Accueil / Mes interventions / Bureau rempli de fichiers nommés en “locked-…”

Bureau rempli de fichiers nommés en “locked-…”

fichier-renommes-locked-par-virusEn tant que spécialiste en micro-ordinateurs, il vaut mieux se mettre à jour; être « à la page » comme on dit, car chaque jour une nouvelle menace apparait, surtout en matière de virus.

Le virus dit “Gendarmerie” défraie la chronique ces derniers temps sur les PC non mis à jour. Par peur de faire une bêtise (lancer un virus, etc…) beaucoup de personnes ne touchent pas aux notifications de mise à jour de Windows Update et des programmes tels que Flash Player. Mais cette prudence se retourne malheureusement contre eux car ne pas mettre à jour son système, c’est le rendre poreux aux attaques.

Dans le cas présent, un Cellois (du village de la Celle) est effaré : Son ordinateur a été victime d’un virus qui est de type RansomWare (en “Français”: un rançonliciel c.-à-d. un malware qui affiche une fenêtre sur le bureau -sans possibilité de l’a fermer- et demandant une rançon (d’où le « Ransom »). Pour supprimer ce virus, il a fait appel à une connaissance qui a bel et bien éradiqué la menace.

Jusque-là tout va bien, sauf que maintenant, ses photos et autres documents importants ont changé de nom : Ils ont étés renommés de cette façon : locked-AncienNom.NimporteQuoi! Son ami «qui s’y connait » a jeté l’éponge ; ce problème est au-dessus de ses compétences.

Le  Cellois m’appelle donc, je me déplace à son domicile et constate… J’avoue n’avoir pas encore vu quelque chose de semblable : Son bureau est rempli de fichier illisibles. J’emporte donc le PC pour analyse et recherche sur des sites tels que Malekal.com une solution.
Grâce à ce dernier site je trouve la solution : ces fichiers aux noms modifiés avec le mot « locked » sont bien les documents personnels de mon client, ils ont étés renommés et cryptés (oui carrément) par le virus supprimé, et il faut, pour les décrypter, deux versions d’un même fichier (n’importe lequel) : une version cryptée et une version saine, lisible.

Le problème, c’est que je ne trouve pas de version saine d’un fichier sur son PC: un coup de fil à mon malheureux client me révèle que, sur le bureau, il se rappelle avoir téléchargé depuis sa messagerie quelques fichiers photos. Je rejoins avec son autorisation son espace de messagerie et rapatrie une photo qu’il sait être présente et “saine” (non crypté par le virus) sur son bureau. Ensuite je lance un décrypteur nommé RannohDecryptor mis en ligne récemment par Kaspersky ici : http://support.kaspersky.com/faq/?qid=208286527.

Je lance donc cet utilitaire et lui donne le chemin vers les deux versions -saine et cryptée- du fichier-photo : le décryptage a fonctionné et le logiciel décrypteur demande sur quel disque dur il doit chercher et décrypter les fichiers -maintenant qu’il possède la « clé » de chiffrement-. Ce sera le disque C:\.

Quelques minutes plus tard,  les fichiers décryptés sont recréés dans leur emplacement d’origine, et je supprime donc les documents cryptés vers la corbeille (par précaution, on ne sait jamais..).

Comme à chaque fois, je mets en garde mon obligé en lui montrant comment accepter les mises à jour de Windows et des logiciels connectés au Web, j’en profite d’ailleurs pour mettre en pratique cette recommandation !

PS: un virus aux effets proches existe et s’appel Xorist (en général…) j’ai créé un tutoriel vidéo pour le supprimer dans mon espace youtube ici:
Virus qui crypte les fichiers sous la forme xxx..BL9c98vcvv: suppression et décryptage.