FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
#118945
aille aille aille !!!

Comme vous dite ^^ sacré boulot en perspective, mais bon, c'est déjà super ce que vous avez fait !

Encore merci

Concernant la manip vous préférer, faire un mini tuto sur un fichier txt ou l'écrire à la suite de notre conversation autant en faire profiter tout le monde, au cas ou un chanceux... chope la même chose !
#119224
Re,

Bon finalement je vais m'occuper de t'expliquer la démarche :
  1. Télécharge Binary Browser (clique sur rien, le téléchargement va se lancer tout seul) : http://download.cnet.com/Binary-Browser ... 6f7c94685c
  2. Installe-le.
  3. Ouvre-le.
  4. Fais un clic droit sur la case en haut à gauche (où il y a le gros F en fond) et clique sur Hexadecimal (pour qu'il soit coché).
  5. Dans cette même case, tape ffd8ff (tu les verras donc en haut en petit en gris).
  6. Fais glisser un fichier infecté .rtf dans la grande partie grise de Binary Browser.
  7. Double-clique sur la case en haut à gauche où tu viens d'entrer ffd8ff. Cela va t'amener sur l'occurrence trouvée.
  8. Positionne-toi sur la case d'avant (tu peux le faire avec la flèche gauche de ton pavé directionnel).
  9. Avec la touche MAJ enfoncée, remonte tout en haut de la fenêtre (avec l'ascenseur pour aller vite).
  10. Clique sur la première case à gauche en haut, pour que tout ce qui soit avant ffd8ff soit sélectionné.
  11. Fais un clic droit dessus = cut.
  12. Clique sur File = Save as. Tu enlève l'extension .enc.rtf pour laisser juste .jpg, et tu enregistres.

    Ensuite ouvre ton image et elle devrait être OK.
    Et tu peux enchaîner pour les autres fichiers de la même manière.
Tiens, je t'ai même fait une petite vidéo :

 

Désolé pour la qualité, je l'ai passée dans Windows Movie Maker pour modifier un truc et ça a flingué toute la qualité. ^^

Bon courage.

Gabriel.
#119573
Bonjour,

Désolé de répondre si tard mais j'ai pas eu une minutes pour allez voir votre poste.

Merci BEAUCOUP pour ce tuto bien expliqué et détaillé !

Je vais pouvoir attaquer la partie la moins drôle qui est de faire 20000 fois cette manip

Je vous souhaite une bonne journée !

Cordialement
#119822
Bonjour à tous.

Je ne connaissais pas du tout ce type de trojan plutôt redoutable pour s'attaquer ainsi à l'intégrité des fichiers!
Du coup ce n'est pas seulement l'extesion qui est touché il arrive à verrouiller les fichiers?
(curieux de comprendre le fonctionnement )

Par contre je me dit qu'il est peut être possible de faire un batch pour automatiser le correctif avec l'utilisation du prog binary browser ou c'est utopique ?
#119829
Salut,

Il y a eu une vague assez importante durant l'été 2012 je crois (plus sûr du moment).

Oui il crypte entièrement les fichiers, en plus de modifier l'extension dans la plupart des cas.

Non ce n'est pas possible d'automatiser la tâche, beaucoup de développeurs (particuliers comme les développeurs d'antivirus) ont tenté de trouver un moyen de décryptage, en vain.

L'auteur de ce sujet a beaucoup de chance, c'est rare de pouvoir décrypter les fichiers, mais là heureusement ça fonctionne pour les jpg.

Gabriel.
Avatar du membre
par g3n-h@ckm@n
#120102
déjà qu'en autoIt ca donne ca :


Local $t = 1
While 1
   If $t = 2 Then ExitLoop
   If FileExists("dsc_6299.jpg.enc.rtf") Then
         GUICtrlSetData($LABEL1, "Traitement : dsc_6299.jpg.enc.rtf")
      Global $file_in = "dsc_6299.jpg.enc.rtf"
      $digit = '[[:xdigit:]]{2}'
      $FILE = FileOpen($file_in, 16)
      $caract = StringRegExp(FileRead($FILE), '[[:xdigit:]]{32}', 3)
      FileClose($FILE)
      $txt0 = ""
      Local $d = 1
      For $I = 0 To UBound($caract) - 1
         If $count = 0 Then
            If StringInStr($caract[$i], "ffd8ffe1ff") Or StringInStr($caract[$i],"ffd8ffe103") Then
                  $count = 1
               EndIf
            EndIf
         If $count = 1 Then
            $caract[$i] = StringReplace($caract[$i], "0d0a", "")
            _ArrayAdd($add,$caract[$i])
         EndIf
      Next
      For $a in $add
         If $a '' Then
            $b = StringSplit($a,@CRLF)
            $c = _HexToString($b[1])
            FileWriteline("dsc_6299.jpg",$c)
         EndIf
      Next
   EndIf
$t += 1
WEnd

et c'est pas fonctionnel à 100% alors en batch j'ose même pas imaginer ^^
#120238
Bonjour non ça ira je vous remercie

Le PC va être changé après la récupération des fichiers

Par contre j'aurais aimé savoir si ce message d'erreur vous parlais

AutoIt Error
line 20897 (chemin du logiciel short.exe)
Error Variable used without "being de closed"

Je ne suis plus sur de la fin de la phrase

Ce message est apparu 2 fois après le passage de Shortcut à 94% une idée ?

Dois je fermer ce poste et en ouvrir un autre ou l'on peu continuer sur celui si ?

En tout cas merci d'avance
#123433
Messieurs bonjour,

Je reviens vers vous après avoir utilisé votre technique, j'ai pu récupérer une partie des photos mais un très grand nombres de fichiers sont différents des premiers.

J'aimerais vous envoyer deux fichiers un .psd d'environ 50Mo (l'originale) et celui modifié par le virus 132Mo .psd.enc.rtf

Comment puis-je vous les envoyer ? Et Avez vous encore le courage de vous en occuper ?

Merci d'avance et bonne journée à vous !
#123606
Bonsoir tout le monde,

Voici les fichiers :

https://www.dropbox.com/s/4v5utejvuu8i55q/DSC_0105.psd

https://www.dropbox.com/s/w05ob07yqcr3j ... sd.enc.rtf

Quelques informations qui très certainement ne vous servirons à rien, on ne sais jamais

Sur l’ensemble des fichiers infectés seul les ".TIFF" n'ont pas été cryptés les autres oui ( .RAW / .JPEG / .PSD / .AVI / .Docx / .doc / .Xlsx / .Xls

La méthode utilisé auparavant pour les .JPEG à fonctionné pour environ 50% des cas. Enfaite cela dépendait des dossiers, soit l'intégralité d'un dossier était décryptable soit aucun fichier ne l'était.

La méthode de décryptage n'a rien avoir selon les formats ? Mêmes s'il ont tous un rapport avec l'image.

Un grand merci d'avance ! Si je peux vous aidez sur quoi que se soit n’hésitez pas !
#123896
Ha.... Vous pensez qu'il y a une chance de récupérer ces fichiers .psd ? Ce sont les plus importants et j'ai eu cette information trop tard, sinon je vous les aurais proposé en premier...

Je vous en demande beaucoup, je comprendrai si vous refusé.

Cordialement
Willy

Hi there! I’ve always been passionate about […]

Merci pour la réponse ;) Pour verifier […]

Hello Ça me semble complexe, avez vous e[…]