Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
743 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  PC Infecté par CTB-Locker (Citroni)

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

PC Infecté par CTB-Locker (Citroni)

n°3154379
strathydra​49
Posté le 14-01-2015 à 18:32:22  profilanswer
 

Bonjour,
 
Je m'occupe du PC d'un ami qui s'est retrouvé attrapé par un virus, CTB-LOCKER, qui crypte la plupart des fichiers du PC (.doc, .xls, etc...). Du coup, je me retrouve avec les fichiers qui ont maintenant une extention ".ogfekqc" sur tout les fichiers, et bien sur un simple renomage ne fonctionne pas puisqu'ils sont cryptés. Et bien sur c'est un pro, avec un nombre importants de documents.
 
Voici ce que j'ai fait:
 
- Adwcleaner
- Malwarebytes
 
Cela a bien supprimer le malware, mais les fichiers sont toujours cryptés.
 
- J'ai supprimé son AVG gratuit et installé à la place Kaspersky, et lancer une analyse, idem.
 
D'habitude dans ce genre de cas (je suis informaticien) je fait le tour des programmes installé, je passe en plus Ccleaner, ZHPC et Delfix, je remplace les raccourcis des navigateurs, etc... Mais la comme je sèche, j'ai préféré ne rien faire de plus afin de ne pas aggraver la situation :)  
 
NB: Par contre si besoin, j'ai gardé l'historique de malwarebyte, c'est encore possible de remettre en place les fichiers provenant de la quarantaine.
 
Un grand merci d'avance à ceux qui se pencherons sur mon cas!

mood
Publicité
Posté le 14-01-2015 à 18:32:22  profilanswer
 

n°3154386
monk521
Posté le 14-01-2015 à 19:13:09  profilanswer
 

Bonjour,
 
 
Malheureusement, les fichiers cryptés suite à ce ransomware sont très difficiles à récupérer (à moins de payer ou par brute force).  
Essaie avec le programme Shadow Explorer. Le tuto est pour Vista mais ça marche sur tous les systèmes.


Message édité par monk521 le 14-01-2015 à 19:14:33
n°3154393
nnwldx
Posté le 14-01-2015 à 20:17:09  profilanswer
 

Si shadow explorer ne fonctionne, il faut espérer qu'il ait une sauvegarde.
Si c'est un pro, il y a plus de chance qu'il y ait une sauvegarde.
pense a lui mettre Java à jour, il doit avoir une vieille version 6 d'installée sur son poste.

n°3154466
strathydra​49
Posté le 15-01-2015 à 14:48:19  profilanswer
 

arrrr.... mauvaise nouvelle ça :sweat: Et non pas de sauvegarde, et restauration système désactiver, dans ce genre de cas c'est toutes les merdes ou rien :p  
 
Merci pour la soluce, je teste ça et je vous tiens au courant. Vous avez une idée du prix de cette "rançon" ?

n°3154467
monk521
Posté le 15-01-2015 à 14:58:51  profilanswer
 

Ça varie entre 50 et 500 $, et ça augmente chaque jour.  
Si la restauration du système est désactivée, c'est mort.  :pfff:

n°3154475
nnwldx
Posté le 15-01-2015 à 17:46:31  profilanswer
 

Si tu as nettoyer le poste du crypto locker, c'est re-mort.
Tu ne peux plus accèder au site de la rançon.

n°3154480
strathydra​49
Posté le 15-01-2015 à 18:13:09  profilanswer
 

Ok, merci pour les retours, je n'ai pas eu le temps de me remettre dessus. J'ai nettoyé le poste, mais il y a toujours le fond d'écran avec les clé. Et je n'ai fait que de la mise en quarantaine par malwarebytes, si je restore la désinfection, la page avec le timer réapparait bien, tu pense que c'est quand même fichu?

n°3154481
nnwldx
Posté le 15-01-2015 à 18:17:27  profilanswer
 

ca devrait être bon.

n°3154950
Modération
Posté le 19-01-2015 à 12:31:47  answer
 

[:icon4] Attention !! Les fichiers générés par ce programme incluent des données personnelles et potentiellement confidentielles qui seront mises à disposition de tous une fois transmis. Assurez vous de bien les nettoyer, ou de ne pas transmettre ces données si vous n'êtes pas sûr du contenu diffusé.
 
A "l'équipe de la désinfection" : Merci de rajouter systématiquement ce message à chacun de vos posts demandant l'envoi d'un rapport.

n°3156107
strathydra​49
Posté le 22-01-2015 à 18:19:22  profilanswer
 

Bon bin ça sens le sapin cette histoire.. J'ai pas testé Shadow Explorer, à priori c'est pour un vista ou seven avec la fonction de version de fichier, donc fichu avec XP...
 
Par contre j'ai pu récupérer une copie d'un fichier intact, a priori avec Kaspersky Decryptor ça devrait le faire non?

mood
Publicité
Posté le 22-01-2015 à 18:19:22  profilanswer
 

n°3156113
nnwldx
Posté le 22-01-2015 à 19:01:59  profilanswer
 

il faut espérer, car il y a plusieurs variantes du cryptolocker.
Dis nous ensuite ce que ça donne.

n°3205181
antictbloc​ker
Posté le 12-10-2015 à 03:00:26  profilanswer
 

Bonjour tout le monde voici une methode montre comment protéger vos fichier et documents de ce virus CTB-LOCKER
 
https://www.youtube.com/watch?v=kRpJEpJzK1U


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  PC Infecté par CTB-Locker (Citroni)

 

Sujets relatifs
Gros problèmes Pc Reseau Besoin d'un Pro!Repasser à windows 8 un PC "downgradé" en windows 7
infecte depuis hier soir par omiga pllusAide désinfection PC
Control de mon PC par mon LaptopSauvegarde configuration PC sur plusieurs PC identiques
Probleme PC vers TV impossibleEcran noir dès l'allumage de mon PC
Erreur "Mémoire ne peut pas être read" à l'arrêt PCPC portable qui ne ping plus les autres du jour au lendemain
Plus de sujets relatifs à : PC Infecté par CTB-Locker (Citroni)


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR