[QUESTION] Quel virus peut bien générer une chose pareille ?

[Montesquieu]

Bonjour,

Une amie a remis en route l'ordinateur de son beau-frère décédé il y a 4 ans (personne d'autre que mon amie il y a quelques jours et moi hier n'y a touché depuis) et a voulu savoir s'il y avait des photos qu'elle pourrait redonner aux proches de son beau-frère. Le problème, c'est que toutes ses photos (.jpg) ont été substituées par des images à caractère pornographique. Je préside l'extension parce que les photos .png n'ont pas été affectées. Quand je dis toutes, c'est toutes, les noms des fichiers correspondent aux photos d'origine. Toutes sauf celles qui étaient dans une archive zip et qui m'ont permis de constater que les noms des photos étaient les mêmes. Pour ce qui est des fichiers image, la résolution était étonnante (entre 681 et 683*1024 - toutes au format portrait) mais elle pesaient assez lourd pour des fichiers de cette résolution et de cette qualité (de 5,4 à 5,8 Mo en moyenne). Sur les photos que j'ai trouvé dans le zip, elles faisaient toutes 3872 x 2592 (toutes au format paysage) et pesaient dans les 7,5 Mo.

Avez-vous une idée du genre de virus qui peut causer des choses pareilles ?

La machine est sous Windows 7 SP1 et les mises à jour n'avaient pas été faites depuis novembre 2015 (peut-être deux ou trois mois avant son décès). Il utilisait Norton AV et n'utilisait pas de logiciels crackés.

A priori, il n'était pas un habitué des sites porno, son historique de navigation ne contenait aucun site particulièrement intriguant et, étant veuf depuis plusieurs années, il n'avait pas à masquer son activité à qui que ce soit... Rien de ce côté là. J'ai pensé à une pièce-jointe dans sa webmail mais il était le seul à y avoir accès.

[ThiWeb]

Essaye de voir la version précédente des dossiers contenant les images en question...

Sinon, ça sent le cryptolocker.
Mais je ne savais pas qu'une version porno existait...
En 2015 surtout... c'était les tout premiers... Windows 10 venait de sortir.

Norton ?... Tss tss... quelle idée d'utiliser une daube pareille ?
Et pas de sauvegarde ?

ThiWeb

[Montesquieu]

Essaye de voir la version précédente des dossiers contenant les images en question...

Je n'ai pas de version précédente. Hormis l'archive zip qu'il avait fait en 2012 et qui m'a permis de voir que les noms des fichiers corrompus correspondait bien à celui des photos, je n'ai rien. Il a commencé à créer des images de restauration à partir de juin 2015 mais toutes ces images de restauration contenaient ces images...

En 2015 surtout... c'était les tout premiers... Windows 10 venait de sortir.

La machine est sous Windows 7 SP1 et, à l'époque, elle était à jour. Windows Update était en mises à jour automatiques donc, pas de souci à ce niveau-là.

Norton ?... Tss tss... quelle idée d'utiliser une daube pareille ?

C'était un prof de l'Education Nationale à la retraite... Norton est très souvent utilisé sur les postes informatiques dans les collèges et lycées... Il a utilisé ce qu'il connaissait. Il aurait mieux fait de ne rien mettre, ce serait revenu au même.

Et pas de sauvegarde ?

Hormis l'archive zip dont je te parlais, rien qui ne soit pas infecté. C'était rageant.

Sinon, ça sent le cryptolocker.
Mais je ne savais pas qu'une version porno existait...

Est-ce que ça pourrait expliquer la présence de fichiers .wbcat, .wbverify et .DS_STORE sur cette machine ?

[ThiWeb]

.DS_STORE
C'est issu d'un disque dur ou d'une clé USB de mac.

.wbcat ce sont des "Microsoft Windows Backup Information Format".
.wbverify correspond à "Microsoft Windows Backup".

Il faisait donc des images avec l'outil Microsoft intégré à Windows 7 ?
A voir de ce côté-là ?...

T'as pas une autre session sur ce PC, genre temporaire, créée avant une MAJ qui contiendrait tous les fichiers ?
Equivalent de Windows.old sous W8/10...

ThiWeb

[Joselito]

@Montesquieu, Thiweb,
Ce virus est une espèce de bitte-locker en somme.

[Montesquieu]

.DS_STORE
C'est issu d'un disque dur ou d'une clé USB de mac.

C'est aussi ce que j'ai lu sur Internet... Mais il n'a jamais eu de matériel Apple... C'est une des choses que je ne m'explique pas.

T'as pas une autre session sur ce PC, genre temporaire, créée avant une MAJ qui contiendrait tous les fichiers ?

C'est pire que ça... Dans cette machine, il y a 2 disques durs de 1To, un nommé Sys qui contient un Windows 7 non fonctionnel (Windows 7 se lance puis l'ordinateur se fige sur l'écran de connexion) et un autre disque nommé Sys_old contenant le Windows 7 SP1 dont je parlais. Sur SYS, j'ai trouvé les fameuses photos verolées et les fichiers DS_Store et sur SYS_OLD, j'ai trouvé l'archive zip et les fichiers .wbcat et wbverify.

Pour ce qui est des sessions, sur SYS, il n'y en avait qu'une (JP) mais sur Sys_old, il y en a deux (JP et Administrateur.JP) mais les deux sont dotées des droits administrateur. Pourquoi a-t-il fait ça ? J'en sais rien... A quoi ça lui servait ? J'en sais rien non plus...

@Montesquieu, Thiweb,
Ce virus est une espèce de bitte-locker en somme.

GG !!!

[dee-pee]

Y a-t'il la possibilité de faire une restauration système à une date antérieure ?

Suivant la date des photos ça pourrait peut-être aider ...

[LaDidi21]

@Montesquieu :
Poste une des images pour voir ?
L'image originale est, peut-être, encore dedans ?
+1 / Joselito : un genre de bite-locker .

[Elende]

C'est très probablement fesses book

https://www.rtl.be/info/magazine/hi-tec ... 30887.aspx

[Joselito]

@LaDidi21,
Exact, le mot argotique ne s'écrit qu'avec un seul "t" contrairement à la bitte d'amarrage.
Mille excuses.
Ce n'est pas non plus un mot que j'écris souvent.

[Montesquieu]

L'image originale est, peut-être, encore dedans ?

Quelque chose comme Steghide... Je ne pourrai pas te dire ça tout de suite parce que je n'ai pas accès à la machine mais je regarderai ça la prochaine fois que j'y aurai accès.

Y a-t'il la possibilité de faire une restauration système à une date antérieure ?

Il a été infecté entre mars 2012 (date de l'archive zip que j'ai trouvé sur Sys_old) et juin 2015 (date du 1er point de restauration accessible). J'avais espéré aussi mais non...