Zerolocker : Récupérer mes fichiers cryptés par un ransomware [Résolu/Fermé]

Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 6 août 2014 à 21:58 - Dernière réponse :  fa
- 16 mars 2016 à 23:55
Bonjour,

J'ai été victime d'un ransomware appelé zerolocker. Celui-ci a essayé de crypter un à un mes fichiers. Je crois avoir réussi à m'en débarasser définitivement à l'aide de RogueKiller, mais je ne sais pas comment récupérer les fichiers qui ont été encryptés. En effet mon ordinateur n'a ni point de sauvegarde, ni version antérieure des fichiers altérés.
J'ai pas mal cherché sur le net, il semble que les clés de décryptage de certains programmes de ce genre soient connues, mais pas celui-ci. En tapant "zerolocker", "zerolocker ransomware" ou encore "zerolocker crypted files", je ne trouve rien.
Je m'en remet à vos éventuelles idées, car pour le moment je suis au bout du rouleau.

Merci

Afficher la suite 
9Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention

15 réponses

Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - 6 août 2014 à 22:03
0
Utile
2
Salut,


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 6 août 2014 à 22:13
J'ai l'impression que c'est mal barré ^^. Malwarebytes plante dès que j'essaie de le mettre à jour ou de lancer un scan...
http://pjjoint.malekal.com/files.php?id=20160316_r5k13o15m7e11
Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - 6 août 2014 à 22:35
0
Utile
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 7 août 2014 à 18:14
0
Utile
Voici le rapport OTL.txt :
http://pjjoint.malekal.com/files.php?id=20140807_d12v5x11k14l5

Ainsi que Extras.txt :
http://pjjoint.malekal.com/files.php?id=20140807_n8l59g10m13

Merci de t'occuper de moi Malekal ^^
Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - Modifié par Malekal_morte- le 7/08/2014 à 23:14
0
Utile
humm...
bon envoie ces fichiers sur http://upload.malekal.com
C:\Users\Lucas\AppData\Roaming\Win32\WinUpd32.exe
C:\Program Files (x86)\Java\jre7\bin\javaw.exe

si ça ne fonctionne pas, zip les et envoie les par mail sur spamhere-@wanadoo.fr

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3997183515-376546335-968874101-1001..\Run: [sysXboot] C:\Program Files (x86)\Java\jre7\bin\javaw.exe (Oracle Corporation)
O4 - HKU\S-1-5-21-3997183515-376546335-968874101-1001..\Run: [0235d900151d843bfe5a2d7988e87f3a] .. [2014/08/06 20:26:35 | 000,000,000 | ---D | M]
O2 - BHO: (mysearchdial Helper Object) - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\bh\mysearchdial.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (mysearchdial Toolbar) - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\mysearchdialTlbr.dll File not found
CHR - Extension: Speedial = C:\Users\Lucas\AppData\Local\Google\Chrome\User Data\Default\Extensions\bakijjialdiiboeaknfpmflphhmljfkd\9.4.26_0\
[2014/08/05 18:18:51 | 000,407,552 | ---- | M] () -- C:\Users\Lucas\AppData\Roaming\Win32\WinUpd32.exe
:files
C:\Users\Lucas\AppData\Local\Google\Chrome\User Data\Default\Extensions\bakijjialdiiboeaknfpmflphhmljfkd\


* poste le rapport ici



Redémarre l'ordinateur

Tu peux donner une copie du message qui est donné par le ransomware ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 8 août 2014 à 07:53
0
Utile
2
Fichiers envoyés, je lance le fix d'OTL et je t'envoie les résultats ce soir en rentrant.

Mmh pour le WinUpd32, j'aurais du me douter de quelque chose. Il réapparaît régulièrement, mais avira le bloque toujours. Et comme par hasard, l'icône est la même que celle du ZeroLocker.

Quant au message du ransomware, je n'en ai pas eu. A mon avis c'est parce qu'il n'avait pas encore encrypté tous les fichiers visés lorsque je l'ai neutralisé. Le seul indice supplémentaire que je puisse te donner, c'est qu'il a créé un autre .exe sur mon bureau, qui s'appelait "Get your files back.exe" ou un truc du genre. A mon avis c'est la fameuse page, qui attendait juste d'apparaître.
Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - 8 août 2014 à 08:27
Fais la correction OTL.
Faut virer MySearchDial aussi.


voila : http://forum.malekal.com/zerolocker-enieme-ransomware-t48751.html

~~

0 detection, j'ai envoyé aux antivirus.


Pour la récupération des données
Essaye de voir si les versions précédentes des fichiers sont disponibles : http://forum.malekal.com/windows-versions-precedentes-fichiers-t46739.html

Tu peux aussi ré-envoyé le fichier en demandant s'il est possible d'avoir un programme de décryptage dans le cas où le gars s'est chier dessus sur la partie qui chiffre les fichiers.
https://vms.drweb.com/sendvirus/?lng=en
http://kaspersky.antivirus.lv/eng/service/report/
Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 8 août 2014 à 09:33
J'ai fait la correction OTL avant de partir au boulot. Par contre, j'ai un petit soucis je crois. J'ai effectué la correction et redémarré sans vérifier si j'avais le rapport (j'ai rien vu). Avant de partir au boulot j'ai voulu relancer OTL qui n'a pas démarré (bien que le processus soit actif). Est-ce que ca déconne? ou est ce qu'il est en train de générer le rapport ou je ne sais quoi, ce qui expliquerait pourquoi il n'a pas démarré tout de suite?

Je n'ai pas de version précédente de mes fichiers, donc je vais essayer d'envoyer le fichier aux deux sites que tu m'a filé. V - X m'a aussi proposé de me filer un coup de main. Ce soir je lui enverrais des fichiers cryptés, avec leurs originaux, pour qu'on voit s'il peut faire quelque chose.
Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - Modifié par Malekal_morte- le 8/08/2014 à 10:25
0
Utile
Ok, je pense que l'on a terminé.
Au cas où, change tous tes mots de passe.
On sait jamais.

Installe Malwarebyte's Anti-Malware : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Fais des scans réguliers avec, il est efficace.

il va virer les restes de MySearchDial.

Reconfigure l'ouverture de page du navigateur pour supprimer Speedial / MySearchdial :
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/reparametrer-internet-explorer-modules-complementaires-t41399.html
* Firefox : http://forum.malekal.com/firefox-extensions-page-demarrage-recherche-t36057.html
* Google Chrome : http://forum.malekal.com/google-chrome-parametrage-moteur-suppression-extensions-t35837.html

Supprime l'extension Speedial sur Google Chrome.


~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious-blocage-site-malveillant-t46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 8 août 2014 à 10:42
0
Utile
4
Merci Malekal pour ton aide.
En espérant que ce sujet aidera d'autres.

Je repasserais surement par ici, surtout si on trouve un moyen de décrypter les fichiers, histoire d'en faire profiter d'éventuelles futures victimes.
naty03 9 Messages postés jeudi 15 janvier 2015Date d'inscription 18 janvier 2015 Dernière intervention - 18 janv. 2015 à 10:02
Bonjour, je me suis également fait avoir et je voudrai savoir si tu as réussi à décrypter tes fichiers et comment ? merci
Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 18 janv. 2015 à 10:19
Malheureusement non, je n'ai pas pu récupérer quoi que ce soit.
Avec l'aide d'une personne calée, il est peut être possible de trouver la clé de cryptage si tu possède encore des versions non-cryptées de certains fichiers en plus des cryptées. Malheureusement dans mon cas ça n'a pas marché.
La solution la plus simple serait de restaurer ton système à une sauvegarde antérieure, à condition que tu en ai une
naty03 9 Messages postés jeudi 15 janvier 2015Date d'inscription 18 janvier 2015 Dernière intervention > Weydmar 9 Messages postés mercredi 17 juillet 2013Date d'inscription 18 janvier 2015 Dernière intervention - 18 janv. 2015 à 10:57
Non je ne peux pas restaurer mon système, avec tous les nettoyages tout a été effacé. Par contre j'ai un le même fichier crypté et non crypté, peut être que je trouverai quelqu'un qui trouvera la clé.
Merci
Malekal_morte- 143149 Messages postés mercredi 17 mai 2006Date d'inscriptionContributeur sécuritéStatut 11 décembre 2017 Dernière intervention - 21 janv. 2015 à 09:37
Si le cryptage est bien fait, c'est à dire pas de faiblesse dans le code, y a aucun moyen de trouver la clef, à part si elles sont stockées sur le serveur et qu'il est récupéré par les autorités par exemple.