Discussion :

[Le13009]

Bonjour
voila je vous explique mon problème en détails :

j'arrive pas a ouvrir des fichiers de type docx, doc, xls, ppt, pdf suite a une affectation par Win32.Mabezat.A bon l'affectation a été sur une autre machine, et après avoir virer Mabizat j'ai récupéré un dossier de l'ancienne machine sur le quel il y a des donnes important, le problème c'est que je n'arrive pas a ouvrir les fichiers qui sont dans le dossier récupéré après avoir bien chercher j'ai trouvé la cause sur plusieurs site, Mabezat crypte les fichiers de type doc, docx, xls..... comme c'est signalé sur le site avg :

If the current system date matches the condition:
year greater or equal 2012, month greater
or equal 10 and day greater or equal 16,
files with the following extensions are encrypted:
*.TXT
*.BAS
*.C
*.MDB
*.ZIP
*.RAR
*.DOC
*.XLS
*.CPP
*.H
*.PAS
*.ASP
*.PHP
*.PPT
*.HTM
*.RTF
*.MDF
*.PSD
*.ASPX
*.ASPX.CS
*.HTML
*.PDF
*.HLP
The encryption consists simply of adding 0x10 to each byte of the file.

c'est exactement le même problème qui a été abordé il y a longtemps sur ce forum sur le lien suivant :http://www.developpez.net/forums/d66...e-w32-mabezat/

j'espere trouver une reponse le plus vite possible c'est vraiment urgent

[hackoofr]

une petite traduction foireuse avec google nous conduit à ceci :

Si la date courante du système correspond à la condition: l'année supérieure ou égale 2012, mois supérieur ou égal 10 et jour, supérieure ou égale 16, les fichiers avec les extensions suivantes sont chiffrés

Alors essayez de changer la date système par exemple en 01/01/2010 et vérifier si ce problème de cryptage persiste

[Le13009]

je pense pas que c'est une question de date, parce que les fichiers sont déjà cryptés, il fallait modifié la date avant le cryptage, maintenant que la valeur est déjà rajouter sur les fichiers (comme signalé sur le site d'AVG 0x10 ) il faut trouver comment la déchiffrer.
Merci

[hackoofr]

je pense pas que c'est une question de date, parce que les fichiers sont déjà cryptés, il fallait modifié la date avant le cryptage, maintenant que la valeur est déjà rajouter sur les fichiers (comme signalé sur le site d'AVG 0x10 ) il faut trouver comment la déchiffrer.
Merci

Votre raisonnement est très logique, donc il faut trouver un moyen pour le décrypter

[sevyc64]

Ben suffit de lire

The encryption consists simply of adding 0x10 to each byte of the file.

[hackoofr]

Ben suffit de lire
The encryption consists simply of adding 0x10 to each byte of the file.

Alors vous nous proposez quoi exactement comme solution ouvrir le fichier crypté en Hexadécimal et enlever 0x10 pour chaque octet du fichier
Est-ce que est possible de scripter quelque chose comme ça pour un décryptage pareil
Moi aussi je suis très intéressé par la solution parce que c'est très ennuyant de ne pas récupérer ces données

[sevyc64]

Pour le script, je sais pas, je suis pas assez calé en script. Peut-être possible en Powershell.

Après faut savoir comment sont gérées les bornes lorsque l'ajout (ou la suppression) provoque un dépassement.

Ceci dit, si effectivement le cryptage est si simple, il doit très certainement déjà exister, j'imagine, des outils de décryptages notamment chez les éditeurs d'AV

[Le13009]

bon j'ai mi en pièce joint un fichier pdf crypté
Merci pour votre aide

[hackoofr]

Essayez cet outil on sait jamais

The tool will automatically scan all available discs and will try to heal the infected files. If an active virus is found in memory, the tool will ask the user to reboot the computer. Healing will be performed during operating system boot-up sequence, so any active virus cannot interfere with the healing process.

http://free.avg.com/us-en/remove-win32-mabezat

Il dit qu'il va "guérir" les fichiers. Il ne dit pas s'il va décrypter les fichiers.

[sevyc64]

j'ai fait une analyse manuelle du fichier joint, le cryptage n'est pas aussi simple que ça.
S'il s'agit bien de retirer 0x10 à chaque octet du fichier, visiblement ce n'est pas la totalité du fichier qui est crypté.

Sur le fichier joint, en décryptant les 10965 premiers octets, j'obtiens déjà un fichier lisible. Maintenant reste à savoir s'il est complet.

Reste à savoir le nombre d'octets cryptés
Reste à savoir si le cryptage est fait de manière identique pour chaque fichier ou s'il dépend du type de fichiers.

[Le13009]

Est ce que je vous envoi un fichier de type different pour voir si le cryptage et pareil pour les autres type de fichiers.
Merci pour votre aide

[hackoofr]

j'ai fait une analyse manuelle du fichier joint, le cryptage n'est pas aussi simple que ça.
S'il s'agit bien de retirer 0x10 à chaque octet du fichier, visiblement ce n'est pas la totalité du fichier qui est crypté.

Sur le fichier joint, en décryptant les 10965 premiers octets, j'obtiens déjà un fichier lisible. Maintenant reste à savoir s'il est complet.

Reste à savoir le nombre d'octets cryptés
Reste à savoir si le cryptage est fait de manière identique pour chaque fichier ou s'il dépend du type de fichiers.

Déjà c'est un bon début
Donc il va falloir que Le13009 nous uploade d'autres types de fichiers qui ont été crypté comme extension .doc , .htm, .TXT etc.... pour confirmer votre hypothèse

[sevyc64]

Alors je dirais que la limite de cryptage (à supposer que ce soit une simple limite en nombre d'octets) doit probablement se situer entre 64302 et 92291 octets.
Donc peut-être 65536, qui est un des nombres charnière en informatique.


Pour faire d'autres tests, il faudrait plutôt des fichiers à contenu textuel plutôt que binaire, pour que la différence entre crypté et décrypté se voit.
Donc si possible à éviter les doc, zip, rar, etc et préférer les txt, bas, html, etc ...

Fichier de 100ko ou plus de préférence.

[Le13009]

oui c'est deja un bon signe si joint un fichier htm (185 ko), je l'ai compresser en rar parce que la tille max d'upload sur le forum est de 64ko
Merci

[sevyc64]

ok, pour le fichier html la limité était à 79360 octets, ce qui reste dans ma fourchette

[Le13009]

est ce que vous pouvez me simplifier ca, j'arrive pas a vous suivre, ca veut dire quoi la limite de cryptage est ce que c'est la limite utilisé par Mabezat pour crypté ou c'est quoi ??

[sevyc64]

Oui apparemment une partie seulement des fichiers est cryptée.
Il semblerait (d'après donc le fichier html) que seulement les 79360 premiers octets des fichiers aient été modifié, le reste est resté inchangé sauf 13 octets rajoutés à la fin et qui constitue la signature de l'auteur j'imagine (TAZEMABA 3515)

[Le13009]

d’après vous ça serai quoi le moyen pour remettre les fichiers a leur état normal pour que je puisse les lire normalement, je me connais pas trop en cryptage ni en hexadécimal lol .
Merci

[sevyc64]

Tu en as beaucoup ?

[Le13009]

Malheureusement oui