Infecté par DirtyDecrypt
Résolu/Fermé
pontdavignon
Messages postés
2
Date d'inscription
vendredi 21 juin 2013
Statut
Membre
Dernière intervention
21 juin 2013
-
21 juin 2013 à 17:54
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 27 sept. 2013 à 16:21
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 27 sept. 2013 à 16:21
A voir également:
- Infecté par DirtyDecrypt
- L'ordinateur de simon a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Jeux vidéo
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Antivirus
- Infecte par un virus - Forum Virus
- Simon - Forum Cinéma / Télé
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? ✓ - Forum Virus
35 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
22 juin 2013 à 20:47
22 juin 2013 à 20:47
suite
Tu n'as pas désinstallé spybot comme demandé
Tu as installé des logiciels publicitaires
▶ Télécharge ici: AdwCleaner (de Xplode)
▶ Lance-le
▶ Clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
========================
Par contre ...
Error - 21/06/2013 12:00:11 | Computer Name = Zébulon | Source = Winlogon | ID = 4103
Description = Échec de l'activation de la licence Windows. Erreur 0x80070005.
Un Windows pirate EST et RESTERA un gruyère ... T'étonnes pas d'avoir encore des soucis !
Tu n'as pas désinstallé spybot comme demandé
Tu as installé des logiciels publicitaires
▶ Télécharge ici: AdwCleaner (de Xplode)
▶ Lance-le
▶ Clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
========================
Par contre ...
Error - 21/06/2013 12:00:11 | Computer Name = Zébulon | Source = Winlogon | ID = 4103
Description = Échec de l'activation de la licence Windows. Erreur 0x80070005.
Un Windows pirate EST et RESTERA un gruyère ... T'étonnes pas d'avoir encore des soucis !
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 21/06/2013 à 17:59
Modifié par juju666 le 21/06/2013 à 17:59
Bonjour Serge,
Essaie ça pour voir : http://support.kaspersky.com/us/viruses/solutions?qid=208286527
Poste le rapport
PS : Spybot, sophos et sargui à désinstaller ils servent à rien (et spybot n'est PAS un antirootkit, c'est un anti rien du tout carrément)
.::. Contributeur Sécurité .::.
Essaie ça pour voir : http://support.kaspersky.com/us/viruses/solutions?qid=208286527
Poste le rapport
PS : Spybot, sophos et sargui à désinstaller ils servent à rien (et spybot n'est PAS un antirootkit, c'est un anti rien du tout carrément)
.::. Contributeur Sécurité .::.
Merci pour votre aide. J'ai pu reconstituer une partie des fichiers infectés et perdus. A ben le.....
Serge
Serge
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
2 août 2013 à 16:59
2 août 2013 à 16:59
salut comment t'as fait pour les reconstituer ??????????????
jojokarnickel
Messages postés
1
Date d'inscription
vendredi 2 août 2013
Statut
Membre
Dernière intervention
2 août 2013
2 août 2013 à 23:14
2 août 2013 à 23:14
Oui, comment ? Ça fait une semaine que je communique avec l'opérateur de Trend Micro (basé en Hongrie pour les Français) pour trouver une solution au problème, il m'ont refilé des trucs pas mal pour retrouver des fonctionnalités normales de l'ordinateur mais ils ne connaissaient pas encore ce virus et je leur ai envoyé quelques exemplaires de fichiers infectés pour qu'ils les analysent, mais ils ne m'ont pas (encore) demandé d'exemplaires de fichiers sains pour comparer. Je suis preneur de toute autre solution, car pour l'instant la plupart de mes fichiers .doc, .jpg, .avi et .wmv sont bloqués. C'est surtout embêtant pour les .doc qui sont du travail personnel dont je n'ai pas de copie.
armanik
Messages postés
1
Date d'inscription
mercredi 21 août 2013
Statut
Membre
Dernière intervention
21 août 2013
21 août 2013 à 08:59
21 août 2013 à 08:59
bonjour
Je suis victime parmi plein d'autres personnes apparemment de ce fichu dirtydecrypt. Je vois que les choses évoluent lentement pour trouver des solutions. J'ai bien tenté d'analyser des fichiers corrompus avec un editeur hexa mais cela entraine un travail colossal qui ne m a pas apporté de bons résultats le cryptage est différent selon les fichiers.
Merci de vos informations sur ce sujet.
Je suis victime parmi plein d'autres personnes apparemment de ce fichu dirtydecrypt. Je vois que les choses évoluent lentement pour trouver des solutions. J'ai bien tenté d'analyser des fichiers corrompus avec un editeur hexa mais cela entraine un travail colossal qui ne m a pas apporté de bons résultats le cryptage est différent selon les fichiers.
Merci de vos informations sur ce sujet.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 sept. 2013 à 00:47
24 sept. 2013 à 00:47
Salut, Kaspersky a dit, une clef de chiffrage différent pour chaque fichier ou PC infecté.
Bref, y a pas de solution.
Bref, y a pas de solution.
Sugel
Messages postés
4070
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
724
24 sept. 2013 à 13:14
24 sept. 2013 à 13:14
Coucou juju :p
Ben il doit être possible de percer le logiciel de décryptage intégré au malware, non ?
Ben il doit être possible de percer le logiciel de décryptage intégré au malware, non ?
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 24/09/2013 à 13:45
Modifié par juju666 le 24/09/2013 à 13:45
non.
tigzy a essayé.
g3n a essayé en modifiant les offsets de chaque fichiers.
kaspersky labs a essayé aussi ... faut pas délirer.
tigzy a essayé.
g3n a essayé en modifiant les offsets de chaque fichiers.
kaspersky labs a essayé aussi ... faut pas délirer.
Sugel
Messages postés
4070
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
724
24 sept. 2013 à 17:29
24 sept. 2013 à 17:29
hé ben x)
en fait, les clés sont stockées coté serv, c'est ça ?
en fait, les clés sont stockées coté serv, c'est ça ?
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 sept. 2013 à 17:34
24 sept. 2013 à 17:34
oui
Sugel
Messages postés
4070
Date d'inscription
jeudi 18 août 2011
Statut
Membre
Dernière intervention
19 juin 2017
724
24 sept. 2013 à 17:36
24 sept. 2013 à 17:36
okay ^^'
*je sors*
*je sors*
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pontdavignon
Messages postés
2
Date d'inscription
vendredi 21 juin 2013
Statut
Membre
Dernière intervention
21 juin 2013
21 juin 2013 à 18:43
21 juin 2013 à 18:43
Hello
Il semble qu'il y ait un problème. Les fichiers infectés sont crypyés mais ne change pas d'extension ni de nbre de bits..... Un message d'avertissement est là, à la place du tableau ou de l'image ou du fichier vidéo. Ce message demande d'utiliser DirtyDecrypt.exe. Je ne l'ai pas fait car je me doute que je vais tomber sur un message de paiement dans un quelconque paradis fiscal !
Kaspersky ne prend, semble t-il, en compte que les fichiers modifiés en bits ! Dans ses message il me dit que le nombre de bits est le même donc pas de problème. Le même que quoi ? Certe je ne suis pas très fort en anglais...
Merci
Il semble qu'il y ait un problème. Les fichiers infectés sont crypyés mais ne change pas d'extension ni de nbre de bits..... Un message d'avertissement est là, à la place du tableau ou de l'image ou du fichier vidéo. Ce message demande d'utiliser DirtyDecrypt.exe. Je ne l'ai pas fait car je me doute que je vais tomber sur un message de paiement dans un quelconque paradis fiscal !
Kaspersky ne prend, semble t-il, en compte que les fichiers modifiés en bits ! Dans ses message il me dit que le nombre de bits est le même donc pas de problème. Le même que quoi ? Certe je ne suis pas très fort en anglais...
Merci
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
21 juin 2013 à 18:53
21 juin 2013 à 18:53
J'ai l'impression que tes fichiers sont mourus ...
Voilà pourquoi il faut toujours faire des sauvegardes des fichiers les plus importants sur des supports non réenregistrables.
Dans nos contrées francophones, je crois que t'es le premier à être touché par ce ransomware.
Le seul autre sujet concernant DirtyDecrypt que j'ai trouvé se trouve ici : https://www.bleepingcomputer.com/forums/t/493322/dirtydecryptexe/
Et le helper anglophone dit à la fin : " Some bad news - unfortunately there is no way to get their files back. "
Fais tout de même un scan OTL (voir ci-dessous) car il serait intéressant de récupérer une souche du "virus" pour l'envoyer aux labos kaspersky/dr web/eset qui ont l'habitude de sortir des fix particuliers sur ce genre de "virus"
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Voilà pourquoi il faut toujours faire des sauvegardes des fichiers les plus importants sur des supports non réenregistrables.
Dans nos contrées francophones, je crois que t'es le premier à être touché par ce ransomware.
Le seul autre sujet concernant DirtyDecrypt que j'ai trouvé se trouve ici : https://www.bleepingcomputer.com/forums/t/493322/dirtydecryptexe/
Et le helper anglophone dit à la fin : " Some bad news - unfortunately there is no way to get their files back. "
Fais tout de même un scan OTL (voir ci-dessous) car il serait intéressant de récupérer une souche du "virus" pour l'envoyer aux labos kaspersky/dr web/eset qui ont l'habitude de sortir des fix particuliers sur ce genre de "virus"
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
bobmoran78
Messages postés
2
Date d'inscription
vendredi 2 août 2013
Statut
Membre
Dernière intervention
2 août 2013
2 août 2013 à 16:02
2 août 2013 à 16:02
Bonjour juju666,
Voici les deux liens comme expliqué dans la procédure.
https://forums-fec.be/upload/www/?a=d&i=9320463773
https://forums-fec.be/upload/www/?a=d&i=6283169197
Merci par avance de ton aide.
Bob
Voici les deux liens comme expliqué dans la procédure.
https://forums-fec.be/upload/www/?a=d&i=9320463773
https://forums-fec.be/upload/www/?a=d&i=6283169197
Merci par avance de ton aide.
Bob
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
2 août 2013 à 16:23
2 août 2013 à 16:23
salut merci d'ouvrir ton propre sujet
Ambucias
Messages postés
47356
Date d'inscription
mardi 2 février 2010
Statut
Modérateur
Dernière intervention
15 février 2023
137
Modifié par Chris 94 le 22/06/2013 à 01:56
Modifié par Chris 94 le 22/06/2013 à 01:56
Bonsoir,
Cette personne croit avoir la solution à un virus qui demande une ransom:
[hxxp://www.fixpcyourself.com/how-to-remove-.......-exe-file-locking-ransomware-virus/]
Cette personne croit avoir la solution à un virus qui demande une ransom:
[hxxp://www.fixpcyourself.com/how-to-remove-.......-exe-file-locking-ransomware-virus/]
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
21 juin 2013 à 23:22
21 juin 2013 à 23:22
Ambucias
Messages postés
47356
Date d'inscription
mardi 2 février 2010
Statut
Modérateur
Dernière intervention
15 février 2023
137
22 juin 2013 à 00:06
22 juin 2013 à 00:06
Merci beaucoup. Je me demandais justement ce que serait ton avis et tes conseils concernant ce virus, Merci d'être intervenu pour mettre les pendules à l'heure concernant mon lien.
Comme je l'ai dit, le gars croit avoir la solution, ce qui ne semble pas être le cas puisque tu le dis.
Comme je l'ai dit, le gars croit avoir la solution, ce qui ne semble pas être le cas puisque tu le dis.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
22 juin 2013 à 00:07
22 juin 2013 à 00:07
tous ces sites fixmachin spyware-remover et compagnie ca sert plus à te gratter qu'à guerir ton pc
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 22/06/2013 à 04:42
Modifié par juju666 le 22/06/2013 à 04:42
Re,
D'après https://www.trojaner-board.de/134832-dirtydecrypt-verschluesselungs-trojaner.html#post1072116 c'est l'entête des fichiers qui sont bousillés.
Un peu comme https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ (voir EDIT - 4 Mai 2012 en fin de billet, avec les fichier locked-)
Du coup le RannohDecryptor que je t'ai envoyé au debut devrait fonctionner, mais il te faut 1 fichier original et sa copie bousillée par le ransom et faut qu'il fasse minimum 4MO.
Une fois qu'il a les 2 fichiers en main, il a l'algorythme de cryptage et peut dès lors décrypter tes fichiers.
Envoie quand même les rapports OTL stp, même si le RannohDecryptor fonctionne. Merci.
.::. Contributeur Sécurité .::.
D'après https://www.trojaner-board.de/134832-dirtydecrypt-verschluesselungs-trojaner.html#post1072116 c'est l'entête des fichiers qui sont bousillés.
Un peu comme https://www.malekal.com/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/ (voir EDIT - 4 Mai 2012 en fin de billet, avec les fichier locked-)
Du coup le RannohDecryptor que je t'ai envoyé au debut devrait fonctionner, mais il te faut 1 fichier original et sa copie bousillée par le ransom et faut qu'il fasse minimum 4MO.
Une fois qu'il a les 2 fichiers en main, il a l'algorythme de cryptage et peut dès lors décrypter tes fichiers.
Envoie quand même les rapports OTL stp, même si le RannohDecryptor fonctionne. Merci.
.::. Contributeur Sécurité .::.
Hello !
Rapports OTL:
7249564423 (Extra)
1932793325 (OTL)
Merci même si je n'ai pas de solution "valable". J'ai commencé a détruire les fichiers infectés et il y a de quoi faire !
Bonne soirée
Rapports OTL:
7249564423 (Extra)
1932793325 (OTL)
Merci même si je n'ai pas de solution "valable". J'ai commencé a détruire les fichiers infectés et il y a de quoi faire !
Bonne soirée
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 22/06/2013 à 20:41
Modifié par juju666 le 22/06/2013 à 20:41
Non, ne détruit pas les fichiers infectés !
Si tu as un fichier infecté et sa copie originale ça m'intéresse.
Ou même plusieurs .DOC ou .XLS infectés. Envoie-les moi stp.
Je regarde les rapports OTL.
Pour ceux que ça intéresse :
Extras : https://forums-fec.be/upload/www/?a=d&i=1932793325
OTL : https://forums-fec.be/upload/www/?a=d&i=7249564423
.::. Contributeur Sécurité .::.
Si tu as un fichier infecté et sa copie originale ça m'intéresse.
Ou même plusieurs .DOC ou .XLS infectés. Envoie-les moi stp.
Je regarde les rapports OTL.
Pour ceux que ça intéresse :
Extras : https://forums-fec.be/upload/www/?a=d&i=1932793325
OTL : https://forums-fec.be/upload/www/?a=d&i=7249564423
.::. Contributeur Sécurité .::.
Jeansuifortèze
Messages postés
9
Date d'inscription
vendredi 5 juillet 2013
Statut
Membre
Dernière intervention
5 juillet 2013
5 juil. 2013 à 04:28
5 juil. 2013 à 04:28
Bonjour à tous,
Je suis l'heureux deuxième infecté par DirtyDecrypt.exe (hiers le 3 juillet). J'ai tout bien stoppé par RogueKiller tout bien nettoyé à la main et par Adwcleaner backé par MalwareBite (je confirme que MSE est la pire des passoires, par zèle j'ai réinstallé Antivir qui m'a trouver au moins trois autres trojans alors que MSE les regardais passer comme une vache des TGV) mais bon, les antivirus, à part prendre des ressources...
Par contre j'ai passé une bonne heure avec Rannohdecryptor de Kaspersky et rien à faire : il refuse d'aller plus loin sous prétexte que le fichier original n'a pas la même taille que le fichier crypté-bousillé par le message "file is encrypted, this file can be decrypted using DirtyDecrypt.exe".
L'encryptage des fichiers par ce virus change à chaque fois de qq Ko sa taille par rapport à l'original. Donc impossible pour Rannohdecryptor d'aller au delà de la première Etape, il bloque à chaque fois indiquant "the files has not the same size". J'ai même tenté de ruser en lui indiquant une photo saine et une photo crypté différente mais de même taille (me suis dit que deux photo prise par AïePhone différentes mais de même taille ça devrait lui suffire) mais il ne se laisse pas berner indiquant "files are not the same" (alors même que je les ai nommé de la même façon).
C'est vraiment pas de chances car je venais juste de finir de taper un rapport super chiant et tous les fichiers .doc .pdf .rtf .odt (mais aussi les jpg) on été cryptés. La rage, il faut que je réécrive tout !!! (Je n'ai pas de point de restauration, pas de backup sur aucun DD ni cloud, je sais, et je m'en rend compte, c'était à mes risques et maintenant à mon péril!)
Donc si juju666 arrive à avancer sur la question ou tout grand manitou du codage trouve l'astuce pour récupérer les fichier et m'éviter des heures à tout réécrire, ils seront mes idoles à vie et je m'engagerai à faire du lobbying pour que leur bustes remplace ceux de Marianne dans les mairies de France et de Navarre.
Si aussi vous tombez sur des new patch/prog qui pourrait être mis au point permettant de récupérer les fichiers cryptés par DirtyDecript.exe n'hésitez pas à m'inonder de liens!
Bien cordialement.
(suis sous Windows 7).
Je suis l'heureux deuxième infecté par DirtyDecrypt.exe (hiers le 3 juillet). J'ai tout bien stoppé par RogueKiller tout bien nettoyé à la main et par Adwcleaner backé par MalwareBite (je confirme que MSE est la pire des passoires, par zèle j'ai réinstallé Antivir qui m'a trouver au moins trois autres trojans alors que MSE les regardais passer comme une vache des TGV) mais bon, les antivirus, à part prendre des ressources...
Par contre j'ai passé une bonne heure avec Rannohdecryptor de Kaspersky et rien à faire : il refuse d'aller plus loin sous prétexte que le fichier original n'a pas la même taille que le fichier crypté-bousillé par le message "file is encrypted, this file can be decrypted using DirtyDecrypt.exe".
L'encryptage des fichiers par ce virus change à chaque fois de qq Ko sa taille par rapport à l'original. Donc impossible pour Rannohdecryptor d'aller au delà de la première Etape, il bloque à chaque fois indiquant "the files has not the same size". J'ai même tenté de ruser en lui indiquant une photo saine et une photo crypté différente mais de même taille (me suis dit que deux photo prise par AïePhone différentes mais de même taille ça devrait lui suffire) mais il ne se laisse pas berner indiquant "files are not the same" (alors même que je les ai nommé de la même façon).
C'est vraiment pas de chances car je venais juste de finir de taper un rapport super chiant et tous les fichiers .doc .pdf .rtf .odt (mais aussi les jpg) on été cryptés. La rage, il faut que je réécrive tout !!! (Je n'ai pas de point de restauration, pas de backup sur aucun DD ni cloud, je sais, et je m'en rend compte, c'était à mes risques et maintenant à mon péril!)
Donc si juju666 arrive à avancer sur la question ou tout grand manitou du codage trouve l'astuce pour récupérer les fichier et m'éviter des heures à tout réécrire, ils seront mes idoles à vie et je m'engagerai à faire du lobbying pour que leur bustes remplace ceux de Marianne dans les mairies de France et de Navarre.
Si aussi vous tombez sur des new patch/prog qui pourrait être mis au point permettant de récupérer les fichiers cryptés par DirtyDecript.exe n'hésitez pas à m'inonder de liens!
Bien cordialement.
(suis sous Windows 7).
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
5 juil. 2013 à 07:10
5 juil. 2013 à 07:10
salut tu l'as ce DirtyDecrypt.exe ?
Hello !
J'ai fini par détruire tous les fichiers infectés, passé divers anti-trojan et autres anti-rootkit, repris ma plume pour refaire les fichiers détruits. Certes, il est de bon ton de stocker les fichiers sur un support non ré-inscriptible mais comment faire lorsque ces fichiers doivent être souvent amendé ?
Avast et Zone Alarm surveillent (sic) mon Internet. Inch Alllah, on verra bien si il y a d'autres pépins.
Merci pour tout.
Serge
J'ai fini par détruire tous les fichiers infectés, passé divers anti-trojan et autres anti-rootkit, repris ma plume pour refaire les fichiers détruits. Certes, il est de bon ton de stocker les fichiers sur un support non ré-inscriptible mais comment faire lorsque ces fichiers doivent être souvent amendé ?
Avast et Zone Alarm surveillent (sic) mon Internet. Inch Alllah, on verra bien si il y a d'autres pépins.
Merci pour tout.
Serge
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
5 juil. 2013 à 13:47
5 juil. 2013 à 13:47
si tu répondais à ma question ca serait hyper cool , et de plus ne te crois pas à l'abri tant que je ne te l'ai pas dit
Jeansuifortèze
Messages postés
9
Date d'inscription
vendredi 5 juillet 2013
Statut
Membre
Dernière intervention
5 juillet 2013
5 juil. 2013 à 14:54
5 juil. 2013 à 14:54
Pour ma part j'ai tout jeté, plus aucun dirtydecrypt.exe nulle part. C'est sûr que si j'avais au moment de l'infection su que c'était un si nouveau virus contre lequel il n'y a pas encore de patch j'en aurai gardé un échantillon... Je n'ai plus que les fichiers infectés avec, quand on les ouvre, le message suivant qui apparaît à la place du texte du .doc ou de la photo.jpg :
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
Il n'y a plus aucun dirtydecrypt.exe
Si je pouvais récupérer ne serait-ce qu'un fichier, celui le plus important...
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened ?heck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
Il n'y a plus aucun dirtydecrypt.exe
Si je pouvais récupérer ne serait-ce qu'un fichier, celui le plus important...
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
5 juil. 2013 à 15:35
5 juil. 2013 à 15:35
grrrrr !!!!!!
tu as un fichier encrypté et son double sain ?
tu as un fichier encrypté et son double sain ?
Jeansuifortèze
Messages postés
9
Date d'inscription
vendredi 5 juillet 2013
Statut
Membre
Dernière intervention
5 juillet 2013
5 juil. 2013 à 15:45
5 juil. 2013 à 15:45
STOOOOOP! J'en ai trouvé un dirtydecrypt.exe ! j'avais pas regardé partout, je bosse sur un compte à droit limités exprès pour limiter l'impact d'éventuels virus. En passant par la session admin de l'ordi j'en ai trouvé un dans un fichier appdata
Et oui j'ai moult fichier sains et leur pendants infectés (toutes les photos de l'aïePhone backées sur l'ordi ont été cryptées mais sont toujours ok sur le device)...
Et oui j'ai moult fichier sains et leur pendants infectés (toutes les photos de l'aïePhone backées sur l'ordi ont été cryptées mais sont toujours ok sur le device)...
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
5 juil. 2013 à 15:53
5 juil. 2013 à 15:53
ok fais peter le decrypt.exe
clic droit dessus , envoyer vers , dossiers compressés puis heberge l'archive sur https://www.cjoint.com/ et donne le lien
je vais "l'éclater" voir ce qu'il cache :)
clic droit dessus , envoyer vers , dossiers compressés puis heberge l'archive sur https://www.cjoint.com/ et donne le lien
je vais "l'éclater" voir ce qu'il cache :)
Jeansuifortèze
Messages postés
9
Date d'inscription
vendredi 5 juillet 2013
Statut
Membre
Dernière intervention
5 juillet 2013
5 juil. 2013 à 16:11
5 juil. 2013 à 16:11
et voilà https://www.cjoint.com/?CGfqby6kbPr bon éclatage en espérant que tu puisses en extirper les viscères à réinjecter dans les fichiers bousillés.
Si non n'y a-t-il pas un moyen de récupérer juste un fichier .doc (important) crypté, sais pas, avec un éditeur genre dreamweaver ou un truc dans le genre?
Merci en tout cas pour l'effort.
Si non n'y a-t-il pas un moyen de récupérer juste un fichier .doc (important) crypté, sais pas, avec un éditeur genre dreamweaver ou un truc dans le genre?
Merci en tout cas pour l'effort.
g3n-h@ckm@n
Messages postés
13238
Date d'inscription
jeudi 31 janvier 2013
Statut
Membre
Dernière intervention
24 février 2022
948
5 juil. 2013 à 16:25
5 juil. 2013 à 16:25
c'est beaucoup plus compliqué que ca , certains octets du fichier ont été modifiés/rajoutés
je vais voir ce que je peux faire avec ce truc j'aurai certainement besoin que tu m'envoies dans une archive :
un fichier crypté
sa copie saine
et un autre fichier crypté sans sa copie
je vais voir ce que je peux faire avec ce truc j'aurai certainement besoin que tu m'envoies dans une archive :
un fichier crypté
sa copie saine
et un autre fichier crypté sans sa copie
22 juin 2013 à 20:54
23 juin 2013 à 10:10