[TUTO] Récupérer ses fichiers cachés par un malware sur clé USB

[Le PoissonClown]

Comment retrouver ses fichiers sur sa clé USB après un virus qui les a tous cachés ?

Certains virus "remplacent" tous vos dossiers et documents sur clé USB par un raccourci vers son amorce d'infection.  C'est vraiment une plaie pour récupérer ensuite vos documents, car ils sont tous cachés et attribués à des fichiers systèmes (donc rendus invisibles). Et il faut alors changer les options de Windows pour pouvoir les retrouver, puis changer les options de chaque fichiers en ligne de commande… La grosse galère !

Mais avant ça, voici les bons réflexes à avoir :

D'abord, il ne faut surtout pas débrancher sa clé directement : il se peut que le programme d'infection soit encore en cours de lecture. Et si vous la débranchez à ce moment-là, vous risquez de corrompre le stockage (et perdre tout ou partie de vos données).
Ce qu'il faut faire : fermez toutes les fenêtres et tentez d'éjecter la clé (clic droit dessus - Éjecter, ou en passant par la barre de notifications). Si le système vous signale qu'elle est déjà utilisée, laissez-la branchée.

Ensuite, il faut arrêter l'amorce d'infection :
Redémarrez l'ordinateur en mode sans échec, comme ceci.
Puis faites une analyse avec Malwarebytes par exemple (clé branchée).

Enfin, une fois que le nettoyage a été effectué, redémarrez en mode normal. Nous allons afficher vos documents :

Ouvrez le bloc-notes (+R, taper « notepad » et valider), et copiez-collez ces lignes de code :

Révélation

@echo off
color 3B
title Retrouver ses fichiers
cls
echo.
echo .... ::: RETROUVER SES FICHIERS ::: ....
echo ----------------------------------------
echo Ce script permet d'afficher ses fichiers
echo disparus suite a leur masquage par un
echo malware qui les a tous mis en attributs
echo caches et systeme.
echo ----------------------------------------
echo.
set endroit=dans un sous-dossier
if exist "System Volume Information" set endroit=a la racine du lecteur
if exist pagefile.sys set endroit=a la racine d'un lecteur systeme
echo Vous avez mis ce programme %endroit%.
:menu1
echo.
echo :: QUE VOULEZ-VOUS FAIRE ? ::
echo.
echo 1) Tout de-masquer
echo 2) Re-masquer un element systeme
echo 3) Vider le texte ci-dessus
echo 4) Quitter
set /p menu1=Entrez le chiffre de l'option :
if "%menu1%"=="1" goto :unhidall
if "%menu1%"=="2" goto :hideone
if "%menu1%"=="3" cls & goto:menu1
if "%menu1%"=="4" goto :quit
echo.
echo Euh... Votre saisie est nulle. Recommencez :
goto :menu1

:unhidall
if "%endroit%"=="a la racine d'un lecteur systeme" goto :pafounon
echo.
echo Affichage de tous les elements...
attrib -s -h /D /S *.*
echo Re-masquage des fichiers systeme connus...
attrib +s +h /S desktop.ini
attrib +s +h /S AlbumArtSmall.jpg
attrib +s +h /S Folder.jpg
attrib +s +h /S Thumbs.db
if "%endroit%"=="a la racine du lecteur" attrib +s +h Autorun.inf
if "%endroit%"=="a la racine du lecteur" attrib +s +h "System Volume Information"
attrib +h /S AppData
attrib +s +h /S ntuser.*
echo.
echo Voila ! Fin du processus.
echo Retournez verifier vos fichiers (touche F5 pour actualiser).
echo.
echo _____________________________
goto :menu1 

:pafounon
echo.
echo ALERTE : Vous etes sur un lecteur systeme !
echo Par precaution, ne lancez le programme que depuis le dossier d'utilisateurs :
set cible=Users
if not exist "Users" set cible=Documents And Settings
if not exist "Documents And Settings" goto :error
echo .\%cible%
goto :quit

:hideone
echo.
echo Saisissez l'adresse de l'element systeme a masquer :
echo (Sans guillemet, depuis l'emplacement en cours ou depuis la lettre du lecteur.)
set /p uri=Adresse de l'element :
attrib +s +h "%uri%"
echo.
echo Voila !
goto :menu1

:error
echo.
echo Erreur inattendue.
goto :menu1

:quit
echo.
echo Bonne continuation. Au revoir.
echo.
echo Fin du programme, appuyez sur une touche pour quitter...
pause>nul
exit

Enregistrez le tout (sur le bureau par exemple) en finissant par « .bat » et en encadrant le nom de guillemets. Exemple : « "Retrouver mes fichiers.bat" ».

Copiez ce fichier de commandes et placez-le dans votre clé USB. Puis lancez-le et suivez le guide. Il vous permettra de tout ré-afficher d'un seul coup le contenu de votre clé.

Si vous ne retrouvez pas vos fichier, il peut s'agir d'un autre virus qui chiffre vos documents ou qui les supprime. Dans ce cas, tournez-vous vers un logiciel de récupération tel que Recuva. Ou alors consultez ces quelques ressources de récupération au sujets des virus crypto-lockers.

Bonne récupération !

Modifié le 3 octobre 2017 par Le PoissonClown
Ajout d'images

[Firebird]

Bonjour @Le PoissonClown
Cette astuce est ben plus que cela et aurait toute sa place dans un tutoriel sur ce forum.

Modifié le 2 octobre 2017 par Firebird

[Le PoissonClown]

Bonjour @Firebird,

C'est vrai qu'il fait un peu long pour une petite astuce. Je le transforme en sujet.

Merci.

[Firebird]

Hello,
C'est surtout mieux, je vais récupérer le lien illico, n'oublie pas de l'indiquer ici, il rejoindra ma base de données perso de 300 pages à présent.
Edit : c'est déjà fait... je récupère donc le lien.

Hello, le titre de ton tuto n'est pas assez explicite à mon sens :
Récupérer ses fichiers cachés par un malware.. il faudrait ajouter sur une clé USB.

Modifié le 2 octobre 2017 par Firebird

[Le PoissonClown]

 Requête de modération modification exaucée !

Titre modifié !

Modifié le 2 octobre 2017 par Le PoissonClown
Si tu veux...

[Firebird]

il y a 4 minutes, Le PoissonClown a dit :

 Requête de modération exaucée !

Titre modifié !

Hello, de modération ? de modification plutôt, non  ?