Votre ordinateur est bloqué en raison du délit de la loi France

Un nouveau ransomware Trojan.Winlock de type Fake Police avec un message :

Votre ordinateur est bloqué! 

Attention!

Votre ordinateur est bloqué en raison du délit de la loi de la France

Pour la variante observé, celle-ci se charge par win.ini :

F3 – REG:win.ini: load=C:\Users\Kevin\AppData\Local\Temp\5DEA297348A03E55264A.exe,

De ce fait le malware peux être actif en mode sans échec.

 

Exemple de détection du dropper actif observé : http://www.virustotal.com/latest-report.html?resource=20f0c2834a8344a017dff61f311d519fa4992761

SHA256: 59555ee2f8f38b198b3be49fb94a492524d68d252b288ced82895cad2b43881f
File name: a48375064933d81543132a66a79c2e7c.exe
Detection ratio: 3 / 43
Analysis date: 2012-03-12 12:11:17 UTC ( 56 minutes ago )
NOD32    a variant of Win32/Injector.OXY    20120312
TrendMicro Cryp_Driller 20120311
TrendMicro-HouseCall Cryp_Driller 20120312

 

Comme vous pouvez le constater les détections sont mauvaises.

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

 

 

Windows Seven

Windows Seven : Lancez une restauration du système au démarrage de l’ordinateur – paragraphe Réparer votre ordinateurhttp://forum.malekal.com/windows-recuperer-son-systeme-t20428.html

Mode sans échec

Edit Fin Mars : certains variantes du malware peux supprimer les clefs SafeBoot – dès lors le redémarrage en mode sans échec est impossible (écran bleu BSOD).
Toutes le ne le font pas, à tester si le mode sans échec est disponible.

  • Démarrez l’ordinateur en mode sans échec avec prise en charge du réseauhttp://www.malekal.com/2010/11/15/mode-sans-echec/
    • Redémarrez en mode sans échec,
    • Pour cela, redémarrez l’ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuyez sur la touche entrée du clavier.
  • Téléchargez RogueKiller et passe l’option 2.

On peux aussi supprimer l’infection manuellement – Toujours en mode sans échec avec prise en charnge du réseau :

CD Live Kaspersky : WindowUnlocker

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

  • Graver le CD ou mettre sur Clef USB en suivant les indications du lien ci-dessus.
  • Redémarrer l’ordinateur en modifiant la séquence de démarrage afin de démarrer sur CD ou clef USB : http://forum.malekal.com/booter-sur-dvd-t9447.html
  • Lancer le Terminal à partir du menu K
  • Dans la fenêtre noire, saisir : windowsunlocker.

en vidéo :

http://www.youtube.com/watch?v=7Jn6yKH2r1w

 

Afin d’optimiser les chances de nettoyage, il faut supprimer les fichiers malicieux.
Clicquez sur le menu K et lancer le gestionnaires de fichiers.

  • Si vous êtes sur Windows XP : Allez dans le dossier C:\Documents and Settings => votre session => Application Data, vous devez y trouver un ou plusieurs dossiers avec une lettre majuscule et 3/4 lettres en minuscules aléatoires.
  • Si vous êtes sur Windows Vista/Seven : Allea dans le dossier C:\Users => votre session => AppData => Roaming, vous devez y trouver un ou plusieurs dossiers avec une lettre majuscule et 3/4 lettres en minuscules aléatoires.

 

Ces dossiers contiennent le fichier de l’infection, une suite de lettre et de chiffres.
Supprimer le ou les dossiers en question.

Allez ensuite dans le dossier system32 de Windows (si vous êtes sur Windows Vista/Seven en 64bits, allez dans le dossier SysWow64 de Windows).
Cliquez sur le menu Affichage et cocher la case « Afficher les fichiers cachés ».
Allez aussi dans le mode d’affichage et mettez détails.

Cliquez en haut à droite sur la colonne Date afin de trier la liste par ordre croissant (des fichiers/dossiers plus récents au plus anciens).
Vous devez aussi y trouver le fichier malicieux avec la suite de lettres et de chiffres, supprimer le.
Supprimer aussi les fichiers winshXX

Microsoft Standalone System Sweeper Tool

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.
Cela peux être pratique dans le cas où Windows est bloqué notamment par des ransomwares / Trojan.Winlock.

Microsoft Standalone System Sweeper Tool est téléchargeable depuis ce lien : http://connect.microsoft.com/systemsweeper

Tutoriel Microsoft Standalone System Sweeper Tool : http://forum.malekal.com/microsoft-standalone-system-sweeper-tool-t36850.html

  • Télécharger le programme et le lancer
  • Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.
  • Lorsque la clef USB ou le CD est prêt : Redémarrer l’ordinateur et modifier la séquence de démarrage : http://forum.malekal.com/booter-sur-dvd-t9447.html
  • Laissez le Scan s’opérer
  • A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».
  • Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquer.

Autre CD Live

Pour les pros : Depuis OTLPE, vous pouvez aussi accéder à la ruche Software_on_C puis Microsoft => Microsoft => Windows NT => CurrentVersion => Winlogon
Vous pouvez alors éditer la clef Userinit, vous devez avoir C:/Windows/system32/userinit.exe,C:/WINDOWS/system32/C21B66A894573D7F355A.exe

La partie malicieuse est ,C:/WINDOWS/system32/C21B66A894573D7F355A.exe qu’il faut supprimer en laissant la virgule : C:/Windows/system32/userinit.exe,C:/WINDOWS/system32/C21B66A894573D7F355A.exe
afin de n’avoir que C:/Windows/system32/userinit.exe,

La clef UserInit en temps normal :

 

Remettre les clefs SafeBoot

Télécharger et executer :  http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe

Après la désinfection – Tres important

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

 

Afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares et pour filtrer les régies de publicités qui distribuent des malvertising, vous pouvez installer HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

 

HOSTS Anti-PUPs/Adwares

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

 

Debut Avril – EDITION du billet : prise en otage des documents

La nouvelle variante prend en otage les documents sur le bureau et dans le dossier Documents.
Ces derniers ne sont plus utilisables.
Un prefixe locked- est ajoute ainsi qu’un sufixe de quelques lettre.

Exemple :

locked-cports.exe.wify
locked-HiJackThis.exe.vpdm
locked-liste.txt.hyst
locked-N?nuphars.jpg.kvtf
locked-Procmon.exe.rrfn
locked-readme.txt.pvtl
locked-v4omn0r8.exe.kgye
locked-go.cmd.darl
locked-Index of -malwares.url.ejre
locked-mbr.exe.rysr
locked-OTL.exe.fahf
locked-prout.txt.vinq
locked-Thumbs.db.llab

Pour le moment aucune solution n’est disponible.
Un dropper est disponible : http://www3.malekal.com/malwares/index.php?hash=c3ca822c0d8c1abffda67fcf6264336e

 

TCP_MISS/200 366 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=geo – DIRECT/188.190.98.231 text/html
TCP_MISS/200 571638 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=img – DIRECT/188.190.98.231 text/html
TCP_MISS/200 332 GET http://minkolow4.com/dy797CDFddd.php?id=4043B68C4B4A414E014B&cmd=lfk&data=z9AEZwynvP0RZYlS5c1Ej%2FDfvmYOGRMd%2Bl0A – DIRECT/188.190.98.231 text/html

EDIT Fin Avril – Fix Dr.Web – matsnu1decrypt

Bonne nouvelle Dr. Web a mis au point un fix pour récupérer les fichiers.

Pour que cela fonctionne, vous devez au moins un des fichier original qui a été crypté et sa version cryptée.

Lancer le fix et cliquez sur Continuer.
Le fix vous demande la version non cryptée du document, indiquez lui.

puis le fix demande la version cryptée.

Le fix rétablit ensuite les fichiers en les recopiant.

EDIT – 4 Mai 2012

Kaspersky a sorti son tool RannohDecryptor : http://support.kaspersky.com/faq/?qid=208286527

Le principe est le même il faut fournir un fichier original et son équivalent crypté.
Le fichier original doit faire 4Mo au minimum.

En premier,  RannohDecryptor demande le fichier sain.

puis son équivalent crypté

et la décryptage s’effectue.

NOTE dans les paramètres, il est possible de faire supprimer les fichiers locked :

 EDIT – version italienne

une version italienne est disponible : http://forum.malekal.com/virus-locked-t37705.html#p294154

Virus Gendarmerie version italienne

 

Le fix de Kaspersky ne doit pas fonctionner pour débloquer cette variante – Avira a sorti un fix : http://www.avira.com/en/support-for-business-knowledgebase-detail/kbid/1253

EDIT – 10 Juillet 2012 : la variante précédente revient en France via une campagne par email => http://www.malekal.com/2012/07/10/trojan-trustezeb-ransomware-virus-coder-de-windows/

EDIT – 2 Août : Nouvelle campagne avec Windows Anytime Upgrade : http://www.malekal.com/2012/08/02/windows-anytime-upgrade-ransomware-lock-files/

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 384 times, 1 visits today)

80 thoughts on “Votre ordinateur est bloqué en raison du délit de la loi France

  1. j etais bien impatient de trouver la soluce pour cette nouvelle version de Fake police,,
    je prie pour que ca marche.. merci pour ton aide malekal en tous cas..

  2. Merci et salutations également.

    Commentaire inutile qui se justifie par le fait que j’oublie souvent les règles élémentaires de courtoisie. Il ne faut pas m’en tenir rigueur. 🙂

  3. Salut tout le monde,

    Besoin d’aide…: Je n’ai ni la main en mode sans echec ni l’accès à l’invité de commande en mode sans echec….
    Dans les 2 cas, le PC redémarre à la fin du chargement avec au passage 1/4 de seconde d’écran bleu…

    Merci d’avance!

  4. Re!

    Ah oui, j’ai UBUNTU installé sur le même PC… Y’a pas moyen de passer par lui?

    Jcontinue à chercher mais si vous avez des idées je suis preneur!!

    Merci

  5. Mon ordinateur est bloqué avec cette image la et j’ai fais ce qu’il disent mais quand j’ouvre ma session sa me remet votre ordinateur est bloqué etc et je peux rien faire

  6. Merci Malekalmorte,
    Vous venez de me sauver la vie !
    Pour ma part, un démarrage en mode sans échec avec prise en charge réseau (pour télécharger malwarebytes), et scan avec malwarebytes a suffi.
    J’avais déjà vidé l’intégralité des temp, car mon antivirus venait de me signaler Exploit:HTML/IframeRef.Z juste avant le blocage.Et j’avais passé l’antivirus en mode sans échec (premier reboot), il ne m’avait rien détecté de plus.Alors qu’il y avait encore ce truc qui me bloquait en mode normal…

  7. La version du malware que j’ai du retiré bloquait le mode sans échec sous XP ainsi que l’invite de commande, et donc impossible d’effectuer une restauration.
    Comme le PC n’a pas de lecteur CD, j’ai retiré le disque dur et j’ai remarqué un fichier dans c:\windows\system32\[chaine aléatoire].exe (caché).

  8. j’ai bien cru que j’allai pas m’en sortir !

    Tout d’abord un grand merci à Malekal 🙂 et tous les autres

    je me suis taper : »Votre ordinateur est bloqué en raison du délit de la loi France »

    et la suppression des safeboots est assez terrible…

    J’ai « trouvé » une petite astuce pour ceux qui n’ont pas de cd vierge…

    un quart de seconde avant que n’apparaisse ce « #?/%$ » de message on apercoit son bureau

    j’ai lancé malware’s byte en cliquant comme un bourin… (je pense que ca marche avec n’importe quel executable…. le tout est de réussir à le faire planter…)
    et l’écran de « #?/%$ » apparait…

    ensuite j’ai fait un reboot à la bourin en appuyant sur le bouton de l’ordi…
    le message disparait on revient au bureau et la j’ai une nouvelle fois cliquer comme un bourin sur malware’sbyte jusqu’à ce que ca plante…bien…
    a ce moment la l’ordi est en sorte de « transe » entre le fait que ca plante et sa volonté de s’éteindre…
    on ne peut pas utiliser les executables mais ca vous laisse quelques minutes pour changer le win.ini tout pourri… (j’en ai changé quelques autres au cas ou….)

    et la on reprend plus ou moins la main pour aller dans le registre et virer la commande malicieuse….
    et faire tourner tous les antivirus…

    voila, c’est une méthode un peu bourin…. mais ca a marché…pour moi 🙂

    ca m’apprendra a dire « plus tard » pour les mises à jours…

    bon courage à ceux qui galèrent et encore merci pour votre aide….

  9. Moi rien a bougé, si une âme charitable peut me venir en aide…

    « ma » particularité, je n’ai pas accès au mode sans échec, avec ou sans prise en charge réseau, ni à l’invité de commande…

    J’ai UBUNTU 11.10 sur le même PC…

  10. Bonjour, j’ai eu un virus et j’en suis à la fin du scan. Mais mon ordi ne se redemarre pas automatiquement. Comment faire?

  11. Bonsoir
    Je vous contacte suite au virus du delit de la loi de la france où mon ordi est bloqué dans tous les modes de démarrage possible, écran bleu etc etc…………..
    Dans l’attente d’une réponse,
    Merci

  12. Ce message pour vous adresser un grand merci pour votre article qui m’a permis de me débarrasser de ce virus attrapé hier sous windows XP.
    Pour ma part, j’ai utilisé la méthode avec le Live CD de Kaspersky car le démarrage en mode sans échec était bloqué par le virus, et ça a marché !
    Merci !

  13. Bonjour, j’ai chopé moi aussi ce virus hier soir mais en plus d’avoir l’ordi bloqué, énormément de fichiers de l’ordi ont été renommés du genre locked-photo1.jpg.****

    J’ai tenté de renommer les fichiers en remettant les anciens noms de fichiers mais impossible de les lire, l’ordi me dit que le fichier est corrompu.

    Cela touche tout types de fichiers (images, vidéo, fichiers EXE, etc…)

    Si quelqu’un a déjà eu ce type de problème, je serais ravi qu’il m’apporte son aide.

    Ahmed

  14. Bonjour, effectivement, une nouvelle variante du virus a vue le jour depuis le 6 avril 2012, cette variante peu apparemment être désinfecter via la procédure écrit précédemment, hélas le virus a le temps de renommer tout les fichier multimédia (locked-photo1.jpg.****) et de les encrypter sous un format que je ne connais pas. Vu le nombre de personne ayant signaler cette variante aujourd’hui (j’en ai compter plus de 30) : cela va faire du bruit, et surtout d’ici la semaine prochaine …. J’espère vraiment que dans les prochain jour, quelqu’un trouvera la solution car ce sont des fichiers très important. Merci.

  15. J’ai été contaminé avec la nouvelle variante et sa déclinaison « locked- » …
    J’ai pu m’en sortir en faisant une restauration du systeme depuis le mode sans echec.
    Par contre pour les fichiers vérrouillés … ça s’est fini avec un rechercher « locked- » mis à la poubelle (près de 20.000 fichiers) et une restauration de mon backup…
    C’est lourd mais ça a marché … 🙁
    En espérant que quelqu’un trouvera une solution moins contraignante.

  16. j y ai eu droit aussi aujourd hui, l ordi tourne j ai passé spybot ad aware etc….mais pour l instant j ai encore des tonnes de fichiers bloqués! locked!!!!
    pourriez vousnous tenir au courant si quelqu un trouve une soluce pour recuperer les fichers!! je pleur sumes photos!!!!
    merci d avance

  17. Bonjour,
    j’ai également été infectée par la variante qui prend en otage tous les docs en « locked- »
    Je voudrais savoir si une restauration systeme à une date antérieure permet de récupérer les fichiers ou pas du tout ?

    Merci pour votre aide

  18. bonjour moi j’ai un asus et windows xp je suis pas fort en informatique quand j’appuie sur f8 avant windows il me met sur boot menu je comprend pas merci

  19. j’ai un soucis mon scan antivirus a deecté ce fichu virus il etait marqué supprimé a coté j’ai rallumée l’ordi dasn l’espoir que ca fonctione et non re ce virus gendarmerie comment faire…

  20. bonjour j’ài subi cette prise en otàge pour moi tres simple j’ài enlever là pile de là càrte mere debràncher 2minute puis rebràncher tous shuss simple et ràpide

  21. J’ai reussi a suprimer ce programme par 2 fois en tuant le processus au démarage avec une laps de temps très court.
    Utilisé un anti malware et le probleme est résolu. (plusieurs redémarage sont a prévoir mais c’est largement jouable).

  22. Bonjour,
    Je n’ai rien trouvé sur votre forum concernant une éventuelle solution pour régler ce problème de prise en otage des fichiers avec l’ajout du préfixe locked-.
    Quelqu’un a t’il trouvé une parade ou un début de solution ? Merci.

  23. Désolé, il n’y aucun solution pour récupérer ses documents.
    Etant donné que cette variante n’a été diffusé que pendant un très court laps de temps.
    Je pense que les AV ne s’y pencheront pas (de plus, elle est assez cofiace).
    Donc pas de fix à venir pour le moment.

  24. bordel, j’ai choper ce fumier de virus à l’instant. Plus qu’à refaire mes lettres et mes rapports qui étaient enregistrés sur le bureau!!!

    Pourriture de « gendarmerie nationale » ^^

  25. Bonsoir a tous.

    Comment on peut faire pour trouver les fichiers originaux alors qu’il n’y a que les fichiers « locked- » qui apparaissent?

  26. Bonjour,
    Merci infiniment MALEKAL, ca a fonctionné au top, ce fix m’a sauvé 20266 fichiers dont des photos et des vidéos de famille que je n’avais pas sauvegardé ailleurs.
    Merci également à Dr WEB.
    P.S. : Pour répondre à la question d’un fichier original, j’ai retéléchargé sur internet l’original d’un doc PDF qui avait été contaminé en « locked-xxxx ».

  27. Salut Malekal,
    Tu écris dans ton post à « Edit Fin Avril : Pour que cela fonctionne, vous devez au moins un des fichier original qui a été crypté et sa version cryptée. »
    « Vous devez au moins quoi ? Posséder, nommer, écrire ?
    Si c’est « posséder », c’est un sur les milliers modifiées, ou un non-crypté par fichier crypté ?
    Désolé, mais ce problème me pourrit la vie depuis le 07/04, alors je suis un peu à cran…

    Bonne journée à toi et à tous..
    Max

  28. Bonjour,

    Je tenez tout simplement à dire merci et bon travail !

    Je n’ai pas eu de message de chantage ou autre et mon pc n’as été affecté qu’a moitié peut être car j’ai réagit rapidement à trouver une solution pour nettoyer mon ordinateur, n’ayant jamais vu un virus comme celui-ci (le premier que mon anti-virus ne repère pas aucune notif rien –‘).

    le seul problème du fix c’est qu’il copie les fichier d’origine mais ne supprime pas les fichier cryptées un peut embêtant avec mon pc blindé ^^’.

    Encore une fois merci, je peut récupérer tout mes fichiers enjoy 🙂

    S.

  29. @max weight : il suffit bien entendu d’avoir *un* fichier non chiffré correspondant à *un* fichier chiffré. A partir de ces deux-là le programme détermine comment le chiffrage et le déchiffrage se font, et applique le déchiffrage aux autres fichiers locked-.

    Si on a un peu de chance, parmi les fichiers chiffrés il se trouvera des fichiers qu’on avait récupéré du Net récemment ; on peut alors en re-récupérer un de nouveau, ce qui fait la paire chiffré-non chiffré requise !

    … et si je sais tout ça, c’est que je viens de me prendre le virus sur la seule machine Vista de la maison, et de récupérer tous les fichiers grâce à ce site. Donc au passage, merci Malekal !

  30. Bon, j’ai eu le virus hier soir, après 5h je l’ai eu.

    Voila comment j’ai procédé:

    1°/ J’ai démarré mon PC normallement
    2°/ Au moment ou le bureau s’affiche j’ouvre en cliquant sauvagement un programme
    3°/ Le virus apparait et ne permet plus rien
    4°/ J’appuie sur le bouton arret de mon portable brievement
    5°/ On arrive sur le bureau et windows bloque sur Excel par exemple et me dit qu’il ne peut fermer le PC car le programme ne répond plus.
    6°/ J’installe Malwarebytes
    7°/ Ensuite je redémarre
    8°/ Je fais la manip plus haut pour récupérer les fichiers « Locked »

    J’espère que c’est clair… En tout cas je vais me mettre au boulot car j’ai pris du retard.

  31. Bonjour

    Je tiens également à vous remercier de l’ensemble de votre travail.

    J’ai pu me débrouiller facilement a viré ce blocage par le gestionnaire des taches, mais tout mes fichiers etaient locked, première fois que je voyais cela !!
    J’ai balisé pendant 8 jours car comme bcp j’avais enormement de fichiers de travail et de photo ds un unique endroit c a d c:\, je sais je suis bête !!

    Merci a Dr Web car la désinfection a super bien marché.

    Astuce pour récupérer un fichier original, aller ds sa boite mail et récupérer un fichier joint, ce que j’ai fait personnellement.

    En effet le soft ne vire pas les fichiers locked, Pour la suppression des fichiers locked, faire une recherche des fichiers lock*.* puis supp tout simplement.

    Merci encore

    Christ

  32. Le décrypteur Kaspersky est efficace et surtout : Il désinfecte les lecteurs réseaux !
    J’ai un NAS de 4TO à décrypter, je connais un PC qui va pas se mettre en veille cette nuit…

  33. Avant tout merci pour toutes ces solutions, à ceux qui cherchent, aux dev, enfin à tout ceux qui bossent pour aider les bolosses ( punchline ).

    Bref voilà un ami m’a refilé son ordi infecté par la gendarmerie ( pas sympa les bleus ).
    J’ai donc viré le sacripan, et me retrouve avec les fichies Locked, je pars demain matin très tôt et j’aimerais me coucher, sauf qu’il lui faut son ordi pour le boulot.

    Je sais qu’il ne faut pas poser de question ici, que l’on ne sera pas aidé mais voilà j’ai pas la motivation de me créer un compte et tout le toutim..

    Je veux juste savoir si c’est faisable de mettre un fichier propre sur le pc infecté, de le rendre locked expres sachant que j’en garde un copie nichelle à coté car je n’ai aucuns fichier non crypté à utiliser pour la manip.

    Bref si quelqu’un peut me répondre, sinon tant pis. Et merci encore pour votre boulot à tous ! Have a good night.

    ( Ps : aidez moi, mon chien est mort deux fois cette semaine … :'(… )

  34. Merci pour la solution.
    J’ai utilisé le soft de Kapersky et comparé un fichier *.doc sain et celui crypté et miracle, le soft scan et décrypte tous mes fichiers.

    Hip Hip Hip Houra !!!!!!

    Rank

  35. Bonjour,
    Quand je lance kapersky il ne me demande pas de fichier sain et crypté c’est normal ? A la place il me rechercher tout les fichier cryptés en ce moment même

  36. Que dire, si ce n’est MERCI !!!!!
    Plus de 9000 fichiers sur XP sauvés grâce à vous !
    Virus arrivé hier soir, éradiqué en mois de 24 heures avec récupération des fichiers ‘locked’ grâce à :
    – Windows Defender Offline téléchargé sur ma clé USB
    – F12 au démarrage avec Boot sur ma clé
    – suppression virus avec WDO
    – téléchargé le décrypteur Kaspersky et récupéré tous mes fichiers

    MERCI MERCI MERCI MERCI MERCI MERCI MERCI !

  37. super avec kapersy tout est rentré dans l’ordre
    plus de 12 000 fichiers contaminés par locked nettoyés
    merci a tous pour vos conseils surtout Rank
    MERCI

  38. Vraiment merci.
    Le virus s’est déclenché hier soir lors d’un reboot (mais était sur mon pc depuis le 20 avril selon le rescue disk de kaspersky, mais c’est peut-être qu’il lui fallait un reboot pour se déclencher vue que j’éteind rarement mon ordi). J’ai donc suivi la methode avec le cd kaspersky, scanné avec malwarebyte au redemarrage et là j’arrive à la fin du decodage des fichiers. J’ai bien eu peur de devoir tout formater.
    Plus que le disque externe a controler et ce sera fini.
    Petit anecdote marrante, je me suis fais controler par les gendarmes en allant chez mon frere pour trouver comment virer ce virus ^^

    Encore une fois merci

  39. Ce n’est pas la première fois que Malekal me sauve la mise, mais là, c’était une grosse frayeur !
    Des milliers de photos/videos des enfants, des tonnes de fichiers … tous transformés en locked-NOM_ORIGINAL.(extension originale).(4lettres aléatoires)
    En ce qui me concerne :
    1 : redémarrage en mode sans échec
    2 : lancement de RogueKiller
    3 : lancement de Kapersky RannohDecryptor, avec l’option « Supprimer les fichiers locked »
    Bref, mille merci !

  40. Comme Will juste au-dessus.
    J’ai vu le piège venir, j’avais fais une manip qui ne me plaisait pas, ben gagné, mon écran s’est mis à ramer, puis à clignoter comme s’il cherchait à se mettre en veille, puis « PC bloqué, gendarmerie de la France » et gnagnagna.
    Sauf que j’avais accès au mode « ctrl-alt-sup » et on sentait clairement le piège.
    Mon disque dur externe était encore accroché à mon pc, donc je l’ai débranché à l’arrache pour le sauver.
    J’ai suivi les conseils sur le net
    – redémarrage en mode sans échec.
    – J’ai lancé Malwarebytes, mais il prends son temps ++++, alors comme je trépignais, j’ai lancé en parrallèle Roguekiller qui, lui, a trouvé le problème en 15secondes.
    – Ensuite j’ai pu redémarrer normalement, et là, surprise, tous les fichiers cryptés !
    – Donc, en plus de Malware et Avira lancés pour scanner le pc, j’ai utilisé l’utilitaire de Dr Web. Il m’a décrypté 22000 dossiers. J’ai du retirer manuellement 3000 fichiers « locked » retrouvés grace à l’option « rechercher » de mon navigateur.
    – J’ai fais tourner Malware et Avira toute la nuit
    – Il m’ont trouvé deux virus, qu’ils ont virés.
    – J’ai ensuite rebranché mon disque dur externe -> oh surprise, la moitié de mes fichiers dessus étaient cryptés.
    – Rebellote, Kaspersky pour être bien sure. Il en est à 10200 fichiers, il n’est pas exclue qu’il me redébloque ceux que Dr web avait déjà débloqués, mais il bénéficie de l’option « supprimer les fichiers débloqués » que je vais me faire un plaisir d’utiliser. En tout cas, tout devrait rentrer dans l’ordre.

    Quoi qu’il en soit un GRAND MERCI car, comme tout le monde, je pense, je disposais de fichiers inestimables sur ces petites machines.

  41. merci a vous et a ce site formidable ..sans vous et malekal j’etais mort …

    j ai pu recuperer tous mes fichiers ‘locked’ plus de 11000 fichiers ..punaise j ai eu peur !! en fait je vous explique grace au fix drweb prit sur le lien plus haut ..vous prenez par exemple un fichier sain sauvegarde sur une clé usb pour mon cas ..j ai utilise une photo ..il faut que ce soit la meme ..vous laissez travailler le soft ..eh bien je peux vous dire il a changer tous mes fichiers …video ..photo ..musique ..text .. tout est revenu a l’original ….. encore merci je vous adore

  42. Salut à tous,

    J’avance pas à pas contre ce virus gendarmerie,

    Et je dois dire que le déblocage des fichiers « locke-… » reste un mystère. le Fix de Dr web me demande de lui fournir un fichier saint puis le fichier locke, mais si le fichier saint est un fichier sauvegardé et identique, je vois pas l’intérêt de la manipulation?

    Entre autre je n’ai pas de fichier saint, je ne sais pas ce que ça veut dire et je n’arrive pas à décrypter mes fichiers « locke  » bloqué en voie de bénage.

    Si quelqu’un peut m’aider ,

    merci d’avance

  43. Merci et un grand merci pour ce super tuto car comme beaucoup j’ai réussi ( enfin j’espère ) à me débarasse de ce virus.

    J’ai aussi récuperé plus de 28 000 fichiers locked grace à Kaspersky qui ne m’a jamais demandé un fichier sain et un fichier compromis. Il m’a juste fait un scan ( j’avais tous coché dans les paramètres) et voilà tout retrouvé.

    Ce qui me dégoute avec ce genre de virus c’et que je sauvegarde sur un autre DD ( interne) + clef USB mais que tout a été touché. A part déconnecter et reconnecter sans arrêt y’a pas de solution miracle.

  44. Franchement merci d’avoir pris du temps afin de résoudre ce problème, j’ai pu récupérer tout mes fichier locked, un grand merci ! Moi non plus il ne m’a pas demandé un fichier sain et un compromis, le scan a tout résolu !

  45. Salut, grosse panique ce jour avec ce virus de merde; 1 journée pour s’en débarasser et
    tous mes fichiers précieux (photos, vidéo, administratifs…) ‘locked’. Les disques de sauvegarde sont tout rouges… Tout cette merde pour avoir téléchargé « Le fils » des frères Dardennes !

    Merci mille fois à Malekal et sa bande. Peut on faire 1 don qlq part ?

    S.

  46. Un grand merci pour votre aide ! J’avais déjà choppé un ranconware il y a 2 semaines mais alors celui que j’ai choppé hier … sympa ! J’ai réussi à restaurer mon PC à une date antérieure et maintenant je suis en train de récupérer les fichiers « locked » avec rannohdecryptor mais j’ai l’impression que je vais en avoir pour 2 jours (J’ai 4 disques dur sur mon PC !)

    Par contre je n’arrive toujours pas à comprendre comment j’ai pu attraper cela d’autant que tout mes programmes sont à jours, que j’ai un anti-virus (microsoft), spyboot and malwarebytes en protection. D’où vient donc la faille !! (Il est vrai qu’hier j’ai du mettre java à jour pour naviguer sur le site de la FNAC. C’est quand même pas cela qui m’a planté

    Comment avoir l’assurance que cette m….. ne peux plus arriver ??

    D’avance merci pour votre avis

    Et encore merci

  47. Merci beaucoup pour les conseils. Tandis que des abrutis s’évertuent à pourrir la vie informatique, d’autres comme ici apportent des solutions. C’est rassurant.

  48. Bonjour, et merci pour ce magnifique tuto qui m’a bien aidé à virer la bête.
    J’ai attrapé la version qui ne vérouille pas les fichiers, mais qui interdit le démarrage en mode sans échec. Je suis sous XP.
    La méthode « Microsoft » décrite ci dessus n’a rien donné: le scan complet n’a rien détecté.

    La méthode Kapersky Lice CD est par contre très efficace: en suivant le tuto, c’est assez simple.
    Remarques: à l’étape de suppression des fichiers dans « application data », je n’avais qu’un dossier avec des lettres TOUTES en minuscules.
    Par contre, même avec l’affichade des fichiers cachés activés, rien dans « System32 ».
    Rien non plus de détecté après coup par Malewarebyte.

    L’environnement Kapersky, permet par ailleurs de sauvegarder des fichiers importants, en branchant un Disque dûr externe, par exemple. Il y a même un navigateur internet intégré (je n’ai pas testé).

    Merci encore, en espérant que mes quelques remarques puissent en aider d’autres.

  49. Merci pour ce site absolument génial ! J’avais la version qui infecte les fichiers et tt a bien marché. Redémarrage sur cd (Windows Vista) et Kaspersky pour décrypter les fichiers. Seulement 3 heures pour tt faire…Ouf !!! Sans vous, je n’y serais jamais arrivée…

    Merci encore !

  50. J’ai été infecté hier soir, 1er juin 2012, probablement par une vidéo. Message d’annonce de la gendarmerie. Tous mes documents étaient devenus cryptés et illisibles.

    J’ai tout d’abord redémarré en mode sans échec, puis ai effectué une restauration.
    Le navigateur continuant de fonctionner, j’ai ensuite pu télécharger un antivirus puis l’ai passé.
    J’ai enfin effectué une recherche via Gougueule avec « fausse amende gendarmerie » et je suis parvenu à cette présente page. J’ai suivi les aides et conseils. J’ai exécuté : ftp://ftp.drweb.com/pub/drweb/tools/matsnu1decrypt.exe. J’ai notamment téléchargé un doc. P.D.F. d’origine pour fournir au logiciel un modèle non-crypté.

    7600 fichiers sauvés, toute ma bibilothèque (doc. P.D.F. pour la plupart), traitements de texte, photos, images, et courriers informatiques.

    24 heures après avoir été infecté, je m’en sors indemne, sain et sauf, sans dommage. C’est grace à vous. Je ne sais pas qui vous êtes. Je ne peux même pas vous nommer.

    Pourriez-vous nous faire savoir comment il est possible de vous remercier pour ce que vous avez publié ? Je suis gêné de seulement pouvoir vous écrire « MERCI »

  51. Merci, merci, vous avez sauvé mes fichiers musqiues, vidéos, photos, word…
    Un super coup de pouce alors que j’etais bien emme***.
    Il est rasssurant de voir qu’il y a des personnes qui luttent pour aider gratuiteement des inconnus… Franchement, un grand merci à vous !!!

  52. Ce qui est dommage, c’est qu’il faut fournir un fichier sain et son équivalent de plus de 4Mo !
    Or sur le pc que je viens d’avoir entre les mains, les fichiers locked font tous moins de 200ko

  53. j’ai un problème quand je tape « windowsunlocker » sur le terminal, il m’affiche que tout est OK et ne me propose pas de commande « 1 », « 2 » ou « 3 »… j’ai quand meme essayé de redémarrer mais l’ordinateur se bloque avec le ventilateur a fond, et un simple « _ » clignote sur un fond noir… quelqu’un pourrait m’aider s’il vous plait ?

  54. I removed it as follows on a Windows 7 PC :
    – Start PC.
    – Keep pressing F8 to get into « Safe Mode ».
    – Click « Start ».
    – On the search line type « MSCONFIG », press enter and run the program.
    – Select « StartUp » next to « Services ».
    – Unselect derm32.exe in C:/temp/ from an unknown supplier. (be aware this could be another name/folder on other systems)
    – Restart the computer in normal mode and remove the offending program.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *