Discussion :

[toque007]

Bonjour à tous

je suis très embêter suite à un virus qui a crypter l'ensemble des fichiers word, excel et pdf sur un de mes postes reseau. de plus le hic je n'était pas présent lors de la "désinfection", donc je ne connait pas réellement le nom du virus cryptologue (mis a part les fichiers en quarantaine, mais après une recherche je n'en ai trouvé aucun qui crypte les fichiers)

j'ai réussi a récupéré des fichiers non cryptés mais je ne sais pas comment mis prendre pour comparer ces mêmes fichier et trouver une clef de décryptage

si quelqu'un pouvais me guider

help

Pascal

[bytecode]

seul snowden peut t'aider

j'opterai pour du Rc4 mais sans la clé

[JML19]

Bonsoir

Je ne pense pas qu'un virus crypte les fichiers il peut modifier l'entête du fichier pour le rendre illisible par le logiciel qui l'a fabriqué.

Le virus a t'il modifié l'extension du fichier ?

[gaby277]

Bonjour,
Les virus qui cryptent existent bel et bien !
Certains ont pour but de soutirer de l'argent.

Extrait de Wikipidia
http://fr.wikipedia.org/wiki/Ransomware
Ransomware
Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

Le terme ransomware (ou ransomware licensing) peut également désigner une forme de financement de logiciel pour lequel une rançon financière est demandée pour qu'il soit distribué sous une licence libre.

En novembre 2012, « McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’année d'avant. »1.

[bytecode]

Je chercherai a reproduire l'infection via Cuckoo encore faut-il avoir le virus à disposition, je veut bien les fichiers en quarantaine pour voir..

Edit : Gpcode (voir si les fichiers sont en .omg) utilise aes et il est impossible de récupérer les fichiers, sauf pour les premières éditions.

[JML19]

Bonjour

ransomware, ou rançongiciel effectivement je ne connais pas ce type de virus.

Ce que je pense c'est qu'il ne crypte pas le fichier il doit modifier la façon dont le fichier est lu car pour crypter un fichier cela me semble trop long et trop voyant.

Par exemple sous DOS il existe le FCB (File Control Block) entête qui indique ce que contient le fichier et avec quoi il doit être lu et décrypté.

Il suffit de modifier ce FCB pour faire en sorte que ce fichier ne soit plus interprété correctement, un octet suffit que tu peux retirer ensuite.

J'ai travaillé en assembleur sur la structure de ce type de fichier dans les années 1990.

[bytecode]

@ jml19 je joint un exécutable qui est chiffré/crypté peut tu le déchiffrer ?

exemple.zip

[chrtophe]

Il suffit de crypter le début du fichier pour le rendre inutilisable, c'est le fonctionnement de ce type de virus.

[JML19]

@ jml19 je joint un exécutable qui est chiffré/crypté peut tu le déchiffrer ?

exemple.zip

Bonjour bytecode

Non je n'essaierais même pas, il faut un éditeur hexa et cela fait longtemps que je ne m'amuse plus à cela.

J'y ai déjà perdu ma tête par un Burn-Out en 1992 maintenant à la retraite cela suffit.

[toque007]

Bonjour et merci de vos reponse

pour vous répondre les fichier n'ont pas les extensions modifiées,

par ailleurs il commence tous comme ceci:
!crypted!6800F96A5958157794F77861C5F33612

[bytecode]

@jml19 Bonjour, Merci je comprend la retraite c'est sacré :-)

@toque007 la seul façon que j'utiliserai c'est de reproduire l'action du virus et de dumper la mémoire pour y retrouver une possible clé de cryptage

même si tous ceci me passionne je n'ai pas forcément le niveau pour t'aider mais c'est la seul façon que je connaisse et elle ne fonctionnera pas sur toutes les souches malveillante.

Cordialement.

[sevyc64]

As-tu regarder cette discussion, j'y avais proposer un outil pour un virus bien particulier, mais il n'est pas certain que le tien soit le même virus. De mémoire, celui-là ne rajoutait pas crypted au début.

[lolvince]

bonjour,
j'ai également le même problème, fichier marqué !crypted! au début de celui-ci.
j'ai pu retrouver un fichier original (afin de faire une comparaison rapide avec le même fichier infecté)
résultat :
en entête on à :
"!.c.r.y.p.t.e.d.!...1.2.3.4.5.6.7.8.9.0.a.b.c.d.e.f.1.2.3.4.5.6.7.8.9.0.a.b.c.d.e.f...début du fichier"
donc j'imagine une clé de 32 octets après !crypted! identique sur chaque fichier de la machine infecté
on remarque également le séparateur 0x00 entre chaque octect, et 0x000000 pour séparer la "clé" du reste du fichier.

il n'y à pas de cohérence de taille, sur 3 fichiers PDF de taille différente, le poids une fois crypter sera supérieur à celle d'origine, mais ce changement n'est pas proportionnel.
Exemple :
un fichier de 191790 octet fera 214870 octet une fois crypter (soit 23080 octet de plus)
puis un fichier de 208127 octet fera 217686 octet une fois crypter (soit 9559 octet de plus)

j'essaye de trouver d'autre point commun afin d'en déterminer une structure plus complète.
toute aide serait la bienvenue.

merci

[lolvince]

tout porte à croise qu'il s'agirai d'un cryptage type "Cryptodefense".
il utilise du RSA-2048, il faudrait dumper la clé RSA situé sur la machine victime afin de pouvoir décrypter le fichier.

j'attend de récupérer la machine afin de pouvoir cloner le HDD et de faire des machine virtuel de test.

[lolvince]

la machine devant les yeux j'ai pu récupérer un fichier contenant mon RSA1 situé sans : %appdata%\Microsoft\Crypto\RSA\User SID\

je regarde pour la suite ...

[Lekno]

Ton sujet m'interesse, si tu peux nous donne run feedback quant tu as réussi

[lolvince]

résultat après quelque manip :

l'entête des 32 octet que je pensait être une clé n'est en faite que l'identifiant de la victime (elle est identique sur chaque fichier du pc qui est crypté)
une fois crypté les fichiers sont accompagné de 3 fichiers dans chaque dossier qui sont du genre :
_HOW_DECRYPT.HTML => contient une page qui indique comment payer pour décrypter les fichiers
_HOW_DECRYPT.URL => renvoie sur la même page web mais hébergé sur leur serveur
_HOW_DECRYPT.TXT => indique que vous vous êtes-fait piraté !

ce qu'il faut retenir :
le mode de cryptage est indiqué sur les age WEB ou dansle TXT. ici => CryptoDefense RSA-2048
Le code personnel de la victime qui permet l’identification de celui-ci et l'url de la page qui permet le décryptage :
exemple :
IMPORTANT INFORMATION:

Your Personal PAGE: https://rj2bocejarqnpuhm.browsetor.com/1234
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/1234
Your Personal CODE(if you open site directly): 1234


dans mon cas, avec le cryptodefense, il y a 2 clés RSA utilisé.
1 coté victime, et une coté hacker(voleur),il est aussi indiqué que la clé sera gardé 1 mois maximum, après ça elle sera détruite.

en bref j'ai eu la chance de pouvoir retrouvé une sauvegarde de mes fichier effectuée quelque jour avant le drame.
dans mon cas il n'y a rien a faire à ma connaissance, je possède pourtant 1 clé RSA, un fichier original et un crypté (afin de faire des comparaison).
la seule chose à faire serait d'attendre que le serveur "tombe" et que les clés sont diffusées...

pour approfondir :

voila un guide très complet pour le cryptodefense : http://www.bleepingcomputer.com/viru...re-information
et un site qui suit de très prés l'actualité des ransomware et qui peut peut être vous aider à décrypter vos fichiers : http://howdecrypt.blogspot.fr/

voila ! en espérant avoir éclairé les pauvres victimes de ce vol de données.
Vincent