Virus locky !!!
Fermé
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
-
Modifié par Malekal_morte- le 29/04/2016 à 11:08
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 - 23 juil. 2016 à 04:38
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 - 23 juil. 2016 à 04:38
A voir également:
- Virus locky !!!
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Vérificateur de lien virus - Guide
- Produkey virus ✓ - Forum Windows 10
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 31/10/2016 à 19:52
Modifié par Malekal_morte- le 31/10/2016 à 19:52
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Ici c'est par email, Locky Ransomware va par des campagnes emails, voir la fiche Locky Ransomware : Fiche Ransomware.
~~
Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecté Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).
lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.
~~~
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
Le ransomware n'est plus actif.
Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Ici c'est par email, Locky Ransomware va par des campagnes emails, voir la fiche Locky Ransomware : Fiche Ransomware.
~~
Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecté Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).
lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9
et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.
~~~
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
Le ransomware n'est plus actif.
Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Utilisateur anonyme
Modifié par Electricien 69 le 26/02/2016 à 12:39
Modifié par Electricien 69 le 26/02/2016 à 12:39
bonjour,
ce truc est un ransomware crypto chiffreur !
Locky
tes données sont cryptés par cette infection !
à ce jour, il n'y a pas vraiment de solution pour décrypter les fichiers !
il y a eu quelques variantes ou on pouvait récupérer les fichiers, mais rien pour les dernières !
est ce qu'il y a des documents importants sur ces pc ?
est ce qu'il existe une copie ou sauvegarde de ces fichiers sur un autre support ?
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
ce truc est un ransomware crypto chiffreur !
Locky
tes données sont cryptés par cette infection !
à ce jour, il n'y a pas vraiment de solution pour décrypter les fichiers !
il y a eu quelques variantes ou on pouvait récupérer les fichiers, mais rien pour les dernières !
est ce qu'il y a des documents importants sur ces pc ?
est ce qu'il existe une copie ou sauvegarde de ces fichiers sur un autre support ?
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 12:55
26 févr. 2016 à 12:55
oui nos documents sont importants => c'est sur un serveur NAS en linux dont nos PC accèdent en réseau via des lecteurs réseau.
on a la compta, des dossiers médicaux importants.....
:-(
on a la compta, des dossiers médicaux importants.....
:-(
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 12:59
26 févr. 2016 à 12:59
Il faut remettre une sauvegarde et sensibiliser les utilisateurs sur ces campagnes de mails malicieux ==> campagne mail malicieux Ransomware Locky.
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 13:10
26 févr. 2016 à 13:10
on a une sauvegarde mais le problème est que le virus a infecté le serveur NAS et je ne sais pas quoi faire car c'est sous linux et l'informaticien qui nous l'a installé est pas dispo... donc il faut nettoyer avant tout le serveur..... mais je sais pas faire
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
Modifié par Malekal_morte- le 26/02/2016 à 13:29
Modifié par Malekal_morte- le 26/02/2016 à 13:29
Le ransomware Locky n'est plus actif, il n'est pas résident.
Il se lance, chiffre les documents, se ferme.
Il va chiffrer tout ce qu'il peut, disques locaux, disques amovibles et UNC...
Donc tout ce qui se trouvait accessible par les partages du NAS depuis l'utilisateur sur lequel le ransomware a été exécuté s'est retrouvé chiffré.
puis les instructions de paiement s'ouvrent.
Ce qu'il faut faire :
- remettre les sauvegardes
- changer les mots de passe
- eventuellement inspecter la machine infectée
- sensibiliser les utilisateurs aux emails malicieux et attitudes minimales de sécurité.
Il se lance, chiffre les documents, se ferme.
Il va chiffrer tout ce qu'il peut, disques locaux, disques amovibles et UNC...
Donc tout ce qui se trouvait accessible par les partages du NAS depuis l'utilisateur sur lequel le ransomware a été exécuté s'est retrouvé chiffré.
puis les instructions de paiement s'ouvrent.
Ce qu'il faut faire :
- remettre les sauvegardes
- changer les mots de passe
- eventuellement inspecter la machine infectée
- sensibiliser les utilisateurs aux emails malicieux et attitudes minimales de sécurité.
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:37
26 févr. 2016 à 14:37
ok on va faire ça.
quand tu dis changer les mots de passe, est ce que c'est sur chaque PC ?
quand tu dis changer les mots de passe, est ce que c'est sur chaque PC ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
26 févr. 2016 à 12:44
26 févr. 2016 à 12:44
Salut,
Je regarde les rapports.
Je regarde les rapports.
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 13:06
26 févr. 2016 à 13:06
merci, en voici d'autres
https://pjjoint.malekal.com/files.php?id=FRST_20160226_n1111h9d15s12
https://pjjoint.malekal.com/files.php?id=20160226_w8c10i13p11g15
https://pjjoint.malekal.com/files.php?id=20160226_h13w8h7x11t6
https://pjjoint.malekal.com/files.php?id=FRST_20160226_l95g10j8o14
https://pjjoint.malekal.com/files.php?id=20160226_m813r15c7z10
https://pjjoint.malekal.com/files.php?id=20160226_k14h14f10e14o10
https://pjjoint.malekal.com/files.php?id=FRST_20160226_t13h9e15h14p8
https://pjjoint.malekal.com/files.php?id=20160226_u9g8y6u10o5
https://pjjoint.malekal.com/files.php?id=20160226_d9k15u8q10e6
https://pjjoint.malekal.com/files.php?id=FRST_20160226_q14g10w6l5c14
https://pjjoint.malekal.com/files.php?id=20160226_t6x14k15q15z10
https://pjjoint.malekal.com/files.php?id=20160226_v6w11p10x15v8
https://pjjoint.malekal.com/files.php?id=FRST_20160226_f7l5s8g11j11
https://pjjoint.malekal.com/files.php?id=20160226_b13l15g14d8z13
https://pjjoint.malekal.com/files.php?id=20160226_g14v8j5e10w9
https://pjjoint.malekal.com/files.php?id=FRST_20160226_h6z612d8s5
https://pjjoint.malekal.com/files.php?id=20160226_u13k5h8e15e7
https://pjjoint.malekal.com/files.php?id=20160226_s5p9o15g8s15
désolé, on a bcp de PC.
sinon on a un serveur NAS sous linux qui est rattaché aux PC.... je sais pas comment faire avec ce serveur....
notre informaticien ne nous aide pas du tout.
https://pjjoint.malekal.com/files.php?id=FRST_20160226_n1111h9d15s12
https://pjjoint.malekal.com/files.php?id=20160226_w8c10i13p11g15
https://pjjoint.malekal.com/files.php?id=20160226_h13w8h7x11t6
https://pjjoint.malekal.com/files.php?id=FRST_20160226_l95g10j8o14
https://pjjoint.malekal.com/files.php?id=20160226_m813r15c7z10
https://pjjoint.malekal.com/files.php?id=20160226_k14h14f10e14o10
https://pjjoint.malekal.com/files.php?id=FRST_20160226_t13h9e15h14p8
https://pjjoint.malekal.com/files.php?id=20160226_u9g8y6u10o5
https://pjjoint.malekal.com/files.php?id=20160226_d9k15u8q10e6
https://pjjoint.malekal.com/files.php?id=FRST_20160226_q14g10w6l5c14
https://pjjoint.malekal.com/files.php?id=20160226_t6x14k15q15z10
https://pjjoint.malekal.com/files.php?id=20160226_v6w11p10x15v8
https://pjjoint.malekal.com/files.php?id=FRST_20160226_f7l5s8g11j11
https://pjjoint.malekal.com/files.php?id=20160226_b13l15g14d8z13
https://pjjoint.malekal.com/files.php?id=20160226_g14v8j5e10w9
https://pjjoint.malekal.com/files.php?id=FRST_20160226_h6z612d8s5
https://pjjoint.malekal.com/files.php?id=20160226_u13k5h8e15e7
https://pjjoint.malekal.com/files.php?id=20160226_s5p9o15g8s15
désolé, on a bcp de PC.
sinon on a un serveur NAS sous linux qui est rattaché aux PC.... je sais pas comment faire avec ce serveur....
notre informaticien ne nous aide pas du tout.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 13:13
26 févr. 2016 à 13:13
Les rapports ont l'air correct côté malware.
Il ne me semble pas qu'il soit résident.
Tu as une console de gestion AVG ?
Tu as eu des alertes sur un PC ou même pas ?
Il ne me semble pas qu'il soit résident.
Tu as une console de gestion AVG ?
Tu as eu des alertes sur un PC ou même pas ?
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 13:56
26 févr. 2016 à 13:56
aucune alerte sur aucun PC.
pas de console de gestion AVG], uniquement AVG sur chaque poste. Scan lancé et rien.
je pense que c'est sur le [serveur] qu'il traine
pas de console de gestion AVG], uniquement AVG sur chaque poste. Scan lancé et rien.
je pense que c'est sur le [serveur] qu'il traine
Utilisateur anonyme
Modifié par Electricien 69 le 26/02/2016 à 13:50
Modifié par Electricien 69 le 26/02/2016 à 13:50
juste pour l'information, l'infection a été propagé sur le réseau depuis le deuxième pc !
comme je l'ai dit plus haut, pour les documents, c'est mort , sauf si tu as envie de payer le Ransom
Dans l'ordre des rapports que tu as mis sur le premier poste :
1/ le fichier texte d'instructions à suivre est ici :
2016-02-26 10:43 - 2016-02-26 10:43 - 00001125 _____ C:\Users\COORDINATION\Downloads\_Locky_recover_instructions.txt
en attendant, sur le premier rapport, il y a des Adwares / pup !
2/ sur le deuxième, quelque restant d'adwares et toujours l'instruction pour payer le ransom ici :
2016-02-25 16:18 - 2016-02-25 16:18 - 00001125 _____ C:\Users\m.genet\Desktop\_Locky_recover_instructions.txt
3/ le troisième pc "PALLIATIFS-PC" semble sain.
4/ celui ci sous W8,1 aussi semble sain, mais une grosse utilisation de Svchost !
à voir de plus près !
5/ Celui ci qui contient le compta semble sain aussi, mais il a un restant d'Adwares et une grosse utilisation de Svchost aussi !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
comme je l'ai dit plus haut, pour les documents, c'est mort , sauf si tu as envie de payer le Ransom
Dans l'ordre des rapports que tu as mis sur le premier poste :
1/ le fichier texte d'instructions à suivre est ici :
2016-02-26 10:43 - 2016-02-26 10:43 - 00001125 _____ C:\Users\COORDINATION\Downloads\_Locky_recover_instructions.txt
en attendant, sur le premier rapport, il y a des Adwares / pup !
2/ sur le deuxième, quelque restant d'adwares et toujours l'instruction pour payer le ransom ici :
2016-02-25 16:18 - 2016-02-25 16:18 - 00001125 _____ C:\Users\m.genet\Desktop\_Locky_recover_instructions.txt
3/ le troisième pc "PALLIATIFS-PC" semble sain.
4/ celui ci sous W8,1 aussi semble sain, mais une grosse utilisation de Svchost !
à voir de plus près !
5/ Celui ci qui contient le compta semble sain aussi, mais il a un restant d'Adwares et une grosse utilisation de Svchost aussi !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
26 févr. 2016 à 13:30
26 févr. 2016 à 13:30
Locky Ransomware n'est pas résident, c'est du one shoot => https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12
Utilisateur anonyme
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
26 févr. 2016 à 13:32
26 févr. 2016 à 13:32
je sais, je l'ai vu bien avant que tu postes :mdr:
jivef
Messages postés
927
Date d'inscription
mercredi 11 août 2004
Statut
Membre
Dernière intervention
12 novembre 2020
306
Modifié par jivef le 22/07/2016 à 05:35
Modifié par jivef le 22/07/2016 à 05:35
Bonjour,
Sur les PC, ce n'est pas forcément mort...
Sur les versions récentes de Windows, si VSS est activé, on peut encore récupérer quelque chose...
Et puis, quand on a des choses importantes sur un système informatique... on les sauvegardes. Et pas seulement une fois par mois, mais tous les jours.
Et on ne laisse pas la sauvegarde connectée une fois terminée, parce que si la sauvegarde est chiffrée aussi et bien tu peux pleurer...
Bon courage.
PS : On dit chiffrer et pas crypter.
Par contre on dit bien décrypter quand il s'agit de forcer un déchiffrement sans la clé et déchiffrer quand on a la clé pour déchiffrer et qu'on fait les choses sans forcer.
Çà n'a pas une très grande importance, mais il faut juste bien comprendre de quoi on parle.
Sur les PC, ce n'est pas forcément mort...
Sur les versions récentes de Windows, si VSS est activé, on peut encore récupérer quelque chose...
Et puis, quand on a des choses importantes sur un système informatique... on les sauvegardes. Et pas seulement une fois par mois, mais tous les jours.
Et on ne laisse pas la sauvegarde connectée une fois terminée, parce que si la sauvegarde est chiffrée aussi et bien tu peux pleurer...
Bon courage.
PS : On dit chiffrer et pas crypter.
Par contre on dit bien décrypter quand il s'agit de forcer un déchiffrement sans la clé et déchiffrer quand on a la clé pour déchiffrer et qu'on fait les choses sans forcer.
Çà n'a pas une très grande importance, mais il faut juste bien comprendre de quoi on parle.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
jivef
Messages postés
927
Date d'inscription
mercredi 11 août 2004
Statut
Membre
Dernière intervention
12 novembre 2020
22 juil. 2016 à 08:47
22 juil. 2016 à 08:47
Normalement tous les ransomwares actuels (Locky, Cerber, CryptXXX) désactivent VSS.
jivef
Messages postés
927
Date d'inscription
mercredi 11 août 2004
Statut
Membre
Dernière intervention
12 novembre 2020
306
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 juil. 2016 à 04:38
23 juil. 2016 à 04:38
Chez un client récemment infecté on a pu récupérer plein d'infos grâce au VSS (on a utilisé Shadow Explorer) et le reste à partir de sauvegarde...
Et c'était bien Locky.
Donc je persiste dans ma version, si VSS est activé...
Mais j'en conviens, ils sont de plus en plus perfectionnés et de plus en plus dangereux.
Bien cordialement.
Et c'était bien Locky.
Donc je persiste dans ma version, si VSS est activé...
Mais j'en conviens, ils sont de plus en plus perfectionnés et de plus en plus dangereux.
Bien cordialement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
26 févr. 2016 à 13:37
26 févr. 2016 à 13:37
lis ce poste :
https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#11
seule 2 premiers pc semble être touchés !
tes compta se trouvent sur le 5° pc, non touché !
https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#11
seule 2 premiers pc semble être touchés !
tes compta se trouvent sur le 5° pc, non touché !
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:09
26 févr. 2016 à 14:09
bon :-(
je ne veux pas payer de ranson ou quoi que ce soit, je veux juste que ce virus dégage....
donc je fais quoi ?
et la compta est sur le 2ème PC. de mon premier envoi de lien
je suis dépitée, au secours.....
je ne veux pas payer de ranson ou quoi que ce soit, je veux juste que ce virus dégage....
donc je fais quoi ?
et la compta est sur le 2ème PC. de mon premier envoi de lien
je suis dépitée, au secours.....
Utilisateur anonyme
26 févr. 2016 à 14:11
26 févr. 2016 à 14:11
ok,
dans ce cas, regarde voir ce que tu as comme sauvegarde récente !
on nettoie les pc un par un !
mais on ne peut être 2 sur ce même poste, chacun ayant une technique différente de nettoyage !
suis les instructions de Malekal !
il va t'aider à nettoyer les pc !
si besoin, je suis le poste !
dans ce cas, regarde voir ce que tu as comme sauvegarde récente !
on nettoie les pc un par un !
mais on ne peut être 2 sur ce même poste, chacun ayant une technique différente de nettoyage !
suis les instructions de Malekal !
il va t'aider à nettoyer les pc !
si besoin, je suis le poste !
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:14
26 févr. 2016 à 14:14
on a une sauvegarde du serveur qui date d'hier midi sur disque dur externe.
les scan ont été lancés sur chaque PC et nettoyé.
mais le serveur ?
les scan ont été lancés sur chaque PC et nettoyé.
mais le serveur ?
Utilisateur anonyme
26 févr. 2016 à 14:15
26 févr. 2016 à 14:15
il est sous quel système d'exploitation ?
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
Modifié par gpspbdc le 26/02/2016 à 14:26
Modifié par gpspbdc le 26/02/2016 à 14:26
linux, serveur NAS
Utilisateur anonyme
>
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:27
26 févr. 2016 à 14:27
j'ai un doute, mais il y a des fichiers crypté là dessus aussi ?
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:29
26 févr. 2016 à 14:29
oui nos pc sont reliés au serveur via des lecteur réseau et les fichiers cryptés sont tous sur le serveur
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
>
gpspbdc
Messages postés
13
Date d'inscription
vendredi 26 février 2016
Statut
Membre
Dernière intervention
26 février 2016
26 févr. 2016 à 14:30
26 févr. 2016 à 14:30
tout a été dit là : https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 26/02/2016 à 14:31
Modifié par Malekal_morte- le 26/02/2016 à 14:31
@gpspbdc.
Fais une pause de 30s.
Respire un coup.
Je sais que tu es dans une situation stressante, mais je te répète, le ransomware n'est plus actif.
Il n'y a rien à désinfecter (bon y a quelques urls de moteur de recherche parasite en page de démarrage mais ce n'est pas la priorité).
Lis mon intervention en message #12 : https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12
Il faut remettre les sauvegardes sur le NAS.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Fais une pause de 30s.
Respire un coup.
Je sais que tu es dans une situation stressante, mais je te répète, le ransomware n'est plus actif.
Il n'y a rien à désinfecter (bon y a quelques urls de moteur de recherche parasite en page de démarrage mais ce n'est pas la priorité).
Lis mon intervention en message #12 : https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12
Il faut remettre les sauvegardes sur le NAS.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour
Il est possible de récupérer les fichiers mais cela demande un peu de connaissances et de patience.
1) démonter le DD infecté sans faire d'opérations d'écriture sur ce DD et le mettre de côté.
2 ) acheter un nouveau DD ou prendre une autre machine.
3) installer Linux Mint 17.3 ou autre (Ubuntu, Debian, ...) sur le nouveau DD ou autre machine.
4) installer sophos AV pour linux (voir docs en ligne à ce sujet).
5) installer R-Studio (acheter licence à 80 $).
6) installer DD infecté sur Machine Linux.
7) passer Sophos AV par sécurité avec la commande sudo savscan / (de qqs mn à 1 h).
8) lancer R-Studio et lui demander de scanner les partitions NTFS (de 1 h à qqs heures voire plus selon le volume de données).
9) vos fichiers sont présents MAIS ils ont pris le libellé $XXXXXX.doc, .xls. etc .
10) recopier l'arborescence de vos répertoires de l'ancien DD sur le nouveau DD (ou ailleurs).
11) supprimer les .locky et les .txt (recovery).
12) restaurer les fichiers $XXXXXX (recup des doc, xls, eml, pts, etc ) vers un répertoire ZZZZ que vous créez dans le / Home (au même niveau que Documents).
En réalité, il semblerait que l'auteur du rançonware crypte les fichiers puis supprime les originaux (d'après mon analyse et qqs lectures du WEB).
13) installer une virtualbox XP ou Win 7 + logiciels MS.
14) partager le répertoire ZZZZ et répertoire /home dans virtualbox pour permettre l'accès de la VM Win sur les dossiers Linux.
13) ouvrez vos fichiers dans la VM avec Ms Office ou autre et sauvegarder les dans votre arborescence restaurée ou ailleurs.
14) réimporter dans Outlook vos mails ou carnets d'adresses
15) etc pour autres logiciels.
Le boulot est fastidieux mais c'est la meilleure solution à ce jour
Autre piste sans passer par Linux mais même méthode en utilisant Recuva (Piriform) ou similaire en utilisant la même procédure avec une machine Windows.
Je viens de mettre en œuvre cette procédure et on vient de récupérer qqs années de données pour un client.
Bien entendu cette procédure est ouverte et d'autres variantes sont possibles. Celle-ci a le mérite d'être fiable et souple.
A vos claviers
Cdlt
Emmanuel
Il est possible de récupérer les fichiers mais cela demande un peu de connaissances et de patience.
1) démonter le DD infecté sans faire d'opérations d'écriture sur ce DD et le mettre de côté.
2 ) acheter un nouveau DD ou prendre une autre machine.
3) installer Linux Mint 17.3 ou autre (Ubuntu, Debian, ...) sur le nouveau DD ou autre machine.
4) installer sophos AV pour linux (voir docs en ligne à ce sujet).
5) installer R-Studio (acheter licence à 80 $).
6) installer DD infecté sur Machine Linux.
7) passer Sophos AV par sécurité avec la commande sudo savscan / (de qqs mn à 1 h).
8) lancer R-Studio et lui demander de scanner les partitions NTFS (de 1 h à qqs heures voire plus selon le volume de données).
9) vos fichiers sont présents MAIS ils ont pris le libellé $XXXXXX.doc, .xls. etc .
10) recopier l'arborescence de vos répertoires de l'ancien DD sur le nouveau DD (ou ailleurs).
11) supprimer les .locky et les .txt (recovery).
12) restaurer les fichiers $XXXXXX (recup des doc, xls, eml, pts, etc ) vers un répertoire ZZZZ que vous créez dans le / Home (au même niveau que Documents).
En réalité, il semblerait que l'auteur du rançonware crypte les fichiers puis supprime les originaux (d'après mon analyse et qqs lectures du WEB).
13) installer une virtualbox XP ou Win 7 + logiciels MS.
14) partager le répertoire ZZZZ et répertoire /home dans virtualbox pour permettre l'accès de la VM Win sur les dossiers Linux.
13) ouvrez vos fichiers dans la VM avec Ms Office ou autre et sauvegarder les dans votre arborescence restaurée ou ailleurs.
14) réimporter dans Outlook vos mails ou carnets d'adresses
15) etc pour autres logiciels.
Le boulot est fastidieux mais c'est la meilleure solution à ce jour
Autre piste sans passer par Linux mais même méthode en utilisant Recuva (Piriform) ou similaire en utilisant la même procédure avec une machine Windows.
Je viens de mettre en œuvre cette procédure et on vient de récupérer qqs années de données pour un client.
Bien entendu cette procédure est ouverte et d'autres variantes sont possibles. Celle-ci a le mérite d'être fiable et souple.
A vos claviers
Cdlt
Emmanuel
Bonjour,
Merci Manub, j'ai trouvé la piste très intéressante, et j'ai donc analysé, avec Restorer Ultimate depuis un autre PC (sain), une clé USB ayant ses fichiers cryptés et transformés en" xxx.locky", et effectivement les répertoires contiennent bien les fichiers "originaux" effacés, avec leur nom original.
J'ai récupéré ces fichiers effacés sur un autre volume, ils s'ouvrent normalement, mais semblent également cryptés ??
Quelle pourrait-être la différence avec R-studio sous Linux avant que je me lance dans cette procédure qui, je crains fort, va aboutir aux même résultats, : "récupération des fichiers effacés, mais impossible de les lire" ?
Dominique
Merci Manub, j'ai trouvé la piste très intéressante, et j'ai donc analysé, avec Restorer Ultimate depuis un autre PC (sain), une clé USB ayant ses fichiers cryptés et transformés en" xxx.locky", et effectivement les répertoires contiennent bien les fichiers "originaux" effacés, avec leur nom original.
J'ai récupéré ces fichiers effacés sur un autre volume, ils s'ouvrent normalement, mais semblent également cryptés ??
Quelle pourrait-être la différence avec R-studio sous Linux avant que je me lance dans cette procédure qui, je crains fort, va aboutir aux même résultats, : "récupération des fichiers effacés, mais impossible de les lire" ?
Dominique
Bonjour
S'il y a eu des écritures sur le DD entre le cryptage et les tentatives de récupération, il y a (ou peut avoir) en effet des fichiers corrompus mais ce peut-erte aussi des fichiers qui ont été supprimés il y a qqs jours ou semaines.
Dans mon cas environ une centaine sur plusieurs milliers de fichiers.
Sur une clé USB, c'est pareil si ce n'est pire en terme d'écriture !!!
L'idéal est de bloquer l'écriture sur le DD touché par le .locky pour éviter l'écriture par inadvertance.
Je ne connais pas la différence entre Restorer Ultimate et R-Studio pour LINUX. Recuva est moins puissant en terme de gestion partitions et de fichiers effacés.
Avec R-Studio pour Linux, je récupère des Raid endommagés ou autres partitions (je n'ai pas d'actions chez eux, ni de commission. ;-) )
D'après ce que tu écris, tu aurais les noms de fichiers alors que ceux que j'ai récupérés sont au format 8 caractères avec $ devant + extensions.
Il serait intéressant de faire un essai avec R-Studio pour Windows en version Démo. Peut-etre que tu auras LA solution. (Vu l'urgence, je n'ai pas pris le temps de le faire)
Je viens de finir et le client est plutôt content (très content) dans son malheur...
Petite info très désagréable: le client avait une sauvegarde SafeSync (produit en fin de vie) chez TrendMicro. Tous ses fichiers sont également passés en .locky. Trend n'a rien vu venir ni passer. J'ai pris contact avec leur support: pas de sauvegarde additionnelle, ni de protection antivirus / antimalwares sur leur cloud = sauvegarde cloud inutile. Ils considèrent que le cloud = du stockage point final. Pour un éditeur d'antivirus c'est pas sérieux ....
Merci de faire remonter vos retours sur ce fil.
Cordialement
Emmanuel
S'il y a eu des écritures sur le DD entre le cryptage et les tentatives de récupération, il y a (ou peut avoir) en effet des fichiers corrompus mais ce peut-erte aussi des fichiers qui ont été supprimés il y a qqs jours ou semaines.
Dans mon cas environ une centaine sur plusieurs milliers de fichiers.
Sur une clé USB, c'est pareil si ce n'est pire en terme d'écriture !!!
L'idéal est de bloquer l'écriture sur le DD touché par le .locky pour éviter l'écriture par inadvertance.
Je ne connais pas la différence entre Restorer Ultimate et R-Studio pour LINUX. Recuva est moins puissant en terme de gestion partitions et de fichiers effacés.
Avec R-Studio pour Linux, je récupère des Raid endommagés ou autres partitions (je n'ai pas d'actions chez eux, ni de commission. ;-) )
D'après ce que tu écris, tu aurais les noms de fichiers alors que ceux que j'ai récupérés sont au format 8 caractères avec $ devant + extensions.
Il serait intéressant de faire un essai avec R-Studio pour Windows en version Démo. Peut-etre que tu auras LA solution. (Vu l'urgence, je n'ai pas pris le temps de le faire)
Je viens de finir et le client est plutôt content (très content) dans son malheur...
Petite info très désagréable: le client avait une sauvegarde SafeSync (produit en fin de vie) chez TrendMicro. Tous ses fichiers sont également passés en .locky. Trend n'a rien vu venir ni passer. J'ai pris contact avec leur support: pas de sauvegarde additionnelle, ni de protection antivirus / antimalwares sur leur cloud = sauvegarde cloud inutile. Ils considèrent que le cloud = du stockage point final. Pour un éditeur d'antivirus c'est pas sérieux ....
Merci de faire remonter vos retours sur ce fil.
Cordialement
Emmanuel
Re bonjour,
J'ai téléchargé et fait le test avec R-Studio et même résultat, et pour cause, les 2 logiciels se ressemblent énormément, tant dans l'interface que les fonctionnalités (même la présentation sur le web) à se demander si ce n'est pas le même (très légèrement) relooké ou la même société ou l'un est le clone de l'autre...
Avec les 2 logiciels je retrouve bien pour nombre de fichiers son correspondant encrypté qui fait la même taille + 836 octets à la la date et heure de "l'infection" avec un nom (en hexadécimal) commençant par la clé d'identification mentionnée dans le fichier txt, et une extension .locky
(exemple en ce qui me concerne : DF8E39EFB37C032525E2xxxxxx.locky
Quoiqu'il en soit il est fort probable qu'une partie de mon souci vient du fait que la clé USB était presque pleine au moment de "l'incident" et donc en dupliquant les fichiers pour les encrypter, les fichiers effacés se sont retrouvés illisibles ce qui maintiendrait cette piste très intéressante pour d'autres personnes plus "chanceuses"
Dominique
J'ai téléchargé et fait le test avec R-Studio et même résultat, et pour cause, les 2 logiciels se ressemblent énormément, tant dans l'interface que les fonctionnalités (même la présentation sur le web) à se demander si ce n'est pas le même (très légèrement) relooké ou la même société ou l'un est le clone de l'autre...
Avec les 2 logiciels je retrouve bien pour nombre de fichiers son correspondant encrypté qui fait la même taille + 836 octets à la la date et heure de "l'infection" avec un nom (en hexadécimal) commençant par la clé d'identification mentionnée dans le fichier txt, et une extension .locky
(exemple en ce qui me concerne : DF8E39EFB37C032525E2xxxxxx.locky
Quoiqu'il en soit il est fort probable qu'une partie de mon souci vient du fait que la clé USB était presque pleine au moment de "l'incident" et donc en dupliquant les fichiers pour les encrypter, les fichiers effacés se sont retrouvés illisibles ce qui maintiendrait cette piste très intéressante pour d'autres personnes plus "chanceuses"
Dominique
26 févr. 2016 à 12:54
Modifié par Malekal_morte- le 26/02/2016 à 13:11
Mais bon, c'est pas bien grave.
26 févr. 2016 à 13:57