Discussion :

[toque007]

Bonjour à tous

je suis très embêter suite à un virus qui a crypter l'ensemble des fichiers word, excel et pdf sur un de mes postes reseau. de plus le hic je n'était pas présent lors de la "désinfection", donc je ne connait pas réellement le nom du virus cryptologue (mis a part les fichiers en quarantaine, mais après une recherche je n'en ai trouvé aucun qui crypte les fichiers)

j'ai réussi a récupéré des fichiers non cryptés mais je ne sais pas comment mis prendre pour comparer ces mêmes fichier et trouver une clef de décryptage

si quelqu'un pouvais me guider

help

Pascal

[bytecode]

seul snowden peut t'aider

j'opterai pour du Rc4 mais sans la clé

[JML19]

Bonsoir

Je ne pense pas qu'un virus crypte les fichiers il peut modifier l'entête du fichier pour le rendre illisible par le logiciel qui l'a fabriqué.

Le virus a t'il modifié l'extension du fichier ?

[gaby277]

Bonjour,
Les virus qui cryptent existent bel et bien !
Certains ont pour but de soutirer de l'argent.

Extrait de Wikipidia
http://fr.wikipedia.org/wiki/Ransomware
Ransomware
Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.

Le terme ransomware (ou ransomware licensing) peut également désigner une forme de financement de logiciel pour lequel une rançon financière est demandée pour qu'il soit distribué sous une licence libre.

En novembre 2012, « McAfee, l’éditeur de logiciels de sécurité, rapporte avoir enregistré 120 000 nouveaux échantillons de ce genre de virus au deuxième trimestre 2012, soit quatre fois plus qu’à la même période l’année d'avant. »1.

[bytecode]

Je chercherai a reproduire l'infection via Cuckoo encore faut-il avoir le virus à disposition, je veut bien les fichiers en quarantaine pour voir..

Edit : Gpcode (voir si les fichiers sont en .omg) utilise aes et il est impossible de récupérer les fichiers, sauf pour les premières éditions.

[JML19]

Bonjour

ransomware, ou rançongiciel effectivement je ne connais pas ce type de virus.

Ce que je pense c'est qu'il ne crypte pas le fichier il doit modifier la façon dont le fichier est lu car pour crypter un fichier cela me semble trop long et trop voyant.

Par exemple sous DOS il existe le FCB (File Control Block) entête qui indique ce que contient le fichier et avec quoi il doit être lu et décrypté.

Il suffit de modifier ce FCB pour faire en sorte que ce fichier ne soit plus interprété correctement, un octet suffit que tu peux retirer ensuite.

J'ai travaillé en assembleur sur la structure de ce type de fichier dans les années 1990.