Comment récupérer un fichier effacé par erreur

Qui n’a jamais effacé trop vite un fichier important?

Peu, par contre, ont cherché à le récupérer…

Je vous propose une petite démo avec un freeware appelé EASEUS Deleted File Recovery 2.1.1 

Au lancement du programme on vous propose de sélectionner le « volume » où se trouvait le fichier perdu.

home

Ici, je choisi ma clé USB et on clique sur NEXT.

 

search

Le logiciel analyse ma clé …

Le résultat s’affiche enfin:

browser

Immédiatement, je m’aperçois qu’il y a beaucoup plus de choses sur ma clé que ce que je pensais…

Mais je trouve mon fichier (Mon document effacé par erreur.doc), je le sélectionne…

target

Je choisis de le restaurer dans la sandbox de Kaspersky (on ne sait jamais);  il est déconseillé de faire la restauration sur le même disque.

voila

Tout simplement et  mon fichier est sauvé ….

end

 

Il existe bien sûr beaucoup d’autres logiciels permettant la restauration de fichiers effacés.

Mon objectif ici est de montrer qu’effacer un fichier n’est pas une protection absolue…

 

La suite au prochain épisode  😉

Les joies des clés USB

On ne peut plus s’en passer, c’est si pratique!

Les clés USB sont omniprésentes pour les échanges dans les entreprises; les prestataires informatiques en usent aussi largement pour installer leurs mises à jours applicatives, patches et autres drivers…

Ces clés voient parfois des dizaines d’entreprises différentes, des centaines de postes en toute impunité.

Je vais être parano mais: cela met en péril l’informatique de ces entreprises (et le peu de crédibilité qui restaient aux prestataires).

Pourquoi et comment avec ce petit exemple (vrai)

Actuellement, mon métiers fait que j’interviens dans les entreprises pour réaliser la « connexion informatique » de copieurs multifonctions. Cela nécessite d’installer des pilotes (PCL, PS, PC-fax), certaines applications (de communications, serveurs FTP, …). Comme tout le monde j’ai une batterie de clés USB pour cela.

Aujourd’hui, j’ai remarqué une chose qui m’a amusé une bonne heure: sur l’une de ces clés, il y avait deux fichiers: autorun.inf et printer.exe

Ces deux fichiers à priori anodins, ne font pas partie de « mes » fichiers, je les ai donc supprimé sans chercher plus loin.

Sauf que… ils réapparaissaient systématiquement! Idem en les renommant…ou en formattant ma clé! (Yes! enfin un peu de sport!)

Je regarde les processus actifs et je repère un truc qui s’appelle cftmons.exe lancé par l’utilisateur (un processus légitime s’appelle ctfmon.exe).Je stoppe le processus et me lance dans le registre.

Dans HKCU/Software/…/run je trouve un appel étrange à mssql.exe. Comme pour mes 2 fichiers, il ne veux pas être supprimer… (pour l’anecdote: même si les propriétés laissent croire à un fichier de chez Microsoft, la langue d’origine  chinoise trahit le malware).

J’ai arrêté là mon petit bricolage et j’ai lancé un scan complet ma machine….

Je ne vais pas m’étendre sur le fait que le moniteur temps réel de mon AV n’a rien vu… Après tout, celui des clients où cette clé est passée non plus!

Je rassure aussi mes lecteurs: je vérifie mes clés USB tous les jours. De plus, j ‘ai plusieurs clés (avec les même choses) c’est aussi pour éviter de propager les infections glaner ça et là. 

La morale de cette histoire est double:

– Les entreprises font généralement trop confiance aux clés USB (cela rappellera des souvenirs à une grande entreprise du coin)

– les prestataires devraient être irréprochable sur la « propreté » de leurs lecteurs et autres médias amovibles.