vos tutos mais pour le moment je n'ai pas pu déchiffrer les documents.

j'ai un pdf sain et le même chiffré (qui fait plus de 4 Mo), j'ai testé différents tools qui permettent de déchiffrer certaines variantes mais pas cette version italienne semble-t-il.

j'ai uploader la charge sur votre site d'upload, le fichier s'appelle 098413E6224CE0C24D75.exe

En espérant que vous aurez cette fois encore de bons conseils...

encore merci
jjo20050

[Malekal_morte]

Je viens de regarder et à priori les programmes donnés ici ne fonctionnent pas : http://www.malekal.com/2012/03/12/votre ... oi-france/

Ta variante est identique mais avec des différences, semble-t-il :

Code: Tout sélectionner

1336430345.315   4264 192.168.1.27 TCP_MISS/200 211969 GET http://spatbe-w.com/01/a.php?id=4063B68D4B4B414D004B&cmd=img&ver=00000 - DIRECT/216.224.182.237 text/html
1336430351.473    984 192.168.1.27 TCP_MISS/200 383 GET http://spatbe-w.com/01/a.php?id=4063B68D4B4B414D004B&cmd=msg&ver=00000 - DIRECT/64.31.25.46 text/html
1336430352.997   1522 192.168.1.27 TCP_MISS/200 355 GET http://spatbe-w.com/01/a.php?id=4063B68D4B4B414D004B&cmd=lfk&ver=00000&data=9dQzcz2gttYhR5lgwMZakfDbu3AcGTUux110Cetspyl9Ot3Gyx4Q0bcSDz5Ef%2FgpdosHJ7MA - DIRECT/80.89.130.82 text/html

La détection est super bonne : https://www.virustotal.com/file/9b756c7 ... /analysis/

SHA256: 9b756c7130f22c14fa5f85d6d39a496aa7b3d0dd5cb3e12189846bf09bd84e84
File name: 098413E6224CE0C24D75.exe
Detection ratio: 28 / 39
Analysis date: 2012-05-07 21:05:33 UTC ( 1 heure, 29 minutes ago )

AntiVir TR/Crypt.Gypikon.B.4 20120507
Antiy-AVL Worm/Win32.VBNA.gen 20120507
Avast Win32:VB-ACRV [Trj] 20120507
AVG Worm/VB.BRTN 20120507
BitDefender Gen:Trojan.Heur.dm2@sHxgdejie 20120507
CAT-QuickHeal (Suspicious) - DNAScan 20120507
ClamAV - 20120507
Commtouch - 20120507
Comodo UnclassifiedMalware 20120507
DrWeb Trojan.Packed.22551 20120507
Emsisoft Worm.Win32.VBNA!IK 20120507
eSafe Win32.TRCrypt.Gypiko 20120506
eTrust-Vet - 20120507
F-Prot - 20120507
F-Secure Gen:Trojan.Heur.dm2@sHxgdejie 20120507
Fortinet W32/VBNA.D!worm 20120507
GData Gen:Trojan.Heur.dm2@sHxgdejie 20120507
Ikarus Worm.Win32.VBNA 20120507
Jiangmin Trojan/Generic.adcdd 20120507
K7AntiVirus EmailWorm 20120507
Kaspersky Worm.Win32.VBNA.d 20120507
McAfee PWS-Zbot.gen.oj 20120507
McAfee-GW-Edition Artemis!537F7D26DDDD 20120507
Microsoft VirTool:Win32/VBInject.gen!IX 20120507
NOD32 a variant of Win32/Injector.QYF 20120507
Norman W32/Troj_Generic.BQFEN 20120507
nProtect - 20120507
Panda - 20120507
PCTools Trojan.Gen 20120507
Rising - 20120507
Sophos W32/VBNA-O 20120507
SUPERAntiSpyware - 20120411
Symantec Trojan.Gen 20120507
TheHacker W32/VBNA.d 20120507
TrendMicro - 20120507
TrendMicro-HouseCall TROJ_GEN.R01CEE7 20120507
VIPRE Trojan.Win32.Generic!BT 20120507
ViRobot - 20120507
VirusBuster - 20120507

Je vais essayer de contacter quelqu'un de Kaspersky, voir s'ils peuvent faire qq chose.

Tu as une IP FR, C'est biz que tu aies choppé une variante italienne.
Tu as une idée où tu as choppé ça ?

[jjo20050]

bonjour,

ce PC appartient à des amis français qui travaillent souvent avec des marchands italiens.
Ils ont reçu un mail venant d'italiens qu'ils ne connaissaient pas mais ils pensaient que c'était des photos d'objets à vendre, donc ils ont ouvert le "zip"...

d'avance merci pour ce que tu pourras me dire.
encore merci en tout cas

[Malekal_morte]

han ok, je veux bien le mail s'ils l'ont encore

[jjo20050]

je leur ai demandé le mail.

j'espère qu'ils l'ont encore, dès que je l'ai je l'upload....

d'avance merci

[jjo20050]

Bonjour,

concernant le mail d'origine qui a provoqué l'infection, je n'ai pas pu accéder au source du mail pour avoir le détail...

voici le message reçu, ils ne connaissaient ni suddenlink.net ni Delia-Benedetti-Giannotto mais comme ils traitent avec des marchands italiens, ils ont pensé que c'était un transporteur ou un mandataire pour la douane...

Début du message transféré :
>
> Expéditeur: jcdunlap1@suddenlink.net
> Date: 5 mai 2012 13:09:57 HAEC
> Destinataire:
> Objet: F24 ACCONTO710708
>
> Gentile Cliente
> come di consueto Le inviamo in allegato il modello F24 per il
> pagamento(678,08 Euro) dell'acconto con scadenza il 15.06.2011.
>
> E' GRADITA CONFERMA DI RICEZIONE
>
> Studio Associato
> Delia-Benedetti-Giannotto
> La segreteria
> Via Antonio Bosio n.43
> 00118 Roma
>
> 06.44231701
> 06.4407537
> 06.4408058 Fax
>
>
>

en pièce jointe il y avait un fichier F24.zip qui contenait un fichier F24.exe...
je t'upload le zip sur le site.

désolé de pouvoir faire mieux...

cordialement
jjo20050

[Malekal_morte]

ok, merci pour les infos!

[jjo20050]

Bonjour,

pour info j'ai trouvé ce tool sur le net qui parait prometteur.
Je n'ai pas le PC infecté avec moi en ce moment mais j'essaie ce we...

http://www.avira.com/en/support-for-bus ... /kbid/1253

Cordialement
jjo20050

[Malekal_morte]

Tu l'as testé ? ça donne quoi ?

[jjo20050]

Bonjour,

hélas chez moi ça n'a rien donné, j'imagine pour un pb de variante...

pour l'instant pas de changement...
je vais essayer de trouver d'autres couples de fichiers sains/chiffrés pour ré-essayer...

De ton côté tu n'as rien de plus ?

d'avance merci
jjo20050

[Malekal_morte]

Non moi ça marche \o