Le logiciel escroc CTB Locker ou comment décrypter les fichiers cryptés

CTB Locker

Le logiciel escroc CTB Locker (qui se trouve également parfois sous le nom de Critoni ou CBT Locker) a d’abord été remarqué en Juillet 2014.Ce virus a pour objectif de crypter divers fichiers et demande une rançon pour les décrypter. Presque toutes les versions de Windows, incluant Windows XP, Windows Vista, Windows 7, et Windows 8 peuvent être affectées par ce logiciel escroc. L’attribut exclusif de ce logiciel malveillant est qu’il communique avec le serveur de Commande et de Contrôle sur TOR. Fait intéressant – tout le monde peut acquérir CTB Locker en ligne pour environ 3000$ US. Pour cette somme d’argent, vous obtiendrez le kit basique et une assistance totale des créateurs de CTB Locker sur comment tout paramétrer correctement. Cela signifie que beaucoup de versions de ce virus avec une apparence différente peuvent être libres.

Tous les fichiers cryptés par Critoni sont définis au format CTBL et il est impossible de les ouvrir. Une fois installé, ce logiciel escroc analysera votre ordinateur pour trouver quels fichiers vous avez dessus puis en crypter la plus grande partie (pas nécessairement tous). Ce qu’il se passe après est qu’une grande fenêtre est affichée sur votre écran. Cela ressemble à ça (voir dessous). Cela affirmera que vos dossiers personnels sont cryptés et si vous les voulez de nouveau,, vous devrez payer une rançon d’environ 120$ US. Les paiements sont effectués à l’aide du système de paiement Bitcoin.


CTB locker

Si votre ordinateur est infecté par Critoni, vous devriez être en mesure de voir un dossier avec un nom aléatoire dans le dossier %Temp% de votre ordinateur. Ce logiciel malveillant débutera à chaque fois que vous vous connecterez dans votre système. CTB Locker utilise une cryptographie à courbe elliptique pour crypter les fichiers des utilisateurs et c’est une façon assez unique de procéder. Une fois que CTB Locker a fini d’analyser votre système et de crypter des fichiers, il vous apparaîtra un message avec des instructions sur comment payer l’amende. De plus, votre fond d’écran sera changé pour le fichier %MyDocuments%AllFilesAreLocked .bmp, où vous trouverez une information détaillée sur comment payer une amende. D’autres fichiers seront également créés et accessibles pour l’utilisateur – %MyDocuments%DecryptAllFiles <user_id>.txt et %MyDocuments%.html. Vous y trouverez les informations nécessaires pour obtenir le site internet officiel du logiciel malveillant et procéder au paiement. Parce que le rapport avec le serveur de commande et de contrôle est exécuté exceptionnellement que par le TOR et pas par Internet, il est plus compliqué d’appliquer la loi pour suivre ce logiciel escroc. Cependant, ce n’est pas impossible. Vous devriez également savoir qu’à chaque fois que vous redémarrerez votre système, le logiciel malveillant CTB Locker se copiera lui-même avec de nouveaux noms aléatoires dans %Temp% donc, il est possible de retrouver des tonnes de dossiers aux allures étranges par là.

Maintenant, la première étape lorsque vous réalisez que votre ordinateur est infecté par le logiciel escroc Citroni – analysez votre système avec un anti logiciels malveillants fiable, tel que Spyhunter ou malwarebytes. Le plus tôt sera le mieux. Il est très difficile de trouver cette application malveillante sur votre ordinateur jusqu’à ce que l’écran avec le message que vos fichiers ont été cryptés ne surgisse, donc il serait sage de de temps en temps afin d’éviter que cela se produise. Cependant, si vos fichiers sont déjà cryptés, vous pouvez toujours analyser votre PC et au moins supprimer l’infection, ainsi, aucun nouveau fichier ne sera généré à chaque fois que vous redémarrerez votre Windows. Dans le cas où vous voudriez procéder manuellement, vous devez supprimer tous les exécutables du dossier %Temp% et supprimer le travail caché dans le Gestionnaire de tâches de Windows. Remarquez que cela ne fera que supprimer le virus et aucun des fichiers déjà cryptés ne seront décryptés. Pour le moment, il n’y a pas de méthode connue pour décrypter les fichiers cryptés par CTB Locker. Il y a beaucoup d’outils développés pour décrypter les fichiers cryptés par d’autres logiciels malveillants, mais ils ne sont pas capables de décrypter les fichiers cryptés par CTB Locker. Il y a seulement deux façons de récupérer vos fichiers cryptés – soit payer l’amende, soit restaurer les fichiers à partir d’une sauvegarde. Ouvrez le fichier %MyDocuments%.html pour découvrir quels fichiers sont cryptés et ont besoin d’être restaurés.

Le message de CTB locker ressemble à ceci:

Your personal files are encrypted.%f0%%c0%

Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.

Si vous voyez la principale fenêtre, suivez les instructions indiquées. Autrement, il semble que vous ou votre antivirus ayez supprimé le programme. Maintenant, vous avez la dernière chance pour décrypter vos fichiers.

  1. Tapez l’adresse %c1%http://torproject.org%c0% dans votre navigateur internet. Il ouvre le site Tor.
  2. Appuyez sur ‘Télécharger Tor’, puis appuyez sur ‘TELECHARGER le lien pour le navigateur TOR’, installez-le et exécutez-le.
  3. Maintenant, vous avez le navigateur Tor. Dans le navigateur Tor, ouvrez %c1%http://%onion%/%c0%.
    Remarquez que ce serveur est disponible uniquement via le navigateur Tor.
    Réessayez dans une heure si le site n’est pas accessible.
  4. Ecrivez dans la clé publique suivante sous la forme d’entrée sur le serveur. Évitez les erreurs de frappe.
    %f1%%c1%%key%%f0%%c0%
  5. Suivez les instructions sur le serveur.

Ces instructions sont également sauvegardées dans le fichier nommé DecryptAllFiles.txt dans le dossier Mes documents. Vous pouvez l’ouvrir et utiliser le copier-coller pour l’adresse et la clé.

Comment décrypter les fichiers cryptés

Comme nous l’avons précédemment mentionné, il n’y a pas de possibilité de décrypter les fichiers qui ont été décryptés par CTB Locker. Si vous n’êtes pas prêt à payer une amende aux cyber criminels, vous pouvez restaurer les fichiers à partir d’une sauvegarde. Il y a de nombreuses façons pour accomplir cela.

La meilleure option est simplement de restaurer tous les paramètres du navigateur à partir d’une sauvegarde de Windows. Cependant, cela est possible que si vous avez réalisé une sauvegarde antérieurement. Si vous ne l’avez pas réalisée avant, vous ne serez pas en mesure de faire une restauration du système. Même si vous avez une restauration de fichiers valide, il pourrait être impossible de retrouver les fichiers perdus, si le répertoire dans lequel ils sont stockés n’est pas couvert par la sauvegarde Windows (vous pouvez choisir ceci dans les paramètres).


native Windows Previous Versions

La méthode suivante peut également être assez efficace. CTB locker ne fait pas que crypter le fichier – il en fait une copie, la crypte et supprime ensuite le fichier originel. Pour cette raison, vous pouvez utiliser un logiciel particulier pour restaurer les fichiers perdus. Par exemple, R-Studio ou Photorec pourraient réaliser cette tâche. Si vous vous demandez pourquoi il n’est pas recommandé d’attendre plus longtemps après que CTB locker soit entré dans votre système, c’est parce que plus vous attendez, plus il sera difficile de restaurer les fichiers pour retrouver vos fichiers supprimés et non cryptés.

Shadow Volume Copies


ShadowExplorer

Dans le cas où vous n’utiliseriez pas l’option restauration du système dans votre système d’exploitation, il y a des chances pour utiliser des copies photos instantanées fantômes. Ils stockent des copies de vos fichiers au moment où la photo instantanée de la restauration du système a été créée. CTB Locker essaie habituellement de supprimer toutes les Shadow Volume Copies possibles, mais, parfois, il échoue à cette tâche. Cela vaut la peine de mentionner que Shadow Volume Copy est uniquement disponible avec Windows XP Service Pack 2, Windows Vista, Windows 7, et Windows 8. Il y a deux moyens de retrouver vos fichiers via Shadow Volume Copy. Vous pouvez le faire en utilisant les versions originelles précédentes de Windows ou via Shadow Explorer.

Versions précédentes originelles de Windows


dropbox

Effectuez juste un clic droit sur le fichier crypté et sélectionnez Propriétés>Onglet Versions précédentes. Maintenant, vous verrez toutes les options disponibles de ce fichier en particulier et le moment où il a été stocké dans Shadow Volume Copy. Choisissez juste la version du fichier que vous voulez retrouver et cliquez sur Copie si vous voulez le sauvegarder directement vous-même ou Restaurer si vous voulez remplacer le fichier crypté existant. Si vous voulez d’abord voir le contenu du fichier, cliquez juste sur Ouvrir.

native Windows Previous Versions

Shadow Explorer

C’est un programme qui peut être trouvé en ligne gratuitement. Vous pouvez soit télécharger une version complète, soit une version mobile de Shadow Explorer. Ouvrez le programme et, dans le coin supérieur gauche, sélectionnez le lecteur où est stocké le fichier que vous recherchez. Ensuite, il vous sera montré tous les fichiers sur ce lecteur. Pour retrouver un dossier complet, clic droit dessus et sélectionnez l’option “Exporter” et choisissez où vous voudriez le stocker. C’est cela.

ShadowExplorer

Comment restaurer les fichiers qui ont été cryptés sur DropBox

Si vous avez l’habitude de stocker vos fichiers sur une DropBox (la plus connue, service de stockage de fichiers en ligne) et qu’ils ont également été cryptés, vous pouvez utiliser quelques astuces listées ci-dessous.

Pour retrouver les fichiers cryptés sur une DropBox, connectez-vous simplement à votre compte sur le site internet de DropBox. Puis, naviguez vers le dossier où se trouve le fichier que vous voulez retrouver. Clic droit sur le fichier et sélectionnez l’option Versions précédentes. Maintenant, vous verrez toutes les options précédentes disponibles d’un fichier donné (comme dans Shadow Volume Copies). Sélectionnez la version désirée et cliquez sur le bouton Restaurer.

dropbox

Origine: https://www.2-viruses.com/ctb-locker-ransomware-or-how-to-decrypt-encrypted-files

Lire "Le logiciel escroc CTB Locker ou comment décrypter les fichiers cryptés" dans d'autres langues

40 responses to “Le logiciel escroc CTB Locker ou comment décrypter les fichiers cryptés

  1. Bonjour, j’ai été victime du virus cbt locker mais je suis parvenu à récupérer mes fichiers qui ont été cryptés par celui-ci et ce de manière très simple.
    Bien à vous.

    1. Bnjour j’ai été victime de ce rançonneur et n’ayant pas fait de sauvegarde je n’arrive à rien récupérer si vous avez une solution pour récupérer mes photos se serait merveilleux merci

    2. Bonjour,
      J’ai malheureusement été infecté par CTB LOCKER.
      Celui-ci a été nettoyé de mon PC.
      Vous dites que vous avez réussi très simplement de récupérer vos fichiers.
      Vous serait-il possible de communiquer la méthode ?
      En vous remerciant d’avance.
      Très cordialement.
      André

      1. Vous pouvez restaurer vos fichiers uniquement si vous avez un fichier de sauvegarde valide stocké sur votre ordinateur.

    3. bonjour
      je viens de subir le même problème sur mon ordi xp
      je ne suis pas arrivée à récupéré une sauvegarde antérieure
      comment puis-je faire pour récupérer mes fichiers cryptés???
      Merci pour votre aide
      bien cordialement,

    4. Bonjour,

      J’ai tenté de récupérer mes fichiers contaminés mais visiblement je m’y suis prise trop tard… le virus avait déjà supprimé les versions précédentes de mes fichiers pour ne conserver que la version cryptée avec le préfixe kpodinn.

      Pourriez-vous m’indiquer comment vous avez procédé ?

      Merci d’avance,

      Bien à vous

      1. Cela pourrait être une nouvelle version de l’armoire. Essayez de déchiffreur d’ESET, peut-être ils ont changé le nom de fichier uniquement.

  2. Bonjour,moi je ne peux plus restaurer vue que mon ordi a était formaté mais j ai mis toutes mes photos et fichier sur une clef au cas ou quelqu’un aurait une solution pour les décrypter merci

    1. Bonjour kiki, éventuellement en me faissant parvenir un fichier vvv par email/autre : encrypted.file sur free.fr

  3. Bonjour, Tangar,
    Moi le virus m’a renommé tous mes fichiers en « vvv ». J’ai fait faire par une boite qui a formater mon pc portable et enregister tous les fichiers infectés sur un disque dure externe.

    Je ne sais pas comment faire pour récupérer mes fichiers. Pouvez vous m’aider svp. Merci

    1. Salut. Si vous voulez vous débarrasser de ce virus et de récupérer vos fichiers, tout d’abord analyser votre ordinateur avec SpyHunter pour enlever cette ransomware et autres virus qui pourraient être infiltrés dans votre système de .vvv ransomware et puis suivez les instructions données ici pour générer la clé de déchiffrement pour vos fichiers : http://www.bleepingcomputer.com/news/security/teslacrypt-decrypted-flaw-in-teslacrypt-allows-victims-to-recover-their-files/

    2. Bonjour HAAS, éventuellement en me faissant parvenir un fichier vvv par email/autre : encrypted.file sur free.fr

  4. Bonjour HAAS, éventuellement en me faissant parvenir un fichier vvv par email/autre : encrypted.file sur free.fr

  5. Bonjour,
    mes fichiers, plus de 40.000 photos ont été cryptés par ce genre de virus
    ils ont été nommés, par exemple, comme ça : 00F2FEDA0B010B3A0A85274E9DFF6636.2A06E
    Impossible de les rouvrir
    Est ce que quelqu’un connaitrait le moyen de les decrypter
    Merci

  6. Inutile vous casser la tête ! la solution existe . Elle été développée par Kaspersky.
    Sur le support Kaspersky utiliser cet outil : Rakhnidecryptor1.16.1.1
    en moins d’une heure vos fichiers seront récupérés.
    Et ça vous coûtera 0 centime !!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Guides de sécurité

Commentaires récents

Articles récents