infection GandCrab [Randsomware]

[vinz51]

bonjour,

je me tourne vers vous car je ne trouve pas la solution a ma desinfection...

j'ai nettoyé avec malware byte, adwcleaner, avira antivirus....mais j'ai toujours au démarrage un .txt gandcrab qui s'ouvre et, énormément de mes fichiers ont été modifié en .gdcb a la place de .jpeg etc etc

 

voici des rapport qui sont généralement demandé par les forums d'entraide:

FRST.txt 

Addition.txt

Shortcut.txt

ZHPDiag.txt

et le fameux .txt de gandcrab GDCB-DECRYPT.txt

 

voila merci bcp de votre aide

vinz

[S@T]

re 

honnêtement je n'ai pas lu les fichiers joints mais si j'ai bien compris il s'agit d'une menace grave genre ransomware !

si les points de resto de la protection système avec les versions précédentes de fichiers ont sautés en vol, ça va être très difficile de récupérer les tofs ... 

peut être une solution avec photorec ?

en attendant mieux bonne continuation

 

@+

[Le PoissonClown]

Salut !

Si tu es sous Windows 10, suis ce tuto pour redémarrer en mode sans échec :
https://lecrabeinfo.net/demarrer-windows-10-en-mode-sans-echec.html

Si tu es sous Windows 7, redémarres ton PC. Et au démarrage, frappes (frénétiquement) la touche [F8] jusqu'à tomber sur un menu de choix. Choisis alors "Mode sans échec avec prise en charge réseau" (valider avec la touche [Entrée]).

Une fois en mode sans échec connecté :

1. Télécharges Malwarebytes depuis une source sûre, puis lances l'installation.
2. Une fois terminée, lances une analyse afin de désinfecter la machine.

Si l'outil ne parvient pas à supprimer GrandCrabe, des tutos en anglais préconisent SpyHunter, mais je n'ai pas tellement confiance en ce logiciel alarmiste.

Une fois la machine désinfectée, il est temps de déchiffrer les fichiers avec cet outil de Kaspersky par exemple.

Sinon, as-tu des sauvegardes de tes documents ?

Modifié le 17 février 2018 par Le PoissonClown
Meilleure formulation

[vinz51]

tout d'abord merci de vos reponses.

je vais tenter malwarebyte en mode sans echec dans un premier temps

[S@T]

je suis pessimiste sinon perplexe

si MBAM arrive à faire quelque chose de plus ce sera supprimer le fichier texte pour toute nouvelle connexion

mais il ne va pas décripter les fichiers

par contre certains cryptovirus ont leur clef de décryptage connue et oui il existe des antidotes pour ceux là seulement

mais comme dit @Le PoissonClown rien de mieux qu'une bonne sauvegarde déconnectée pour se prémunir de ces saloperies !!

[Le PoissonClown]

il y a 11 minutes, S@T a dit :

MBAM […] ne va pas décripter les fichiers

Non, ça c'est sûr !

il y a 12 minutes, S@T a dit :

certains cryptovirus ont leur clef de décryptage connue et oui il existe des antidotes pour ceux là seulement

Voilà, c'est ça : il faut tester les outils de déchiffrement. Après celui de Kasper, il y a aussi celui de Trend Micro qui a une couverture assez large.

[vinz51]

alors j'ai fait MBAM en sans echec il m'a rien trouvé a part les 2 log que j'avais telechargé il y a peu (spyhunter et un autre) que j'avais trouvé sur des sites parlant de Gandcrab... mais apres avoir installé, ca me fait le scan et me demande de rentrer mes coordonnés et compte pour nettoyer..... gné

du coup je suis de retour a la case depart.

le truc c'set que si je fait une sauvegarde des fichiers word excel etc :

1) j'ai peur d'infecter mon disque dur externe,

2) les fichiers sont tous corrompu en .GDCB donc meme un formatage ne m'avancerai peu, 

à moins que je ne me trompe?

[Le PoissonClown]

il y a une heure, vinz51 a dit :

j'ai fait MBAM en sans echec il m'a rien trouvé a part les 2 log que j'avais telechargé il y a peu (spyhunter et un autre) que j'avais trouvé sur des sites parlant de Gandcrab...

Zut !

il y a une heure, vinz51 a dit :

le truc c'set que si je fait une sauvegarde des fichiers word excel etc :

1) j'ai peur d'infecter mon disque dur externe,

2) les fichiers sont tous corrompu en .GDCB donc meme un formatage ne m'avancerai peu, 

Non, je te demandais si tu avais une sauvegarde de tes documents. Si c'est le cas, on ne cherche pas à récupérer le système, on écrase tout en réinstallant Windows et adieu infection.

Ne branches surtout pas de support de stockage lorsque Windows est en marche sur ta machine, car tu pourrais en effet les contaminer.

Je suis désolé, je ne vois pas trop comment désinfecter ton système… Il faudrait que je sois en face de la machine.
Je te suggère de ne plus l'utiliser qu'en mode sans échec. En mode normal, elle doit certainement continuer à chiffrer les documents.

 

[vinz51]

au point ou j'en suis j'ai tenté spyhunter mais c'est de la **** ca scan et apres faut payer pour nettoyer ^^

je tente avec spybot...

j'ai regardé dans les parametres et la sauvegarde n'etait pas activée donc il n'y a nul part une copie bonne des fichier word et excel... c'est le pc pro d'un pote donc rien de personnel dedans a part les log de son taf (il y a quand meme un max de nom et d'adresse de contact )   

[Yves B.]

Salut @vinz51,

Tu pourrais essayer un scan avec Dr.Web Cure It ?

Bon courage !

Tiens nous informé

A+

Modifié le 17 février 2018 par Yves B.

[vinz51]

ok merci je tente apres spybot, j'ai aussi preparer adaware antivirus, et donc dr web. je me suis procurer win7 home (jai une clé d'activation sur le boitier de pc) et si rien ne marche il ne me restera que cette option je crois ;/

je reviens ici demain dans la matinée,

merci bcp a vous

[S@T]

Il y a 13 heures, Yves B. a dit :

Tu pourrais essayer un scan avec Dr.Web Cure It ?

c'est un outil russe ! pravda 'du brute force en toute vérité ou une filiale de Kaspersky ?

pourvu que ça marche c'est tout ce qu'on lui demande  et rien de plus 

[vinz51]

bon je ne m'en sors pas... j'ai copié les fichier word excel etc je les ai mis dans un .rar et je vais formater, puis il me restera a "decrypter les fichiers pour les remettre en .xls, .txt. jpeg

 

qu'en pensez vous? 

[Le PoissonClown]

Il y a 15 heures, Yves B. a dit :

Tu pourrais essayer un scan avec Dr.Web Cure It ?

Il y a 1 heure, vinz51 a dit :

bon je ne m'en sors pas...

As-tu essayé la suggestion d'YvesB. ?

il y a une heure, vinz51 a dit :

j'ai copié les fichier word excel etc je les ai mis dans un .rar et je vais formater, puis il me restera a "decrypter les fichiers pour les remettre en .xls, .txt. jpeg

qu'en pensez vous? 

Je pense que c'est risqué de copier ces fichiers lorsque Windows est en route, car ça risque d'infecter le support de stockage. Pour faire cette copie, mieux vaut démarrer sur un live-USB (ou live-CD) de Linux ou de Windows par exemple :

[vinz51]

oui j'ai testé en mode sans echec dr web, spybot, adaware, malwarebyte, avira, adwcleaner.

ils trouvent tous des trucs au premier scan, puis quand je redémarre en mode normal rebelote, tjs ce gandcrab.txt qui s'ouvre et pc tres lent que j'entends tourner alors que je lui demande rien.

je vais tenter de récupérer les données comme vous m'avez dis puis je formaterai car j'ai dis je rendrai le pc demain donc me reste que ce soir

[Yves B.]

Salut @vinz51,

Si tu n’as pas encore formaté ton ordinateur, fais l’essai de “ RogueKiller ” (version d’essai de trente jours), en suivant ce TUTORIEL  très attentivement.

Tiens nous au courant

A+

[Delta]

il y a 24 minutes, vinz51 a dit :

ils trouvent tous des trucs au premier scan, puis quand je redémarre en mode normal rebelote, tjs ce gandcrab.txt qui s'ouvre et pc tres lent que j'entends tourner alors que je lui demande rien.

yop là,

la désinfection c'est bien avec la connexion coupé câble Ethernet retiré du pc et wifi désactivé ?

[vinz51]

ha non je demarrai en mode sans echec + reseau

 

je teste roguekiller

[Delta]

Il y a 1 heure, vinz51 a dit :

ha non je demarrai en mode sans echec + reseau

yop là,

essayer sans le réseau sans connexion établie ni câble branché...

ont ne sais jamais qu'il y aurai un script ou quoi qui le relance en cas de suppression " cheval de troie " si je me souvient bien qui peut rétablir après suppression des infections

[vinz51]

Oui j'ai tenté ca y est et rien de concluant...merci pour le conseil

Je suis en train de faire la copie grace au tuto en invite de commande. Apres je formate et réinstalle windows puis il me faudra encore décrypter les fichiers j'espère ca marchera...

[S@T]

oui si tu dois rendre une machine propre et pro demain tu formates pour repartir sur une clean install 

et plus de temps@perdre !

mais avant fais une copie du dossier driver de la machine depuis cet emplacement  

C:\Windows\System32\DriverStore

tu devrais gagner bcp de tps !

NB garde bien les fichiers cryptés sauvegardés de côté, ils pourront être décryptés un jour qui sait !

bonne nuit

 

S@T

Modifié le 18 février 2018 par S@T

[vinz51]

Ha trop tard pour  le drive store

 

Euh par contre vous me faites fliper:

Les fichiers ne sont pas decryptables??

C'est des documents pro

[S@T]

il y a 3 minutes, vinz51 a dit :

C'est des documents pro

si c'est du pro il devrait y avoir une sauvegarde de la veille alors  @restaurer

[Le PoissonClown]

il y a 3 minutes, vinz51 a dit :

par contre vous me faites fliper:

Les fichiers ne sont pas decryptables??

Ce cryptolocker a l'air récent, donc il y a un gros risque, en effet. Tes sauvegardes sont aussi chiffrées ?

[S@T]

pour se préserver de ces virus à l'avenir en plus de la sauvegarde :

workstation