Extension du fichier modifié seul...

GASTON-CARRERE -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 7 févr. 2015 à 14:28

Bonjour à tous.

Voici mon problème

Au bureau nous avons un serveur (2008 R2) avec un dossier partagé nommé "Users".
Le problème est, qu'aujourd'hui après 13h de l'après midi, nous nous sommes rendu compte que la quasi totalité des fichiers WORD et EXCEL (donc tous les .doc .docx .xls et .xlsx) ont eu dans leur extension un .wuttxja rajouté derrière !

Par exemple un fichier "devis.doc" est maintenant nommé "devis.doc.wuttxja". Et si nous le renommons normalement en "devis.doc" et que nous l'ouvrons celui ci sera rempli de caractère du genre úöYD=€Ú\^q<=Q²ioef÷¾¡¼Ë¬'°#Ó/<UÃYÅT ....

il faut savoir que cela n'affecte absolument pas les images, pdf et autres. Mais seulement les fichiers word et excel...
J'ai déjà analysé le serveur avec Avast, Malwerbytes, AdwCleaner, CCleaner et hijackthis mais rien et je ne dit bien RIEN n'a était détecté...

A y rien comprendre donc
Je vous demandes donc si l'un de vous à déjà vus se cas, et si oui comment le résoudre car à l'heure actuelle la quasi totalité de nos fichiers word et excel sont inutilisable !

Merci d'avance

Afficher la suite

A voir également:

Extension du fichier modifié seul...
Fichier bin - Guide
Changer extension fichier - Guide
Fichier epub - Guide
Fichier rar - Guide
Comment réduire la taille d'un fichier - Guide

4 réponses

Réponse 1 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

En l'occurence, c'est la variante CTB-Locker.
Il n'y a pas de solution pour récupérer les documents.

La modification peut avoir été fait depuis un ordinateur du réseau par le partage.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

jee pee Messages postés 41521 Date d'inscription Statut Modérateur Dernière intervention 9 720

Bonjour,

Juste une observation, les fichiers étant sur un serveur, cela pourrait être l'un quelconque des pc utilisant cet espace de stockage qui est contaminé. Et donc si ce n'est pas le serveur, il faudrait inspecter les pc concernés pour déconnecter la source. Ce pc devrait lui aussi avoir des fichiers en local contaminés.

Cdlt

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

oui en sachant que CTB-Locker ne semble pas rester sur le PC en question.
Il chiffre les documents et se ferme ensuite.

Normalement le fond d'écran est modifié - voir : https://www.supprimer-virus.com/ctb-locker/

Réponse 2 / 4

GASTON-CARRERE Messages postés 1 Date d'inscription Statut Membre Dernière intervention

Bonjour à vous et merci pour vos réponse...

Je confirme bien qu'il s'agit d'un Ransomware chiffreurs de fichiers, j'ai trouvé fichiers texte de rançon qui demande de dl le navigateur TOR pour payer les clés de décryptage etc etc....

Par contre je voulais savoir si c'est mort à 100% pour les données corrompue, ou si les antivirus &co peuvent sortir dans les jours/mois à venir des solutions ?

Merci

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

C'est mort.

Réponse 3 / 4

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Voir peut-être chez Kaspersky, sortent parfois un utilitaire pour ça mais les chances sont infimes.

https://support.kaspersky.com/viruses/utility

Z'avaient sortis RannohDecryptor & XoristDecryptor par exemple.

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

RannohDecryptor & XoristDecryptor a été sorti car les dev ont fait des boulettes dans le code.
Voir explications sur la page des ransomwares : https://forum.malekal.com/viewtopic.php?t=49834&start=

Tous les éditeurs connaissent CTB-Locker... pour le moment, y a pas de solution.

L'autre solution est comme expliqué dans la page, la récupération des C&C avec les clefs de cryptages en espérant que la votre soit dedans.
Mais apparemment cette variante supprime les clefs au bout de 96h - enfin c'est ce qu'ils disent.

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

Mouarf. J'ai pas suivi l'histoire des CTB-Locker.

Réponse 4 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Quelqu'un peut essayer un logiciel de récupération de fichiers voir si cela fonctionne.
Par exemple : Tutorial PhotoRec.

Forum Virus

Trouvez des solutions pour détecter et éliminer les menaces, des astuces pour prévenir les infections, et discutez des dernières menaces en ligne