Discussion :

[sevyc64]

Déjà tu peux essayer avec le petit outils que je me suis fait, pour voir si marche avec tout type de fichier.

Il te faut le framework .Net 4.0 d'installé sur la machine, ce qui est probablement déjà le cas.

[Le13009]

cool, ça marche impeccable, sauf que je dois decrypté fichier par fichier s'il y a un moyen pour décrypter le tout en en clique , je veux dire decryptér un repertoire au lieu d'un fichier, ça serai cool si non je vais me constater de ça pour décrypter mes fichiers
Merci

[sevyc64]

Y aurait moyen, mais là tout de suite, je peux pas, je suis occupé à autre chose.

[Le13009]

ok merci beaucoup, je vais attendre c'est super coool merci

[hackoofr]

sevyc64
Très cool de votre part si vous nous poster le code source

[Le13009]

pour le script ça serai mieux de faire en sorte que j'arrive a sélectionner plusieurs fichiers en même temps et non un répertoire a mon avis c'est plus pratique comme ça je vais pouvoir sélectionner les fichiers a décrypter.
Merci

[sevyc64]

Bon voila la version v2.0



EDIT : Zut, j'avais pas vu ta réponse. Le plus simple est d'isoler les seuls fichiers que tu veux traiter dans un dossier spécifique

[Le13009]

Merci c'est parfait, sauf que quand je choisi de décrypté un dossier en cochant la case ne pas ajouter 'uncrypt' au fichier décrypté , j'ai toujours le _uncrypt a la fin de nom de fichier
c'est cool merci

[sevyc64]

Et si tu décoche, je paris que tu ne l'a plus

Un programme sans bug, ça n'existe pas

[Le13009]

et beeenn, c'est comme vous dites, j'ai pas coché la case le résultat et parfait, et comme vous dites un programme sans bug n'est jamais complet !! merci c'est super sympa maintenant je peux classer le sujet Résolu

[Corrie]

Je voulais juste dire merci beaucoup à sevyc64. Vous êtes le patron

Cela a sauvé les fichiers.

J'ai fait le décryptage sur un lot de fichiers et j'ai constaté que le nombre d'octets chiffrés sur ces fichiers est différent du nombre par défaut spécifié dans le programme. J'ai inspecté les fichiers HEX et j'ai constaté que dans ce cas le virus cryptait seulement 73712 octets (72 Ko), ce qui signifie que les 79.360 octets par défaut va trop loin avec le décryptage lorsque les fichiers sont plus gros que 72 Ko et vous obtenez un fichier partiellement décrypté comme un résultat.

Donc, assurez-vous que votre version du virus crypte la même quantité d'octets. sevyc64 était intelligent de mettre le nombre d'octets qui peuvent être modifiés. On peut dire qu'elle change avec chaque infection Il existe également des fichiers ici et là que vous aurez de savoir où s'arrête le cryptage, car il est à nouveau au-dessus de forme différente. Certains à 73616, 73800 à d'autres, etc

Merci encore, il fonctionne à merveille!

Just wanted to say thank you very much to sevyc64. You are the boss

This saved the files.

I did the decryption on a batch of files and found that the number of encrypted bytes on these files are different from the default number specified in the program. I inspected the files in HEX and found that in this case the virus only encrypted 73712 bytes (72KB), which means that the default 79360 bytes goes too far with the decryption when the files are bigger than 72KB and you get a partially working file as a result.

So make sure your version of the virus encrypts the same amount of bytes. sevyc64 was smart to put the number of bytes that can be changed. Seems it changes with every infection There are also files here and there that you will have figure out where the encryption stops, because it is again different form above. Some at 73616, others at 73800 etc.

Thanks again, it works wonderfully!

[ayb007]

Je voulais juste dire merci beaucoup à sevyc64. Vous êtes le patron

Cela a sauvé les fichiers.

J'ai fait le décryptage sur un lot de fichiers et j'ai constaté que le nombre d'octets chiffrés sur ces fichiers est différent du nombre par défaut spécifié dans le programme. J'ai inspecté les fichiers HEX et j'ai constaté que dans ce cas le virus cryptait seulement 73712 octets (72 Ko), ce qui signifie que les 79.360 octets par défaut va trop loin avec le décryptage lorsque les fichiers sont plus gros que 72 Ko et vous obtenez un fichier partiellement décrypté comme un résultat.

Donc, assurez-vous que votre version du virus crypte la même quantité d'octets. sevyc64 était intelligent de mettre le nombre d'octets qui peuvent être modifiés. On peut dire qu'elle change avec chaque infection Il existe également des fichiers ici et là que vous aurez de savoir où s'arrête le cryptage, car il est à nouveau au-dessus de forme différente. Certains à 73616, 73800 à d'autres, etc

Merci encore, il fonctionne à merveille!

Merci, il fonctionne comme un charme pour les petits fichiers
pouvez-vous s'il vous plaît me dire comment savoir combien d'octets du cryptage a eu lieu en utilisant l'éditeur HEX, mon fichier est un fichier zip 14Mo

thank you,it works like a charm for small files
can you please teel me how to find out how many bytes the encryption has taken place using HEX editor,as my file is 14mb zip file

[sevyc64]

Nous somme sur un forum francophone, merci de faire l'effort d'écrire en français (même si c'est de la traduction automatique, c'est déjà mieux que rien)


Pour connaitre le nombre d'octets cryptés, je n'ai pas de technique particulière. J'analyse la structure du fichier avec un éditeur texte ou un éditeur Hex et essaye de trouver la limite. Cela est évidemment plus facile sur un fichier directement compréhensible comme les fichiers textes ou xml.

Sur un fichier purement binaire comme un fichier zip, ça ne va pas être évident, les parties non cryptées étant tout aussi incompréhensibles que les parties cryptées. Il va falloir, je pense, faire de nombreux essais jusqu'à trouver la bonne valeur.

Une piste : Essayer de décrypter d'autres fichiers "plus lisible" qui ont été cryptés en même temps sur la même machine avec l'espoir que le même nombre d'octets ait été utilisé pour tous les fichiers

[hackoofr]

Nous sommes sur un forum francophone, merci de faire l'effort d'écrire en français (même si c'est de la traduction automatique, c'est déjà mieux que rien)

Peut-être parce que ça vient d'un Forum Anglophone Encrypted files by Win32.Mabezat.A
Votre programme de décryptage prend un très bon succès même sur les forums Anglophones

[mariosooo]

merci bien pour la solution vous nous avez sauvé sauf que j'ai beaucoup de fichier à décrypter (des milliers ) beaucoup de pc dans la société ont été victime de mabezat mais quand j'ai terminé avec l'outil y a encore des fichiers encryptés c surtout excel.
finallement bravo et merci pour la solution s'il y a pôssibilte de nous envoyer le code ça serait tres gentil de votre part

[loopypalm]

ca ne marche pas avec les grand taille !

au secour !

[sevyc64]

Le programme a été élaboré à partir de 2 fichiers infectés postés dans ce fil et d'un autre que j'avais trouvé sur le net.

Bien entendu cela ne couvre absolument pas tous les cas, c'est la raison pour laquelle le logiciel est relativement paramétrable.

Pour ma part je n'ai pas été infecté par ce virus, je n'ai pas d'autres fichiers sous la main pour tester.

Si 2 ou 3 de vos fichiers peuvent être postés ici, j’essaierais de les regarder.

[loopypalm]

voila 2 fichier
1er (95m)
http://www.mediafire.com/?sug473p032bruk3
2eme (190)
http://www.mediafire.com/?lnxzh50ndnh3ns4

prenez votre temps je sui pas préssé je veux juste recuperer mes fichier

[tchangoue2001]

j'ai un soucis avec une des machine de mon réseau. depuis quelques temps tous les fichiers de la machine ont cette extension en plus (.ywfjccf) de ce fait plus moyen d'ouvrir les fichiers.
j'ai essayer de changer d'extension en espérant un miracle rien
j'ai aussi essayer avec le Win32.Mabezat.A j'ai pas pu m’en sortir.
besoin d'aide