TROJAN CTB-Locker: Documents corrompus

Nevox · par **Nevox** » 16 déc. 2014 14:20

Bonjour,

Je vous contacte car suite à l'infection d'une machine par un TROJAN, tous les fichiers office (word, excel,...) et PDF ont changé d’extension ( .iilngun). En remettant la bonne extension, le fichier ne peut pas être ouvert car il est corrompu (crypté ou modification du fichier ?).

Existe-il un outil qui permet de "scanner" le fichier pour voir les modifications apportées ? Si besoin, j'ai l'exemple d'un fichier dans sa forme "avant" le trojan et "après" le trojan.

Le but de la manœuvre est de voir s'il est possible de trouver un outil qui remet le fichier dans son état de départ avant le passage du trojan.

Merci par avance pour vos réponses.

Cordialement,

par **Malekal_morte** » 16 déc. 2014 14:25

Salut,

Tu as été infecté par un ransomware/rançongiciels chiffreurs de fichiers.

Tu as un message qui s'ouvre avec les instructions ?
Tu peux le donner copier/coller ou capture d'écran.

il y a beaucoup de variantes.... et souvent pas de programmes pour retrouver les données.

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Nevox · par **Nevox** » 16 déc. 2014 14:43

Merci de votre réponse.

Non justement il n'y a aucune demande de "rançon" sur le poste en question.

Je vais voir pour vous fournir les rapports que vous avez besoin mais le poste a été nettoyé à l'aide de malwarebyte rootkit

Cordialement,

Nevox · par **Nevox** » 16 déc. 2014 15:00

Le Shortcut :
Le Addition :
Le FRST :

par **angelique** » 16 déc. 2014 15:18

envoie ce fichier C:\Users\CCROTTI\AppData\Local\Temp\pyfegsh.exe à Malekal ici > http://upload.malekal.com/

par **Malekal_morte** » 16 déc. 2014 15:22

Les instructions sont là : 2014-12-15 15:16 - 2014-12-15 15:21 - 03133494 _____ () C:\Users\CCROTTI\Documents\Decrypt All Files iilngun.bmp
Dans tes documents, tu as le fichier Decrypt All Files

Tu peux le donner pour voir ?

Nevox · par **Nevox** » 16 déc. 2014 15:30

Oui en effet.

Le fichier pyfegsh.exe n'est plus sur la machine, la tâche pointe vers un fichier inexistant.

Voici le message en pièce jointe

par **Malekal_morte** » 16 déc. 2014 15:33

ok je me doutais que c'était CTB-Locker.
C'est le second sujet, doit y avoir une campagne qui traine : https://www.supprimer-virus.com/ctb-locker/

~~

A part tenter de récupérer les fichiers avec les versions précédentes, pas de solution.
=> http://forum.malekal.com/windows-versio ... 46739.html

Nevox · par **Nevox** » 16 déc. 2014 15:40

Ok merci pour vos réponses.

Cordialement,

par **Malekal_morte** » 16 déc. 2014 16:25

As-tu une idée comment tu as choppé ce trojan ?
Si tu as eu une alerte de ton antivirus sur un site en particulier ?

icam · par **icam** » 19 févr. 2015 15:49

Bonjour à tous,
il y a quelqu'un m'aider;mon ordinateur est infecté pas cbt locke voile le lien d'analyse

http://pjjoint.malekal.com/files.php?id ... f5i10d6t14

par **Malekal_morte** » 20 févr. 2015 23:35

Salut,

C'est Shortcut.txt
manque FRST.txt et additionnal.txt

Malekal.com forum

TROJAN CTB-Locker: Documents corrompus

TROJAN CTB-Locker: Documents corrompus

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN : Documents corrompus .iilngun

Re: TROJAN CTB-Locker: Documents corrompus

Re: TROJAN CTB-Locker: Documents corrompus

Re: TROJAN CTB-Locker: Documents corrompus

Re: TROJAN CTB-Locker: Documents corrompus

Re: TROJAN CTB-Locker: Documents corrompus