# Systmes > Windows > Scurit >  Help fichier crypt suite  un virus

## toque007

Bonjour  tous

je suis trs embter suite  un virus qui a crypter l'ensemble des fichiers word, excel et pdf sur un de mes postes reseau. de plus le hic je n'tait pas prsent lors de la "dsinfection", donc je ne connait pas rellement le nom du virus cryptologue  ::weird::  (mis a part les fichiers en quarantaine, mais aprs une recherche je n'en ai trouv aucun qui crypte les fichiers)

j'ai russi a rcupr des fichiers non crypts mais je ne sais pas comment mis prendre pour comparer ces mmes fichier et trouver une clef de dcryptage  ::calim2:: 

si quelqu'un pouvais me guider 

help

Pascal

----------


## bytecode

seul snowden peut t'aider  ::mouarf:: 

j'opterai pour du Rc4 mais sans la cl  :8O:

----------


## JML19

Bonsoir

Je ne pense pas qu'un virus crypte les fichiers il peut modifier l'entte du fichier pour le rendre illisible par le logiciel qui l'a fabriqu.

Le virus a t'il modifi l'extension du fichier ?

----------


## gaby277

Bonjour, 
Les virus qui cryptent existent bel et bien !
Certains ont pour but de soutirer de l'argent.

_Extrait de Wikipidia
http://fr.wikipedia.org/wiki/Ransomware
Ransomware
Un ransomware, ou ranongiciel, est un logiciel malveillant qui prend en otage des donnes personnelles. Pour ce faire, un ranongiciel chiffre des donnes personnelles puis demande  leur propritaire d'envoyer de l'argent en change de la cl qui permettra de les dchiffrer.

Un ransomware peut aussi bloquer l'accs de tout utilisateur  une machine jusqu' ce qu'une cl ou un outil de dbridage soit envoy  la victime en change d'une somme d'argent. Les modles modernes de ranongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a grandement augment dans d'autres pays, entre autres l'Australie, l'Allemagne, les tats-Unis.

Le terme ransomware (ou ransomware licensing) peut galement dsigner une forme de financement de logiciel pour lequel une ranon financire est demande pour qu'il soit distribu sous une licence libre.

En novembre 2012,  McAfee, lditeur de logiciels de scurit, rapporte avoir enregistr 120 000 nouveaux chantillons de ce genre de virus au deuxime trimestre 2012, soit quatre fois plus qu la mme priode lanne d'avant. 1._

----------


## bytecode

Je chercherai a reproduire l'infection via Cuckoo encore faut-il avoir le virus  disposition, je veut bien les fichiers en quarantaine pour voir..

Edit : Gpcode (voir si les fichiers sont en .omg) utilise aes et il est impossible de rcuprer les fichiers, sauf pour les premires ditions.

----------


## JML19

Bonjour

*ransomware, ou ranongiciel* effectivement je ne connais pas ce type de virus.

Ce que je pense c'est qu'il ne crypte pas le fichier il doit modifier la faon dont le fichier est lu car pour crypter un fichier cela me semble trop long et trop voyant.

Par exemple sous DOS il existe le FCB (File Control Block) entte qui indique ce que contient le fichier et avec quoi il doit tre lu et dcrypt.

Il suffit de modifier ce FCB pour faire en sorte que ce fichier ne soit plus interprt correctement, un octet suffit que tu peux retirer ensuite.

J'ai travaill en assembleur sur la structure de ce type de fichier dans les annes 1990.

----------


## bytecode

@ jml19 je joint un excutable qui est chiffr/crypt peut tu le dchiffrer ?

exemple.zip

----------


## chrtophe

Il suffit de crypter le dbut du fichier pour le rendre inutilisable, c'est le fonctionnement de ce type de virus.

----------


## JML19

> @ jml19 je joint un excutable qui est chiffr/crypt peut tu le dchiffrer ?
> 
> exemple.zip


Bonjour bytecode

Non je n'essaierais mme pas, il faut un diteur hexa et cela fait longtemps que je ne m'amuse plus  cela.

J'y ai dj perdu ma tte par un Burn-Out en 1992 maintenant  la retraite cela suffit.

----------


## toque007

Bonjour et merci de vos reponse

pour vous rpondre les fichier n'ont pas les extensions modifies,

par ailleurs il commence tous comme ceci:
!crypted!6800F96A5958157794F77861C5F33612

----------


## bytecode

@jml19 Bonjour, Merci je comprend la retraite c'est sacr :-)

@toque007 la seul faon que j'utiliserai c'est de reproduire l'action du virus et de dumper la mmoire pour y retrouver une possible cl de cryptage 

mme si tous ceci me passionne je n'ai pas forcment le niveau pour t'aider mais c'est la seul faon que je connaisse et elle ne fonctionnera pas sur toutes les souches malveillante.

Cordialement.

----------


## sevyc64

As-tu regarder cette discussion, j'y avais proposer un outil pour un virus bien particulier, mais il n'est pas certain que le tien soit le mme virus. De mmoire, celui-l ne rajoutait pas crypted au dbut.

----------


## lolvince

bonjour,
j'ai galement le mme problme, fichier marqu !crypted! au dbut de celui-ci.
j'ai pu retrouver un fichier original (afin de faire une comparaison rapide avec le mme fichier infect)
rsultat : 
en entte on  :
"!.c.r.y.p.t.e.d.!...1.2.3.4.5.6.7.8.9.0.a.b.c.d.e.f.1.2.3.4.5.6.7.8.9.0.a.b.c.d.e.f...dbut du fichier"
donc j'imagine une cl de 32 octets aprs !crypted! identique sur chaque fichier de la machine infect
on remarque galement le sparateur 0x00 entre chaque octect, et 0x000000 pour sparer la "cl" du reste du fichier.

il n'y  pas de cohrence de taille, sur 3 fichiers PDF de taille diffrente, le poids une fois crypter sera suprieur  celle d'origine, mais ce changement n'est pas proportionnel.
Exemple : 
un fichier de 191790 octet fera 214870 octet une fois crypter (soit 23080 octet de plus)
puis un fichier de 208127 octet fera 217686 octet une fois crypter (soit 9559 octet de plus)

j'essaye de trouver d'autre point commun afin d'en dterminer une structure plus complte.
toute aide serait la bienvenue.

merci

----------


## lolvince

tout porte  croise qu'il s'agirai d'un cryptage type "Cryptodefense".
il utilise du RSA-2048, il faudrait dumper la cl RSA situ sur la machine victime afin de pouvoir dcrypter le fichier.

j'attend de rcuprer la machine afin de pouvoir cloner le HDD et de faire des machine virtuel de test.

----------


## lolvince

la machine devant les yeux j'ai pu rcuprer un fichier contenant mon RSA1 situ sans : %appdata%\Microsoft\Crypto\RSA\User SID\

je regarde pour la suite ...

----------


## Lekno

Ton sujet m'interesse, si tu peux nous donne run feedback quant tu as russi  :;):

----------


## lolvince

rsultat aprs quelque manip :

l'entte des 32 octet que je pensait tre une cl n'est en faite que l'identifiant de la victime (elle est identique sur chaque fichier du pc qui est crypt)
une fois crypt les fichiers sont accompagn de 3 fichiers dans chaque dossier qui sont du genre :
_HOW_DECRYPT.HTML => contient une page qui indique comment payer pour dcrypter les fichiers
_HOW_DECRYPT.URL => renvoie sur la mme page web mais hberg sur leur serveur
_HOW_DECRYPT.TXT => indique que vous vous tes-fait pirat !

ce qu'il faut retenir :
le mode de cryptage est indiqu sur les age WEB ou dansle TXT. ici => CryptoDefense RSA-2048
Le code personnel de la victime qui permet lidentification de celui-ci et l'url de la page qui permet le dcryptage :
exemple :
IMPORTANT INFORMATION:

Your Personal PAGE: https://rj2bocejarqnpuhm.browsetor.com/1234
Your Personal PAGE(using TorBrowser): rj2bocejarqnpuhm.onion/1234
Your Personal CODE(if you open site directly): 1234


dans mon cas, avec le cryptodefense, il y a 2 cls RSA utilis.
1 cot victime, et une cot hacker(voleur),il est aussi indiqu que la cl sera gard 1 mois maximum, aprs a elle sera dtruite.

en bref j'ai eu la chance de pouvoir retrouv une sauvegarde de mes fichier effectue quelque jour avant le drame.
dans mon cas il n'y a rien a faire  ma connaissance, je possde pourtant 1 cl RSA, un fichier original et un crypt (afin de faire des comparaison).
la seule chose  faire serait d'attendre que le serveur "tombe" et que les cls sont diffuses...

pour approfondir : 

voila un guide trs complet pour le cryptodefense : http://www.bleepingcomputer.com/viru...re-information
et un site qui suit de trs prs l'actualit des ransomware et qui peut peut tre vous aider  dcrypter vos fichiers : http://howdecrypt.blogspot.fr/

voila ! en esprant avoir clair les pauvres victimes de ce vol de donnes.
Vincent

----------

