[PROBLEME] Virus CryptoWall

[ThiWeb]

Bonjour,

Je suis face à un PC qui s'est fait infecté par CryptoWall.
Pour ceux qui ne connaitraient pas ce virus, c'est un des pires ransomware.

Il crypte vos fichiers avec une clé RSA-2048 et vous laisse des fichiers explicatifs vous permettant de décrypter vos fichiers.
Pour ça, un site internet semi bidon ou on vous propose de tester le décryptage d'un fichier pour l'exemple, mais surtout de payer 500$ pour décrypter l'ensemble.

On est sous Windows 7. Première chose que je tente, les version précédentes des fichiers. Et bien non, le virus est suffisamment malin pour avoir supprimé la fonction.
Il ne reste plus d'option facile...
Donc, trouver la clé de décryptage afin de décrypter l'ensemble des fichiers (plus de 8000 dans mon cas).
Sinon, il semblerait que le virus copie les fichiers, les cryptent, puis supprime les fichiers originaux pour ne garder que les fichiers cryptés au final...
Donc un logiciel de récupération de données, en version brute pourrait récupérer des bouts de fichiers ici et là, mais imaginez le tris à faire ensuite dans 8000 fichiers récupérés...
Dernière solution pour les cryptographes, comparer un fichier crypté et décrypté pour comparer la différence et en extraire la clé de décryptage.
Mais là, on dépasse de trop loin mes compétences... :$

Dernière solution pour la route, hacker le site internet du ransomware pour lui faire croire qu'on a payé sa connerie et obtenir le logiciel de décryptage pour les fichiers.

Bref, en désespoir de cause, je me tourne vers vous pour vos conseils et votre éventuelle aide.

Merci d'avance à tous.

ThiWeb

[FoxY]

Sinon, il semblerait que le virus copie les fichiers, les cryptent, puis supprime les fichiers originaux pour ne garder que les fichiers cryptés au final...
Donc un logiciel de récupération de données, en version brute pourrait récupérer des bouts de fichiers ici et là, mais imaginez le tris à faire ensuite dans 8000 fichiers récupérés...

Je pense que c'est une des seules éventuelles solutions.
Sors le disque du PC et mets le dans un autre PC et tente une récupération, en espérant qu'il n'a pas trop servit depuis qu'il est infecté...

[Stiouf]

Comment ton client a t'il fait pour chopper ça, il avait quoi comme AV ?

Sinon, tente de récupérer les fichiers avec ShadowExplorer

T'as bien nettoyé le pc au fait ?

[ScapO]

Slt,

extrait du forum malékale des fois que :

vincent-Cipher
Posté le 8 février 2014 à 3:14
Bonjour,
Pour ceux qui comme n’avait pas de sauvegarde de leur fichiers, j’ai trouvé une solution pour récupérer certains d’entre eux qui ont été corrompus par cryptorbit.
Il semble que cryptorbit ne crypte que l’entête des fichiers , tout du moins c’est ce que j’ai remarqué pour les JPG . Donc plutôt que de tenter de décrypter ce qui me parait peu probable sans la clé de cryptage… je suis parti du principe qu’une entête de fichier est « réparable » , donc 2 mots clé dans Google plus tard et je suis tombé sur pixrecovery qui m’a réparé toutes mes photos !
A voir si le principe est aussi bon pour les fichiers pdf, excel word …mais avec d’autres outils dans le même genre .
J’espère que cela pourra aider certains d’entre vous .

olive0
Posté le 12 février 2014 à 11:22
Bonjour,
une information intéressante : les photos sont récupérables via PixRecovery, j’ai testé plusieurs solutions mais c’est la seule qui tienne la route (bon mais cela vous le saviez déja).
J’ai examiné la structure des fichiers words (cryptés) et en fait le virus a utilisé la meme methode de « verouillage » que pour les photos (pour certains word pas tous bizarrement, mais il faut que je regarde de plus près). Il ne crypte pas mais modifie la structure d’entete du fichier et le pied de page. Donc ils devraient etre récupérables.

Yop777
Posté le 15 février 2014 à 11:28
A ce jour , on peut restaurer ce type de fichiers JPEG/JPG, .PDF, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX et .MP3 ici


http://www.bleepingcomputer.com/virus-r ... ion#shadow

[ThiWeb]

Merci pour l'info, mais cryptorbit n'est pas le virus qui nous concerne, celui qui nous concerne s'appelle CryptoWall en version 3 ! :(
J'ai testé à tout hasard, mais :

Code : Tout sélectionner

3rd repair method failed for file ci bc_crypte.pdf, Exhausted all methods, Cannot be repaired, Moving on...

ThiWeb

[LaDidi21]

@ThiWeb:
Salut,

RSA-2048 : tu oublies pour trouver la clé de chiffrement.
Soit ton client a des sauvegardes, soit il paye... soit il prie !
Tu peux toujours poster quelques fichiers cryptés (diverses extensions) pour voir si cette bouse de RW ne crypte que l'entête ? Mais ne rêve pas trop.

Les produits de OfficeRecovery.com peuvent aider.
EasyRecovery FileRepair peut aider pour les vieux fichiers.

:ugeek: Ton client devrait utiliser SandBoxie.

@+
________________________________________________________________________________

@Stiouf:
Bonsoir,

Un crypto-virus ne peut pas toujours être détecté.
Crypter un fichier n'est pas "illégal" au sens technique.

@+

[Petrus]

Sur Malekal il y a pas mal d'explications, http://www.malekal.com/2014/01/27/crypt ... owdecrypt/
fait pas gaffe à l'adresse, le lien que j'ai mis parle bien de "cryptowall"

[karytuo]

Salut Thiweb, sur Korben il y a un article qui parle de CryptoWall et autre... A voir

http://korben.info/pages/Cryptolocker/Cryptolocker.html

Bonne soiré et à bientôt.

K.

[ThiWeb]

Déjà, merci à tous pour vos réponses.

@LaDidi21 : Je sais qu'il est illusoire d'envisager de casser un cryptage RSA-2048.
Concernant mon client, ce n'est justement pas mon client...
C'est un potentiel futur client, et cet impossible test est/était mon test d'entrée dans la place
Pour les fichiers, j'ai déjà eu du mal à en trouver des sains (pour le comparatif), mais après une vérification des pièces jointes des mails, j'ai pu en sortir deux.
Je possède donc 5 fichiers au total.
2 cryptés et 2 originaux + 1 qui a été décrypté (généreusement) par l'offre gratuite de ce connard.
Le tout ici : https://www.dropbox.com/sh/ekzmqflb3ya4 ... 0AKma?dl=0
Pour ce qui est de la récupération de données, je n'ai plus la machine en accès car l'incompétent service technique de la boite en question a embarqué la machine aujourd'hui, ce qui ne laisse plus beaucoup d'options.
Par contre, la "cliente" a sauvegardé TOUS ses fichiers cryptés... On ne sait jamais...
Mais bref, j'ai tout de suite pensé à Ontrack et ses variantes évidemment...
C'est à mon sens la seule solution qu'il reste à ce stade.
J'ai vu ton SandBoxie, très intéressant si ce n'est pas contraignant pour l'utilisateur final.
Et pour moi-même, j'y reviendrais dans un nouveau post que je créerais.

@Petrus : Merci pour ton lien, très intéressant sur les mécanismes de ces merdes infâmes !
Mais pas de solutions proposées...

@karytuo : Encore plus intéressant pour l'histoire, et un maigre espoir pour les outils proposés, mais malheureusement, sans résultat...

Je crois qu'il va falloir renoncer... C'est le pire virus que j'ai pu voir et qui m'aura donné l'occasion de réfléchir sérieusement à la sécurité de mes propres données.
Même si il faut reconnaître qu'il est plus qu'improbable qu'un tel phénomène se produise sur mon poste.
Mais bon, comme on dit : On ne sait jamais !

ThiWeb

[LaDidi21]

@TW:
(re)

Les fichiers crypés ont le même header de 16 octets.
Tout le fichier est crypté avec la clé, pas seulement le header !
La signature "%PDF-1.3" identique des 2 fichiers n'apparait pas sur les 2 fichiers cryptés => Le même texte n'est pas crypté de la même façon...

Je doute qu'une solution existe...
Sauf à, peut-être, trouver la structure du fichier crypyé en debuggant l'application qui crypte ?

[ThiWeb]

trouver la structure du fichier crypyé en debuggant l'application qui crypte ?

Faudrait-il encore l'avoir cette "application" qui crypte...
Le virus est parfaitement propre et s'auto-supprime à la fin de son travail... Donc plus de trace de son passage dans l'ordinateur après l'attaque.
A part un fichier PNG et HTML redirigeant vers le serveur sur connard. :$

Il arrive parfois qu'on se confronte à l'impossible...

ThiWeb

[LaDidi21]

@TW:

0x00 0x14 SHA1 hash of ‘\x00’*4 followed by the next 0x100 bytes (the “file header”)

Vu que les 0x150 1ers octets des 2 fichiers décryptés sont identiques, le SHA-1 des 2 fichiers cryptés devrait être identique...
=> Rien à voir avec CryptoLocker...

Faudrait connaître un spécialiste en crypto.

[ThiWeb]

Faudrait connaître un spécialiste en crypto.

Ah ça, je n'en doute pas...
Mais même en connaissant un expert en cryptographie, il faudrait derrière une délirante puissance de calcul.

Pour l'anecdote croustillante, j'ai trouvé une vidéo YouTube d'un mec qui prétend pouvoir casser le code en bidouillant le site du connard :

http://www.youtube.com/v/a-550YcY3uE

Sauf que dans sa vidéo, il indique un code de paiement que personne n'a.
Ce qui au premier coup foire, mais au deuxième coup réussi... sans payer...

Mais tout ça n'est pas très clair.
Dans le doute, et surtout à cours de solution, j'ai décidé d'écrire au mec qui m'a répondu direct ! Et se proposait de m'aider.

Et après quelques échanges, le mec m'affirme qu'il peut trouver ma clé en 24/48 heures, juste avec mon identifiant.
Cerise sur le gateau, le mec m'invite à noter qu'il serait bon de le rétribuer pour ce service.
J'approuve et lui demande combien.
Réponse de sa part : 350 € en Bitcoins ! Tiens tiens ! Encore des Bitcoins !
Conclusion : L'auteur de cette vidéo EST le connard en question !!

Morale de cette histoire, je pourrais passer par là pour gagner déjà 150 € lol ( 350€ au lieu de 500$ )

EDIT : Réponse cinglante est sans appel de Ontrack, "on ne peut RIEN récupérer" :|
Donc même avec une théorique récupération de données en laboratoire, Ontrack avoue lui aussi ne RIEN pouvoir faire, c'est fou ! :|

On semble vraiment s'acheminer vers une incapacité absolue à résoudre ce problème...

ThiWeb

[ThiWeb]

Dernier mail du mec sur YouTube, répondant à mon dernier message qui disait que le prix qu'il me demandait était trop élevé :

i started finding the private key for you to decrypt your files 18 hours ago bcos i thought ur realy interested on my service... i dnt want the progress to be wasted i keep running my computer for several hours for no profit.. so i decided to drop my price... this is better than nothing... u fine with with 130 usd? or 120 eur very cheap compared to the asking ransom which is 500 usd ..

120€ ça commence à être très accessible vous ne trouvez pas ?
Ok ok, je sais que ce mec est l'enfoiré qui a développé le virus, mais sachant qu'il n'y a absolument aucune solution alternative... qu'en pensez-vous ?

ThiWeb

[LaDidi21]

@ThiWeb:
Soit il connait la clé privée et il peut te la donner (vendre, ...)
Soit c'est un baratineur car il est impossible de "trouver" une clé privée ! Même avec un Cray One et 18 h de compute.

[Azamat]

Petit encart dans ce thread :

Il sera intéressant d'avoir avant clôture du topic, une synthèse permettant de savoir comment s'attrape ce virus et comment on peut (ou ne peut pas) s'en prémunir.
Je trouve cela ignoble, d'autant plus que j'ai un gros doute sur le fait que cet odieux connard donne une clé de décryptage. Je pense qu'il doit s'en battre les couilles des dommages qu'il provoque.

Je ne connais pas le fonctionnement des bitcoins. Il y a un anonymat total ? Aucune possibilité de faire bloquer le compte ? Mais, que font les Anonymous ?

[MisterBlack]

Existe t il un logiciel capable de trouver les clefs en comparants un fichier sain et un fichier crypté?

[qwerty75]

cliquer sur l'image

[Kuroro]

120€ ça commence à être très accessible vous ne trouvez pas ?
Ok ok, je sais que ce mec est l'enfoiré qui a développé le virus, mais sachant qu'il n'y a absolument aucune solution alternative... qu'en pensez-vous ?

Perso je paierai jamais quelqu'un qui a bousillé ma bagnole pour qu'il me la répare... surtout quand on a aucune garantie que le gars en question puisse la réparer

[ScapO]

Perso je paierai jamais quelqu'un qui a bousillé ma bagnole pour qu'il me la répare... surtout quand on a aucune garantie que le gars en question puisse la réparer

Clair !

[MisterBlack]

Je pense que cette daube dans un premier temps crypte les fichiers et ensuite efface les originaux, comme le faisait CTBlocker..
Il peut y avoir une solution par un log de récupération de fichier effacé, a tester

[Kuroro]

Ou alors, les fichiers ont été remplacés par des vides.
Un petit utilitaire sait faire (je sais plus s'il était sur ce forum).
Ca créé des fichier de n'importe quelle extension et les remplit avec du vide jusqu'à avoir un fichier à la taille demandée...

[qwerty75]

Disgressions...

Perso je paierai jamais quelqu'un qui a bousillé ma bagnole pour qu'il me la répare...

Et si c'était une Ferrari dont la réparation avoisinerait le prix d'une bagnole standard ?
Finalement, c'est principalement une question de prix ou de valeur qu'on attribue aux dommages occasionnés. Que représentent pour vous les données que vous perdez ?
On ne veut pas payer par principe, c'est louable.
Il parait pourtant qu'il existe des états disant qu'ils ne payeront jamais les rançons et qui finissent toujours par douiller...

les fichiers ont été remplacés par des vides.
Un petit utilitaire sait faire (je sais plus s'il était sur ce forum)

Une simple ligne de commande suffit pour faire des fichiers vides de n'importe quelle taille. Exemples :

un .txt de 5 MO
un .png de 5 Mo

[Kuroro]

C'est un professionnel, il doit lui apporter une solution professionnelle.
Dans le pire des cas, si ThiWeb fait une intervention "qui n'est pas dans les règles de l'art", il faut qu'elle vienne de lui. Car si son client à le moindre problème, il doit pouvoir lui répondre du tac au tac vis-à-vis de l'intervention qu'il a effectué chez lui, sinon ça ne fait pas sérieux.

En plus un gars assez doué pour sauver ces données vu le problème, il l'est assez pour les plomber par la suite, moi je n'aurai absolument pas confiance.
N'oublions pas que c'est ThiWeb qui sera face au client, ni vous, ni moi, ni personne d'autre, mais lui.

Un professionnel doit :
1. Connaître son métier.
2. Bien rediriger une personne quand lui-même ne saurait apporter une solution.
3. Quand il ne peut pas faire quelque chose, il le dit clairement (au bout d'un moment il ne peut pas s'improviser magicien).

Dans le meilleur des cas il peut lui expliquer les backup, quel matériel acheter, comment procéder pour l'avenir.

Enfin bref je m'éloigne du sujet.
ThiWeb, si je peux me permettre un conseil en employant ton vocabulaire :
"Sois tu peux sortir ton client de la merde par des moyens propres et sûrs, sois tu ne peux pas, point barre."

[Azamat]

[quote="qwerty75"]

Voilà pourquoi je n'exécute pas de keygen hors d'une sandbox (sauf éventuellement ceux recommandés ici par les personnes en qui j'ai choisi d'avoir confiance).
Korben a fait un dossier sur le sujet. Est cité un logiciel préventif Cryptoprevent. J'ai du mal à me faire une idée sur son efficacité - surtout en version gratuite - immédiate et dans le temps. Quelqu'un connait ?

[ThiWeb]

Merci pour vos réponses très exhaustives.
L'idée d'envoyer un fichier au nouveau connard de YouTube pour savoir si effectivement il peut décrypter les fichiers, c'est pas mal.
Je saurais à ce moment là si le mec me baratine ou non.

@LaDidi : Je sais très bien que ce mec n'a pas pu retrouver la clé et qu'il faudrait un Cray 1 ou 2 même pendant des jours de calculs.
Mais si ce mec est LE connard alors il a bel et bien la clé.
Et comme je l'ai dit, 150€, ça commence à être accessible. Mais c'est au client de voir.

Et si ce mec me décrypte un fichier au hasard, alors c'est que c'est bon.
Reste à voir si on prend le risque ou pas.
Mais encore une fois, c'est au client de voir si ses données valent ce risque ou non.
Dans la plupart des cas, c'est le cas...

ThiWeb

[LaDidi21]

@ThiWeb:
+1 : c'est au client de choisir.
Dans le lot de fichiers que tu lui enverrais, mets-en un inutile et contenant une erreur (1 octet modifié) pour voir...

[bobun1]

Ce que tu dis PPR est la logique même, reconnais cependant que l'argument de Kuroro est inattaquable et que dans l'absolu c'est LA solution.
Mais le chef est le chef avec ses contradictions...
(ceci dit, je préfère ma place que la sienne pour le moment)

Un truc me chiffonne un peu : où est l'assurance que le mec une fois payé ne remette pas le couvert, en se disant que c'est vendu d'avance?