[Help] CTB-Locker ransomware

Discussion dans 'Windows' créé par Hyene, 19 Juin 2015.

  1. Offline
    Hyene Elite
    Hello

    Comme dans le titre, j'ai un pc qui est infecter par un ransomware. "CTB-Locker" il a crypter les fichiers en modifiant l’extension en .xtbvdif.

    Le pc est passer dans une autre main avant, visiblement le gars a réussit a retirer le virus, mais pas le cryptage....

    J'ai passer un coup de malwarebyte, mcafee, antivir, et les 2 décrypteur de kaspersky et bitdefender il me semble.

    Le souci est que je ne trouve rien du tout sur ".xtbvdif"

    Merci d'avance.
    Hyene, 19 Juin 2015
    #1
  2. Offline
    Sigmund Philololologue
    Tain c'est fou je fais une recherche google sur ".xtbvdif" et... je tombe sur ce topic. Alors que tu as posté il y a 4 minutes.

    Chapeau l'indexation... (en incognito aussi, donc oui c'est bien indexé et pas "lol ton historique")


    Je ne peux pas t'aider malheureusement
    Sigmund, 19 Juin 2015
    #2
    HAINAUT aime ça.
  3. Offline
    EINST Elite
    Les noms de l'extension sont aléatoires, voilà pourquoi tu ne trouveras rien. Les premières versions donnaient une extension .ctbl ou .ctb2, mais ensuite c'est devenu aléatoire.

    Mais pas de bol, ces fichiers sont irrécupérables.

    Spoiler
    Est-il possible de décrypter les fichiers encryptés par CTB Locker ?
    Malheureusement il n’est pas possible pour le moment de récupérer la clé privée qui doit être utilisé pour décrypter vos fichiers sans avoir à payer la rançon sur le site de CTB Locker. Trouver cette clé en faisant une recherche par force brute n’est pas réaliste en raison du temps nécessaire pour briser la cryptographie utilisée par ce ransomware. Aussi tous les outils de décryptage qui ont été publiées par diverses entreprises de sécurité informatique pour d’autres ransomware ne fonctionneront pas avec cette infection. Les seules méthodes que vous avez peuvent être la restauration de vos fichiers à partir d’une sauvegarde ou via des outils de récupération de fichiers.
    EINST, 19 Juin 2015
    #3
  4. Offline
    Hyene Elite

    Comment on fais ça ? :p mon site ce fais pas index :s.


    Comme si j' était le seul au monde a avoir ce souci .... :cool:
    Hyene, 19 Juin 2015
    #4
  5. Offline
    golog Serie Addict!
    On ne sais pas encore en quoi c'est chiffrer ?

    J paraît peut être trop optimiste mais à l'heure des cloud etc. Ils ont essayer de faire un bruteforce ?

    Bon j'avoue que si c'est une clef trop longue on sera déjà mort avant qu'on la trouve. Mais il n'ont pas réussi à trouver un faille dans le logiciel ou carrément retrouver le logiciel qui décrypte ?
    golog, 19 Juin 2015
    #5
  6. Offline
    Hyene Elite

    C'est ce que j'ai dit au gars.
    Mais je lui est aussi dit de garder c'est fichier car "il n’est pas possible pour le moment de récupérer la clé privée"
    Il y a quand même une chance un jour qu'il donne les clés....


    En tous cas c'est bien de la merde, mais gg quand même au gars qui on crée ça :cool: bien casse couilles.
    Hyene, 19 Juin 2015
    #6
  7. Offline
    EINST Elite
    Le seul moyen de tenter de récupérer, c'est d'essayer des logiciels de récupération de fichiers comme photorec , recuva, ...
    EINST, 19 Juin 2015
    #7
  8. Offline
    6boulette Elite
    6boulette, 19 Juin 2015
    #8
  9. Offline
    Ch3at4h BabeZ master
    Ch3at4h, 19 Juin 2015
    #9
    cyber_weapon aime ça.
  10. Offline
    Hyene Elite
    Hyene, 19 Juin 2015
    #10
  11. Offline
    Hyene Elite
    Aucun ne fonctionne :'(
    Hyene, 8 Juillet 2015
    #11
  12. Offline
    Demoniak_Angel Le + beau ;-)
    Et finalement, le gars en question, sur quel site il a été chopé ca? Quel protection a t'il ? et sous quel système ?
    Demoniak_Angel, 8 Juillet 2015
    #12
  13. Offline
    tqz_ Elite
    un client a eu ce soucis, heureusement il avait un bon backup... bon courage pour retirer le cryptage...
    tqz_, 8 Juillet 2015
    #13
  14. Offline
    Hyene Elite
    Dans un mail en pièce jointe :s
    Hyene, 16 Juillet 2015
    #14
  15. Offline
    hitm4n 8==> - -- --- -----
    Salut,

    je peux confirmer qu'il est tout simplement impossible de décrypter (2048bit) ou récupérer les fichiers impactés à moins de payer la rançon via le web. ( le trafic passe via tor)
    le virus attaque en priorité les chemins réseaux dès qu'il est ouvert dans sa version plus récente.
    infection uniquement par mail.
    l'AV le plus efficace pour éviter le virus avant infection : kaspersky > nod32
    hitm4n, 16 Juillet 2015
    #15
  16. Offline
    Hyene Elite
    Il sorte des clé de temps en temps quand même non ?
    Hyene, 16 Juillet 2015
    #16
  17. Offline
    hitm4n 8==> - -- --- -----
    des clés de décryptage ? si rançon payée à ce que je sache. (vu sur le web)
    le décryptage se fait en 'live' à travers internet (l'outil passe par le réseau tor )
    Il n'y as pas de clés utilisables en local pour décrypter et aucune solution à ma connaissance. seul un backup peux sauver la mise.

    dans la situation ou j'ai du intervenir suite à ce virus, c'était une nouvelle version 0-day...qui n'a pas spécialement attaqué les stations de travail (30-50pc) mais directement attaqué tout les chemin réseaux jusqu’au serveur: toute la partie data du serveur a du être restaurée.. une bonne partie était infecté de différentes manières ; une partie crypté, l'autre infectée de diverse manières (propage encore plus le truc ).
    Virus / ransomware vraiment incroyable et très vicieux.
    hitm4n, 16 Juillet 2015
    #17
  18. Offline
    tqz_ Elite
    j'ai eu pareil chez un client c'est monté jusqu'au serveur via un poste et ça te crypte toute ton arborescence. Ca te propose de payer en bitcoin sur Tor...
    tqz_, 16 Juillet 2015
    #18
  19. Offline
    Sebulba Dieu
    Equipe GamerZ.be
    Ça donne envie de bien re réfléchir à son backup de NAS ... Je le ferais ...
    Sebulba, 16 Juillet 2015
    #19
  20. Offline
    eGm_ Guinea Trump
    ca lock aussi les disques réseaux ?
    eGm_, 16 Juillet 2015
    #20