Discussion :

[hunyka]

Bonjour,

Je viens d'arriver dans une nouvelle entreprise et pour la première semaine j'ai le droit à un gros souci. Mon collègue initialement présent à était confronté au virus CryptoWall et un grand nombre de fichier est encrypté sur le poste du responsable du groupe.

Je recherche des logiciel qui permettrai de récupérer les fichiers. J'ai lu sur un forum que visiblement ce sont les en-têtes qui sont modifié par CryptoWall.

Cordialement

[BenjGe]

les fichiers cryptés par cryptowall sont en théorie irrécupérables.
En pratique si l'ordinateur infecté a été éteint rapidement lors de l'infection et qu'il n'a pas été ralllumé trop longtemps, il faut basculer en mode sans échec, utiliser un antilmalware pour virer cryptowall, puis tenter de récupérer les fichiers.

Pour récupérer les fichiers il faut déjà en établir la liste, apparemment cryptowall sotcke dans HKCU\<id>\PROTECTED la liste de tous les fichiers qu'il crypte. Il existe des utilitaires pour extraire ce contenu sur le net, mais il vaut mieux tenter de le faire soit même

Pour chaque fichier essayer de remonter une sauvegarde si elle existe.
Si il n'y a pas de sauvegarde vous pouvez tenter de faire clic droit/propriétés/versions précédentes pour voir si des versions précédentes sont disponibles. Cependant si cryptowall a tourné trop longtemps sur la machine avant de la basculer en sans échec il aura aussi effacé les sahdow copy et donc les versions précédentes ne seront pas affichées. De même si la protection du système n'était pas activé il n'y aura pas de shadow copy.

Si aucune méthode de récupération ne fonctionne il existe apparemment une dernière méthode à tenter mais un peu longue. En fait dans l'algorithme de cryptowall pour chaque fichier qu'il crypte il semble qu'il opére ainsi:
-copie du fichier
-cryptage de l'original
-en cas de réussite destruction de la copie et enregistrement dans la base de registre de la trace du fichier crypté

Hors un fichier effacé peut en théorie être récupéré là encore si l'ordinateur infecté n'a pas été trop utilisé après l'infection (une opération d'écriture sur le disque risque d'effacer toute trace du fichier sur le disque)
Il faut donc extraire le disque de l'ordinateur, l'envoyer sur une autre machine avec un os et lancer un utilitaire de récupération de donnée sur disque. Ce sont des outils qui analysent tous les secteurs d'un disque pour tenter de retrouver tous ses fichiers sans passer par la Master File Table (la table où sont déclarés tous les fichiers dans une partition NTFS). Ces utilitaires savent récupérer des fichier sur partition formatée.

J'ai déjà utilisé testdisk+photorec. Photorec est particulièrement efficace. il faut juste penser à restaurer les fichier à un autre emplacement...

Après cela formatage bas niveau du disque infecté puis réinstallation et surtout mise en place d'une vraie stratégie de sauvegarde

[hunyka]

Merci pour tes précisions. Désolé de mon retard.