Locky virus : recover your encrypted files without paying

Un post un petit peu spécial : un de nos clients a été touché par le virus Locky ; virus qui chiffre la plupart des fichiers, et réclame une rançon pour obtenir la clef de déchiffrement, bref un truc bien sympa.

Nous avons pu récupérer la plupart des fichiers en utilisant cette technique :
Voici la méthode que nous avons utilisée, sans garantie.

  • Éteignez immédiatement l’ordinateur. Dans notre cas, le poste a été coupé environ 2h après l’infection
  • Branchez le disque compromis sur une machine Linux (Debian Jessie dans notre cas)
  • Utilisez l’utilitaire photorec (inclus dans le package testdisk, dispo sur le repo debian)
  • Selectionnez votre disque NTFS (probablement /dev/sdb)
  • Selectionnez la partition de données
  • Sélectionne le type de système de fichier : Other (FAT/NTFS/ …)
  • Sélectionnez « Extract file from whole partition »

Cela prend un long moment (environ 8h pour 130 Go de données). Les noms des fichiers sont partiellement perdus pendant la copie.

Il semble que le virus créé un nouveau fichier crypté, et supprime l’original, seule possibilité pour traiter les gros fichiers sans avoir à les charger dans la ram. Les fichiers originaux peuvent être récupérables via une lecture directe bloc à bloc du disque.


English version :

We’ve managed to recover the major part of the encrypted files for a client:

  • Shutdown the infected computer as soon as possible. (2h after infection in our example)
  • Plug the harddrive on a *nix system (for us Debian Jessie did the job)
  • Use photorec utility (included in testdisk package, at least on the debian repo)
  • Select your ntfs drive (probably /dev/sdb)
  • Select your data partition
  • Select the FS type : Other (FAT/NTFS/ …)
  • Use « Extract file from whole partition »

This is a very long process (on my system, it took aproximativly 8 hours for 130 GB) Filenames are lost in the process 🙁

The virus may creates a new encrypted file, and delete the original ; the only solution for big files without loading the whole file in memory in my opinion. So the old file may be recoverable with a direct block read.

Hope this could help someone

Bookmark and Share