[Help] CTB-Locker ransomware

Hyene

Hyene

💩
Hello

Comme dans le titre, j'ai un pc qui est infecter par un ransomware. "CTB-Locker" il a crypter les fichiers en modifiant l’extension en .xtbvdif.

Le pc est passer dans une autre main avant, visiblement le gars a réussit a retirer le virus, mais pas le cryptage....

J'ai passer un coup de malwarebyte, mcafee, antivir, et les 2 décrypteur de kaspersky et bitdefender il me semble.

Le souci est que je ne trouve rien du tout sur ".xtbvdif"

Merci d'avance.
 
Sigmund

Sigmund

Philololologue
Tain c'est fou je fais une recherche google sur ".xtbvdif" et... je tombe sur ce topic. Alors que tu as posté il y a 4 minutes.

Chapeau l'indexation... (en incognito aussi, donc oui c'est bien indexé et pas "lol ton historique")


Je ne peux pas t'aider malheureusement
 
EINST

EINST

⭐⭐⭐⭐⭐
Les noms de l'extension sont aléatoires, voilà pourquoi tu ne trouveras rien. Les premières versions donnaient une extension .ctbl ou .ctb2, mais ensuite c'est devenu aléatoire.

Mais pas de bol, ces fichiers sont irrécupérables.

Est-il possible de décrypter les fichiers encryptés par CTB Locker ?
Malheureusement il n’est pas possible pour le moment de récupérer la clé privée qui doit être utilisé pour décrypter vos fichiers sans avoir à payer la rançon sur le site de CTB Locker. Trouver cette clé en faisant une recherche par force brute n’est pas réaliste en raison du temps nécessaire pour briser la cryptographie utilisée par ce ransomware. Aussi tous les outils de décryptage qui ont été publiées par diverses entreprises de sécurité informatique pour d’autres ransomware ne fonctionneront pas avec cette infection. Les seules méthodes que vous avez peuvent être la restauration de vos fichiers à partir d’une sauvegarde ou via des outils de récupération de fichiers.
 
1er
OP
Hyene

Hyene

💩
Sigmund a dit:
Tain c'est fou je fais une recherche google sur ".xtbvdif" et... je tombe sur ce topic. Alors que tu as posté il y a 4 minutes.

Chapeau l'indexation... (en incognito aussi, donc oui c'est bien indexé et pas "lol ton historique")
Cliquez pour agrandir...

Comment on fais ça ? :p mon site ce fais pas index :s.


Comme si j' était le seul au monde a avoir ce souci .... :cool:
 
golog

golog

Serie Addict!
On ne sais pas encore en quoi c'est chiffrer ?

J paraît peut être trop optimiste mais à l'heure des cloud etc. Ils ont essayer de faire un bruteforce ?

Bon j'avoue que si c'est une clef trop longue on sera déjà mort avant qu'on la trouve. Mais il n'ont pas réussi à trouver un faille dans le logiciel ou carrément retrouver le logiciel qui décrypte ?
 
1er
OP
Hyene

Hyene

💩
EINST a dit:
Les noms de l'extension sont aléatoires, voilà pourquoi tu ne trouveras rien. Les premières versions donnaient une extension .ctbl ou .ctb2, mais ensuite c'est devenu aléatoire.

Mais pas de bol, ces fichiers sont irrécupérables.

Est-il possible de décrypter les fichiers encryptés par CTB Locker ?
Malheureusement il n’est pas possible pour le moment de récupérer la clé privée qui doit être utilisé pour décrypter vos fichiers sans avoir à payer la rançon sur le site de CTB Locker. Trouver cette clé en faisant une recherche par force brute n’est pas réaliste en raison du temps nécessaire pour briser la cryptographie utilisée par ce ransomware. Aussi tous les outils de décryptage qui ont été publiées par diverses entreprises de sécurité informatique pour d’autres ransomware ne fonctionneront pas avec cette infection. Les seules méthodes que vous avez peuvent être la restauration de vos fichiers à partir d’une sauvegarde ou via des outils de récupération de fichiers.
Cliquez pour agrandir...

C'est ce que j'ai dit au gars.
Mais je lui est aussi dit de garder c'est fichier car "il n’est pas possible pour le moment de récupérer la clé privée"
Il y a quand même une chance un jour qu'il donne les clés....


En tous cas c'est bien de la merde, mais gg quand même au gars qui on crée ça :cool: bien casse couilles.
 
EINST

EINST

⭐⭐⭐⭐⭐
Le seul moyen de tenter de récupérer, c'est d'essayer des logiciels de récupération de fichiers comme photorec , recuva, ...
 
1er
OP
Hyene

Hyene

💩
Aucun ne fonctionne :'(
 
Demoniak_Angel

Demoniak_Angel

Le + beau ;-)
Et finalement, le gars en question, sur quel site il a été chopé ca? Quel protection a t'il ? et sous quel système ?
 
tqz_

tqz_

Elite
un client a eu ce soucis, heureusement il avait un bon backup... bon courage pour retirer le cryptage...
 
hitm4n

hitm4n

Elite
EINST a dit:
Le seul moyen de tenter de récupérer, c'est d'essayer des logiciels de récupération de fichiers comme photorec , recuva, ...
Cliquez pour agrandir...
Salut,

je peux confirmer qu'il est tout simplement impossible de décrypter (2048bit) ou récupérer les fichiers impactés à moins de payer la rançon via le web. ( le trafic passe via tor)
le virus attaque en priorité les chemins réseaux dès qu'il est ouvert dans sa version plus récente.
infection uniquement par mail.
l'AV le plus efficace pour éviter le virus avant infection : kaspersky > nod32
 
1er
OP
Hyene

Hyene

💩
hitm4n a dit:
Salut,

je peux confirmer qu'il est tout simplement impossible de décrypter (2048bit) ou récupérer les fichiers impactés à moins de payer la rançon via le web. ( le trafic passe via tor)
le virus attaque en priorité les chemins réseaux dès qu'il est ouvert dans sa version plus récente.
infection uniquement par mail.
l'AV le plus efficace pour éviter le virus avant infection : kaspersky > nod32
Cliquez pour agrandir...
Il sorte des clé de temps en temps quand même non ?
 
hitm4n

hitm4n

Elite
des clés de décryptage ? si rançon payée à ce que je sache. (vu sur le web)
le décryptage se fait en 'live' à travers internet (l'outil passe par le réseau tor )
Il n'y as pas de clés utilisables en local pour décrypter et aucune solution à ma connaissance. seul un backup peux sauver la mise.

dans la situation ou j'ai du intervenir suite à ce virus, c'était une nouvelle version 0-day...qui n'a pas spécialement attaqué les stations de travail (30-50pc) mais directement attaqué tout les chemin réseaux jusqu’au serveur: toute la partie data du serveur a du être restaurée.. une bonne partie était infecté de différentes manières ; une partie crypté, l'autre infectée de diverse manières (propage encore plus le truc ).
Virus / ransomware vraiment incroyable et très vicieux.
 
tqz_

tqz_

Elite
hitm4n a dit:
des clés de décryptage ? si rançon payée à ce que je sache. (vu sur le web)
le décryptage se fait en 'live' à travers internet (l'outil passe par le réseau tor )
Il n'y as pas de clés utilisables en local pour décrypter et aucune solution à ma connaissance. seul un backup peux sauver la mise.

dans la situation ou j'ai du intervenir suite à ce virus, c'était une nouvelle version 0-day...qui n'a pas spécialement attaqué les stations de travail (30-50pc) mais directement attaqué tout les chemin réseaux jusqu’au serveur: toute la partie data du serveur a du être restaurée.. une bonne partie était infecté de différentes manières ; une partie crypté, l'autre infectée de diverse manières (propage encore plus le truc ).
Virus / ransomware vraiment incroyable et très vicieux.
Cliquez pour agrandir...
j'ai eu pareil chez un client c'est monté jusqu'au serveur via un poste et ça te crypte toute ton arborescence. Ca te propose de payer en bitcoin sur Tor...
 
Sebulba

Sebulba

Dieu
Staff
Ça donne envie de bien re réfléchir à son backup de NAS ... Je le ferais ...
 
Connectez-vous pour réagir !
Haut