Extension du fichier modifié seul...

Fermé
GASTON-CARRERE - 3 févr. 2015 à 17:04
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 7 févr. 2015 à 14:28
Bonjour à tous.

Voici mon problème

Au bureau nous avons un serveur (2008 R2) avec un dossier partagé nommé "Users".
Le problème est, qu'aujourd'hui après 13h de l'après midi, nous nous sommes rendu compte que la quasi totalité des fichiers WORD et EXCEL (donc tous les .doc .docx .xls et .xlsx) ont eu dans leur extension un .wuttxja rajouté derrière !

Par exemple un fichier "devis.doc" est maintenant nommé "devis.doc.wuttxja". Et si nous le renommons normalement en "devis.doc" et que nous l'ouvrons celui ci sera rempli de caractère du genre úöYD=€Ú\^q<=Q²ioef÷¾¡¼ˬ'°#Ó/<UÃYÅT ....

il faut savoir que cela n'affecte absolument pas les images, pdf et autres. Mais seulement les fichiers word et excel...
J'ai déjà analysé le serveur avec Avast, Malwerbytes, AdwCleaner, CCleaner et hijackthis mais rien et je ne dit bien RIEN n'a était détecté...

A y rien comprendre donc
Je vous demandes donc si l'un de vous à déjà vus se cas, et si oui comment le résoudre car à l'heure actuelle la quasi totalité de nos fichiers word et excel sont inutilisable !

Merci d'avance
A voir également:

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 3/02/2015 à 17:27
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

En l'occurence, c'est la variante CTB-Locker.
Il n'y a pas de solution pour récupérer les documents.


La modification peut avoir été fait depuis un ordinateur du réseau par le partage.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
jee pee Messages postés 40578 Date d'inscription mercredi 2 mai 2007 Statut Modérateur Dernière intervention 21 décembre 2024 9 460
3 févr. 2015 à 17:36
Bonjour,

Juste une observation, les fichiers étant sur un serveur, cela pourrait être l'un quelconque des pc utilisant cet espace de stockage qui est contaminé. Et donc si ce n'est pas le serveur, il faudrait inspecter les pc concernés pour déconnecter la source. Ce pc devrait lui aussi avoir des fichiers en local contaminés.

Cdlt
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 févr. 2015 à 22:04
oui en sachant que CTB-Locker ne semble pas rester sur le PC en question.
Il chiffre les documents et se ferme ensuite.

Normalement le fond d'écran est modifié - voir : https://www.supprimer-virus.com/ctb-locker/
0
GASTON-CARRERE Messages postés 1 Date d'inscription mardi 3 février 2015 Statut Membre Dernière intervention 5 février 2015
5 févr. 2015 à 10:06
Bonjour à vous et merci pour vos réponse...

Je confirme bien qu'il s'agit d'un Ransomware chiffreurs de fichiers, j'ai trouvé fichiers texte de rançon qui demande de dl le navigateur TOR pour payer les clés de décryptage etc etc....

Par contre je voulais savoir si c'est mort à 100% pour les données corrompue, ou si les antivirus &co peuvent sortir dans les jours/mois à venir des solutions ?

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
5 févr. 2015 à 17:39
C'est mort.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
5 févr. 2015 à 17:42
Voir peut-être chez Kaspersky, sortent parfois un utilitaire pour ça mais les chances sont infimes.

https://support.kaspersky.com/viruses/utility

Z'avaient sortis RannohDecryptor & XoristDecryptor par exemple.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 5/02/2015 à 17:49
RannohDecryptor & XoristDecryptor a été sorti car les dev ont fait des boulettes dans le code.
Voir explications sur la page des ransomwares : https://forum.malekal.com/viewtopic.php?t=49834&start=

Tous les éditeurs connaissent CTB-Locker... pour le moment, y a pas de solution.

L'autre solution est comme expliqué dans la page, la récupération des C&C avec les clefs de cryptages en espérant que la votre soit dedans.
Mais apparemment cette variante supprime les clefs au bout de 96h - enfin c'est ce qu'ils disent.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
5 févr. 2015 à 17:50
Mouarf. J'ai pas suivi l'histoire des CTB-Locker.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 févr. 2015 à 14:28
Quelqu'un peut essayer un logiciel de récupération de fichiers voir si cela fonctionne.
Par exemple : Tutorial PhotoRec.
0