Discussion :

[bilel06]

Bonjour,
j'essaie de récupérer des fichiers de données .doc et .xls crypter par le virus w32/mabezat, j'ai fais plusieurs recherche mais j'y arrives pas encore, selon les informations sur ce virus

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
If the current system date matches the condition:
 year greater or equal 2012, month greater 
or equal 10 and day greater or equal 16, 
files with the following extensions are encrypted:
*.TXT
*.BAS
*.C
*.MDB
*.ZIP
*.RAR
*.DOC
*.XLS
*.CPP
*.H
*.PAS
*.ASP
*.PHP
*.PPT
*.HTM
*.RTF
*.MDF
*.PSD
*.ASPX
*.ASPX.CS
*.HTML
*.PDF
*.HLP
The encryption consists simply of adding 0x10 to each byte of the file.

Merci d'avance

[Invité]

C'est quoi la question ? T'arrives pas à quoi ?

[Djug]

est ce que tu es sûre que c'est w32/mabezat ? je crois que ce virus ne crypte pas les fichier mais il infecte tous les exécutables du disque


en tout cas : il faut installer un antivirus et faire une analyse complète du disque ( après avoir fait la MAJ)
et pour les fichiers est ce que tu peux nous donner un fichier crypté pour essayer de le décrypter avec la méthode que tu viens de dire " The encryption consists simply of adding 0x10 to each byte of the file."

[bilel06]

je cherche à décrypté les fichiers word et excel crypté.
donc je cherche une solution pour décrypté ces fichiers, ce qui revient à faire le traitement inverse, donc vous pouvez me guider car je peux pas mettre ces fichiers comme ils sont confidentiels
Merci

[Senji]

salut,

je ne pense pas que tu pourras le décripter. il faut les restaurer via une sauvegarde ( si vous avez une politique de sauvegarde biensur).

toute façon, faut nettoyer ce virus, comme dit plus haut,
Ce virus recherche les exécutables sur les disques locaux et sur le réseau. les exécutables sont infectés par écrasement des instructions du début de l'exe. Le code original est conservé à la fin du fichier.
ce qui explique l'ajout d'une valeur hexa de 0x10 à chaque octet du fichier. donc ton exe est casi mort!

bye

[bilel06]

je cherche pas à décrypté mes .exe mais je cherche à récuperer les contenu des documents cryptés .doc et .xls, je me suis dis si la méthode du virus consiste a additionner 0x10 à chaque octet peut etre je peux faire l'opération dans le sens inverse qu'en pensez vous ? si c'est faisable vous avez des outils pret pour effectuer le calcul
Merci...

[Djug]

je cherche pas à décrypté mes .exe mais je cherche à récuperer les contenu des documents cryptés .doc et .xls, je me suis dis si la méthode du virus consiste a additionner 0x10 à chaque octet peut etre je peux faire l'opération dans le sens inverse qu'en pensez vous ? si c'est faisable vous avez des outils pret pour effectuer le calcul
Merci...

le problème est le suivant: comment elle est faite cette addition ? (arithmétique une addition classique ou logique )
si l'opération est un ET logique alors c'est impossible de faire l'opération dans le sens inverse parce que (X AND 0 = 0 ) et on ne peut pas savoir si X=0 ou X=1

[Senji]

salut,

l'opération se fait par écrasement des instructions du début du fichier donc un ET.

bye

[adounanila]

Bonjour,

DrWeb nettoie cette infection http://freedrweb.com/?lng=fr

If the current system date matches the condition:
year greater or equal 2012, month greater
or equal 10 and day greater or equal 16,
files with the following extensions are encrypted:

- Vu les conditions énumérée j'ai tout de même un doute énorme quant à la véracité de l'alerte.

D'ici 2012 tous les AV du monde ont le temps d'inclure ces fichiers dans leurs bases respectives.

Effrayer l'utilisateur pour l'inciter à perdre quelques deniers est une méthode que beaucoup utilisent à l'instar des infections par Rogue et malheureusement la technique doit être payante vu la vitesse de prolifération de ces cochonneries. cf http://www.spywarewarrior.com/rogue_anti-spyware.htm


Bonne continuation à tous.

Bien amicalement