Bonjour,
 
Je m'occupe du PC d'un ami qui s'est retrouvé attrapé par un virus, CTB-LOCKER, qui crypte la plupart des fichiers du PC (.doc, .xls, etc...). Du coup, je me retrouve avec les fichiers qui ont maintenant une extention ".ogfekqc" sur tout les fichiers, et bien sur un simple renomage ne fonctionne pas puisqu'ils sont cryptés. Et bien sur c'est un pro, avec un nombre importants de documents.
 
Voici ce que j'ai fait:
 
- Adwcleaner
- Malwarebytes
 
Cela a bien supprimer le malware, mais les fichiers sont toujours cryptés.
 
- J'ai supprimé son AVG gratuit et installé à la place Kaspersky, et lancer une analyse, idem.
 
D'habitude dans ce genre de cas (je suis informaticien) je fait le tour des programmes installé, je passe en plus Ccleaner, ZHPC et Delfix, je remplace les raccourcis des navigateurs, etc... Mais la comme je sèche, j'ai préféré ne rien faire de plus afin de ne pas aggraver la situation  
 
NB: Par contre si besoin, j'ai gardé l'historique de malwarebyte, c'est encore possible de remettre en place les fichiers provenant de la quarantaine.
 
Un grand merci d'avance à ceux qui se pencherons sur mon cas!

Bonjour,
 
 
Malheureusement, les fichiers cryptés suite à ce ransomware sont très difficiles à récupérer (à moins de payer ou par brute force).  
Essaie avec le programme Shadow Explorer. Le tuto est pour Vista mais ça marche sur tous les systèmes.

Si shadow explorer ne fonctionne, il faut espérer qu'il ait une sauvegarde.
Si c'est un pro, il y a plus de chance qu'il y ait une sauvegarde.
pense a lui mettre Java à jour, il doit avoir une vieille version 6 d'installée sur son poste.

arrrr.... mauvaise nouvelle ça Et non pas de sauvegarde, et restauration système désactiver, dans ce genre de cas c'est toutes les merdes ou rien  
 
Merci pour la soluce, je teste ça et je vous tiens au courant. Vous avez une idée du prix de cette "rançon" ?

Ça varie entre 50 et 500 $, et ça augmente chaque jour.  
Si la restauration du système est désactivée, c'est mort.  

Si tu as nettoyer le poste du crypto locker, c'est re-mort.
Tu ne peux plus accèder au site de la rançon.

Ok, merci pour les retours, je n'ai pas eu le temps de me remettre dessus. J'ai nettoyé le poste, mais il y a toujours le fond d'écran avec les clé. Et je n'ai fait que de la mise en quarantaine par malwarebytes, si je restore la désinfection, la page avec le timer réapparait bien, tu pense que c'est quand même fichu?

ca devrait être bon.

Attention !! Les fichiers générés par ce programme incluent des données personnelles et potentiellement confidentielles qui seront mises à disposition de tous une fois transmis. Assurez vous de bien les nettoyer, ou de ne pas transmettre ces données si vous n'êtes pas sûr du contenu diffusé.
 
A "l'équipe de la désinfection" : Merci de rajouter systématiquement ce message à chacun de vos posts demandant l'envoi d'un rapport.

Bon bin ça sens le sapin cette histoire.. J'ai pas testé Shadow Explorer, à priori c'est pour un vista ou seven avec la fonction de version de fichier, donc fichu avec XP...
 
Par contre j'ai pu récupérer une copie d'un fichier intact, a priori avec Kaspersky Decryptor ça devrait le faire non?

il faut espérer, car il y a plusieurs variantes du cryptolocker.
Dis nous ensuite ce que ça donne.

Bonjour tout le monde voici une methode montre comment protéger vos fichier et documents de ce virus CTB-LOCKER
 
https://www.youtube.com/watch?v=kRpJEpJzK1U