Infecté par DirtyDecryptRésolu/Fermé

Question

Bonjour 
Tout d'abord, bien le bonjour et merci de m'accepter dans ces forums.
Je vous expose mon problème: je suis infecté par le virus "DirtyDecrypt". J'ai retiré manuellement le fichier Dirty.exe. Depuis, mes fichiers Excel, jpeg et .avi sont bloqués. J'ai fais une restauration de mon système mais rien n'y fait. Les fichiers bloqués (cryptés) se trouvent sur un disque externe. Je possède Avast comme anti-virus. J'ai lancé plusieurs anti-rootkits (Spybot, sargui, Sophos) mais rien n'y fait.
Que dois-je faire d'un peut plus malin pour me débarrasser de cette engeance ?
Par avance merci
Serge

juju666 · Accepted Answer

suite

Tu n'as pas désinstallé spybot comme demandé 

Tu as installé des logiciels publicitaires

&#9654 Télécharge ici: AdwCleaner (de Xplode)

&#9654 Lance-le

&#9654 Clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre. 
 
========================

Par contre ...


Error - 21/06/2013 12:00:11 | Computer Name = Zébulon | Source = Winlogon | ID = 4103
Description = Échec de l'activation de la licence Windows. Erreur 0x80070005.      

Un Windows pirate EST et RESTERA un gruyère ... T'étonnes pas d'avoir encore des soucis !

juju666 · Answer

Bonjour Serge,
Essaie ça pour voir : http://support.kaspersky.com/us/viruses/solutions?qid=208286527
Poste le rapport 

PS : Spybot, sophos et sargui  à désinstaller ils servent à rien (et spybot n'est PAS un antirootkit, c'est un anti rien du tout carrément)
 
 .::. Contributeur Sécurité .::.

pontdavignon · Answer

Hello
Il semble qu'il y ait un problème. Les fichiers infectés sont crypyés mais ne change pas d'extension ni de nbre de bits..... Un message d'avertissement est là, à la place du tableau ou de l'image ou du fichier vidéo. Ce message demande d'utiliser DirtyDecrypt.exe. Je ne l'ai pas fait car je me doute que je vais tomber sur un message de paiement dans un quelconque paradis fiscal ! 
Kaspersky ne prend, semble t-il, en compte que les fichiers modifiés en bits ! Dans ses message il me dit que le nombre de bits est le même donc pas de problème. Le même que quoi ? Certe je ne suis pas très fort en anglais...
Merci

juju666 · Answer

J'ai l'impression que tes fichiers sont mourus ...
Voilà pourquoi il faut toujours faire des sauvegardes des fichiers les plus importants sur des supports non réenregistrables.

 Dans nos contrées francophones, je crois que t'es le premier à être touché par ce ransomware.

Le seul autre sujet concernant DirtyDecrypt que j'ai trouvé se trouve ici : https://www.bleepingcomputer.com/forums/t/493322/dirtydecryptexe/
Et le helper anglophone dit à la fin : " Some bad news - unfortunately there is no way to get their files back. "

Fais tout de même un scan OTL (voir ci-dessous) car il serait intéressant de récupérer une souche du "virus" pour l'envoyer aux labos kaspersky/dr web/eset qui ont l'habitude de sortir des fix particuliers sur ce genre de "virus" 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Ambucias · Answer

Bonsoir,

Cette personne croit avoir la solution à un virus qui demande une ransom:

[hxxp://www.fixpcyourself.com/how-to-remove-.......-exe-file-locking-ransomware-virus/]

juju666 · Answer

Re,

D'après https://www.trojaner-board.de/134832-dirtydecrypt-verschluesselungs-trojaner.html#post1072116 c'est l'entête des fichiers qui sont bousillés.
Un peu comme https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ (voir EDIT - 4 Mai 2012 en fin de billet, avec les fichier locked-)
Du coup le RannohDecryptor que je t'ai envoyé au debut devrait fonctionner, mais il te faut 1 fichier original et sa copie bousillée par le ransom et faut qu'il fasse minimum 4MO.
Une fois qu'il a les 2 fichiers en main, il a l'algorythme de cryptage et peut dès lors décrypter tes fichiers.

Envoie quand même les rapports OTL stp, même si le RannohDecryptor fonctionne. Merci. 
 
 .::. Contributeur Sécurité .::.

pontdavignon · Answer

Hello !
Rapports OTL:
7249564423 (Extra)
1932793325 (OTL)

Merci même si je n'ai pas de solution "valable". J'ai commencé a détruire les fichiers infectés et il y a de quoi faire !

Bonne soirée

juju666 · Answer

Non, ne détruit pas les fichiers infectés ! 
Si tu as un fichier infecté et sa copie originale ça m'intéresse.

Ou même plusieurs .DOC ou .XLS infectés. Envoie-les moi stp.

Je regarde les rapports OTL. 

Pour ceux que ça intéresse : 

Extras : https://forums-fec.be/upload/www/?a=d&i=1932793325

OTL : https://forums-fec.be/upload/www/?a=d&i=7249564423 
 
 .::. Contributeur Sécurité .::.

Jeansuifortèze · Answer

Bonjour à tous,

Je suis l'heureux deuxième infecté par DirtyDecrypt.exe (hiers le 3 juillet). J'ai tout bien stoppé par RogueKiller tout bien nettoyé à la main et par Adwcleaner backé par MalwareBite (je confirme que MSE est la pire des passoires, par zèle j'ai réinstallé Antivir qui m'a trouver au moins trois autres trojans alors que MSE les regardais passer comme une vache des TGV) mais bon, les antivirus, à part prendre des ressources...

Par contre j'ai passé une bonne heure avec Rannohdecryptor de Kaspersky et rien à faire : il refuse d'aller plus loin sous prétexte que le fichier original n'a pas la même taille que le fichier crypté-bousillé par le message "file is encrypted, this file can be decrypted using DirtyDecrypt.exe".

L'encryptage des fichiers par ce virus change à chaque fois de qq Ko sa taille par rapport à l'original. Donc impossible pour Rannohdecryptor d'aller au delà de la première Etape, il bloque à chaque fois indiquant "the files has not the same size". J'ai même tenté de ruser en lui indiquant une photo saine et une photo crypté différente mais de même taille (me suis dit que deux photo prise par AïePhone différentes mais de même taille ça devrait lui suffire) mais il ne se laisse pas berner indiquant "files are not the same" (alors même que je les ai nommé de la même façon).

C'est vraiment pas de chances car je venais juste de finir de taper un rapport super chiant et tous les fichiers .doc .pdf .rtf .odt (mais aussi les jpg) on été cryptés. La rage, il faut que je réécrive tout !!! (Je n'ai pas de point de restauration, pas de backup sur aucun DD ni cloud, je sais, et je m'en rend compte, c'était à mes risques et maintenant à mon péril!)

Donc si juju666 arrive à avancer sur la question ou tout grand manitou du codage trouve l'astuce pour récupérer les fichier et m'éviter des heures à tout réécrire, ils seront mes idoles à vie et je m'engagerai à faire du lobbying pour que leur bustes remplace ceux de Marianne dans les mairies de France et de Navarre.

Si aussi vous tombez sur des new patch/prog qui pourrait être mis au point permettant de récupérer les fichiers cryptés par DirtyDecript.exe n'hésitez pas à m'inonder de liens!

Bien cordialement.

(suis sous Windows 7).

g3n-h@ckm@n · Answer

salut tu l'as ce DirtyDecrypt.exe ?

pontdavignon · Answer

Hello !
J'ai fini par détruire tous les fichiers infectés, passé divers anti-trojan et autres anti-rootkit, repris ma plume pour refaire les fichiers détruits. Certes, il est de bon ton de stocker les fichiers sur un support non ré-inscriptible mais comment faire lorsque ces fichiers doivent être souvent amendé ? 
Avast et Zone Alarm surveillent (sic) mon Internet. Inch Alllah, on verra bien si il y a d'autres pépins.
Merci pour tout.
Serge

g3n-h@ckm@n · Answer

si tu répondais à ma question ca serait hyper cool , et de plus ne te crois pas à l'abri tant que je ne te l'ai pas dit

Jeansuifortèze · Answer

Pour ma part j'ai tout jeté, plus aucun dirtydecrypt.exe nulle part. C'est sûr que si j'avais au moment de l'infection su que c'était un si nouveau virus contre lequel il n'y a pas encore de patch j'en aurai gardé un échantillon... Je n'ai plus que les fichiers infectés avec, quand on les ouvre, le message suivant qui apparaît à la place du texte du .doc ou de la photo.jpg :

File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe

If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

Il n'y a plus aucun dirtydecrypt.exe

Si je pouvais récupérer ne serait-ce qu'un fichier, celui le plus important...

g3n-h@ckm@n · Answer

grrrrr !!!!!!

tu as un fichier encrypté et son double sain ?

Jeansuifortèze · Answer

STOOOOOP! J'en ai trouvé un dirtydecrypt.exe ! j'avais pas regardé partout, je bosse sur un compte à droit limités exprès pour limiter l'impact d'éventuels virus. En passant par la session admin de l'ordi j'en ai trouvé un dans un fichier appdata

Et oui j'ai moult fichier sains et leur pendants infectés (toutes les photos de l'aïePhone backées sur l'ordi ont été cryptées mais sont toujours ok sur le device)...

g3n-h@ckm@n · Answer

ok fais peter le decrypt.exe

clic droit dessus , envoyer vers , dossiers compressés puis heberge l'archive sur https://www.cjoint.com/ et donne le lien

je vais "l'éclater" voir ce qu'il cache :)

Jeansuifortèze · Answer

et voilà https://www.cjoint.com/?CGfqby6kbPr bon éclatage en espérant que tu puisses en extirper les viscères à réinjecter dans les fichiers bousillés.

Si non n'y a-t-il pas un moyen de récupérer juste un fichier .doc (important) crypté, sais pas, avec un éditeur genre dreamweaver ou un truc dans le genre? 

Merci en tout cas pour l'effort.

g3n-h@ckm@n · Answer

c'est beaucoup plus compliqué que ca , certains octets du fichier ont été modifiés/rajoutés

je vais voir ce que je peux faire avec ce truc j'aurai certainement besoin que tu m'envoies dans une archive :

un fichier crypté
sa copie saine 
et un autre fichier crypté sans sa copie

pontdavignon · Answer

Hello !
Plus de fichiers infecté (à priori). J'ai tout balancé à la poubelle, Eraser et Défrague du disque.

g3n-h@ckm@n · Answer

dans ce cas-l) je ne peux rien faire pour eux....
j'zi deja desinfecté des fichiers injectés par Mabezat ou zeroaccess mais il me faut obligatoirement ce demandé plus haut sinon....

Jeansuifortèze · Answer

Ok je te les donne de suite comme ça c'est fait :

un fichier sain https://www.cjoint.com/c/CGfraola9QV (un .jpg)
sa copie cryptée https://www.cjoint.com/c/CGfqWJvjkcM

un fichier crypté sans sa copie https://www.cjoint.com/c/CGfq0hw6w2Y (un .pdf)

thanks

Jean

g3n-h@ckm@n · Answer

à la place du fichier sain tu m'as envoyé le decrypt.exe semble-t-il

Jeansuifortèze · Answer

ouais j'ai modifié reclic

g3n-h@ckm@n · Answer

ok fais une sauvegarde des fichiers cryptés , j'ai  peut etre trouvé une solution je bosse dessus

Jeansuifortèze · Answer

Alléluya! Sauvegarde en cours...

g3n-h@ckm@n · Answer

bon c'est faisable mais c'est un enorme travail , d'autant plus que certaines sections des fichiers cryptés ne sont pas les mêmes suivant les fichierS.....c'est faisable mais c'est un travail de titan !!

Jeansuifortèze · Answer

Merci g3n... La bonne nouvelle de mon côté est que 90% des fichiers cryptés sont en fait backés (ils sont sur smarphone, sur diverses boites emails...) 8% je m'en fout de ne pouvoir les récupérer. L'urgence est pour les fichiers d'un dossiers de travail qui ne compte qu'une vingtaine de fichiers pdf et doc qu'il faudrait vraiment que je récupère dont deux fichiers doc (et odt) cruciaux... C'est toujours titanesque même pour une vingtaine de fichiers ? Voire juste pour les deux très importants ?

g3n-h@ckm@n · Answer

si pas d'original c'est impossible deja qu'avec je me casse le cerveau alors sans ....

Jeansuifortèze · Answer

Oui je vois à peu près l'étendue des dégâts... Pour les fichiers importants je n'ai bien-sûr par l'original si non je ne chercherais à décryptés ceux bousillés si j'avais les fichiers sains... et même pour les deux fichiers .doc cruciaux donc ça sera hard à récupérer à moins d'y passer des heures c'est ça ?

g3n-h@ckm@n · Answer

des jours même !!

pontdavignon · Answer

Hello !
C'est Windows dans son ensemble qui est plutôt un péta-flop......

Malekal_morte- · Answer

Simplement pour confirmer qu'il n'y a pas de solution.
J'avais contacté Kaspersky (dont voici la réponse plus bas).

Apparemment le programme stocke les clefs (différentes?) pour chaque fichier de manière crypté.
Il n'y a pas de possibilité de cr*cker le cryptage.

The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked.

pontdavignon · Answer

Merci pour votre aide. J'ai pu reconstituer une partie des fichiers infectés et perdus. A ben le.....

Serge

serma33 · Answer

bonjour a tous
et oui 1 de plus 
si ca intéresse j'ai des fichiers crypter et sa copie saine.
je ne connais rien en informatique mais toujours prêt apprendre.

juju666 · Answer

Salut,  Kaspersky a dit, une clef de chiffrage différent pour chaque fichier ou PC infecté.
Bref, y a pas de solution.

Infecté par DirtyDecrypt

35 réponses

Discussions similaires

Newsletters