Ransomware .CrySis
zakazak
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
j'ai une installation qui viens de se faire infecter par un crypto inconnu, je ne trouve rien le concernant sur le net.
Tous les fichiers touchés sont renommés en *.CrySiS
avez-vous des info ?
je ne trouve aucun fichier de rançonnage (ex:help_decrypt)
je trace le poste qui a déclenché ce truc mais je ne trouve pas encore.
Help !
je tien a noté que celui là semble crypter n'importe quel fichier (seul certains fichiers en cour d'utilisations sont sauf)
il crypte les fichier de base de donnée quadra et sage.
il crypte les PST et les OST alors qu'il étaient en cour d'utilisation Oo...
le virus semble se propage poste a poste (plusieurs postes local touchés et le cryptage est fait a la même heure, a 1 minute près)
j'ai une installation qui viens de se faire infecter par un crypto inconnu, je ne trouve rien le concernant sur le net.
Tous les fichiers touchés sont renommés en *.CrySiS
avez-vous des info ?
je ne trouve aucun fichier de rançonnage (ex:help_decrypt)
je trace le poste qui a déclenché ce truc mais je ne trouve pas encore.
Help !
je tien a noté que celui là semble crypter n'importe quel fichier (seul certains fichiers en cour d'utilisations sont sauf)
il crypte les fichier de base de donnée quadra et sage.
il crypte les PST et les OST alors qu'il étaient en cour d'utilisation Oo...
le virus semble se propage poste a poste (plusieurs postes local touchés et le cryptage est fait a la même heure, a 1 minute près)
A voir également:
- Ransomware .CrySis
- Ransomware solution protection - Guide
- Ransomware - Accueil - Virus
- Ransomware mcafee - Accueil - Piratage
- Problème Crysis wars ✓ - Forum Jeux vidéo
- Crysis Fin du jeu - Forum Jeux vidéo
7 réponses
Salut,
Je vais aller à la pêche aux infos.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Je vais aller à la pêche aux infos.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Concernant les postes touchés ils seront formaté intégralement par sécurité.
les fichiers des serveurs serons restaurés.
par contre l'aspect multi-poste me fait peur.
De plus les autres du genre ne pouvaient pas crypter les fichiers de Bases De Données, ce qui ne semble pas ennuyer celui là outre mesure.
J'ai déjà trainé sur le net et le nom du virus génère un grand nombre de faux positifs à cause du jeux éponyme. Bref je suis dans la mouise.
Il s'agit plus d'un pavé dans la marre en espérant que le cryptage soit pas trop complexe, histoire de voir si on peut récupérer quelque chose.
Au pire les prochaines victimes de cette saleté aurons un début de référencement.
les fichiers des serveurs serons restaurés.
par contre l'aspect multi-poste me fait peur.
De plus les autres du genre ne pouvaient pas crypter les fichiers de Bases De Données, ce qui ne semble pas ennuyer celui là outre mesure.
J'ai déjà trainé sur le net et le nom du virus génère un grand nombre de faux positifs à cause du jeux éponyme. Bref je suis dans la mouise.
Il s'agit plus d'un pavé dans la marre en espérant que le cryptage soit pas trop complexe, histoire de voir si on peut récupérer quelque chose.
Au pire les prochaines victimes de cette saleté aurons un début de référencement.
Il est nouveau car quelqu'un d'autre m'en a parlé aujourd'hui.
Là sans plus d'informations, c'est difficile à dire.
Pour ce qui est des serveurs etc... la plupart des ransomwares cherchent à chiffrer tout : UNC, lecteurs réseaux etc...
donc dans un réseau d'entreprise, ça fait mal, car ça chiffre toutes les ressources où l'utilisateur a accès.
Là sans plus d'informations, c'est difficile à dire.
Pour ce qui est des serveurs etc... la plupart des ransomwares cherchent à chiffrer tout : UNC, lecteurs réseaux etc...
donc dans un réseau d'entreprise, ça fait mal, car ça chiffre toutes les ressources où l'utilisateur a accès.
du coup je ne trouve même pas par où il est rentrer.
J'ai passé tous les mails à la loupe, nada.
pas d'historique louche ou d'installation logiciel.
J'ai passé tous les mails à la loupe, nada.
pas d'historique louche ou d'installation logiciel.
Si c'est venu à partir d'un poste client, c'est Mail ou Web ExploitKit.
Si c'est venu par le serveur, c'est souvent par du Bruteforce RDP, par exemple ce groupe visait que des entreprises et chiffraient les serveurs de fichiers : OMG/LOL Crypto-Ranwomware.
Si c'est venu par le serveur, c'est souvent par du Bruteforce RDP, par exemple ce groupe visait que des entreprises et chiffraient les serveurs de fichiers : OMG/LOL Crypto-Ranwomware.
Bonjour à tous,
j'ai également eu ce problème de mon côté. le problème est apparu dans la journée de dimanche alors que personne ne pouvait utiliser de machine.
après quelques recherches, je me suis aperçu que le malware est entré par une connexion d'un serveur RDP via un utilisateur qui n'était pas utilisé. j'ai trouvé dans ce profil RDP le message indiquant l'infection.
il semblerait que ce malware ne se soit pas intégré via un email mais via l'IP Fixe.
je n'ai aucune certitude là dessus, c'est uniquement un constat de ma part
j'ai également eu ce problème de mon côté. le problème est apparu dans la journée de dimanche alors que personne ne pouvait utiliser de machine.
après quelques recherches, je me suis aperçu que le malware est entré par une connexion d'un serveur RDP via un utilisateur qui n'était pas utilisé. j'ai trouvé dans ce profil RDP le message indiquant l'infection.
il semblerait que ce malware ne se soit pas intégré via un email mais via l'IP Fixe.
je n'ai aucune certitude là dessus, c'est uniquement un constat de ma part
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Rien à voir, mais lui devrait faire mal, comme TeslaCrypt en Décembre, il y a une campagne de Word Malicieux.
=> Ransomware Locky.
Attention aux PJ !
=> Ransomware Locky.
Attention aux PJ !
Bonjour,
je confirme le même phénomène samedi 13 Février vers 22 H 30 et de nouveau mercredi soir à la même heure. J'ai beaucoup de chance mes sauvegardes se sont fini 3/4 H avant ...
Je n'ai toujours pas identifié la source, mais je pense que cela provient d'une connexion rdp ...
A+ Stafi200
je confirme le même phénomène samedi 13 Février vers 22 H 30 et de nouveau mercredi soir à la même heure. J'ai beaucoup de chance mes sauvegardes se sont fini 3/4 H avant ...
Je n'ai toujours pas identifié la source, mais je pense que cela provient d'une connexion rdp ...
A+ Stafi200
C'est bon, j'ai eu un sample et la personne m'a confirmé que c'est par du RDP.
Par contre, je doute que ce soit le même groupe que OMG/LOL Ransomware, ça fait vraiment N00b, celui là.
=> j'ai mis à jour .Crysis Ransomware
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Par contre, je doute que ce soit le même groupe que OMG/LOL Ransomware, ça fait vraiment N00b, celui là.
=> j'ai mis à jour .Crysis Ransomware
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour,
Une nouvelle attaque cette nuit avec changement horaire ( 2H30 du mat ).
De plus , il y a de nouveaux fichiers en plus des Crysis, des "-decryptefile_aol.com"
Le changement du mot de passe admin n'as rien changé.
Y as t'il une solution pour éviter une nouvelle attaque ?
D'avance merci.
A+ Stafi200
Une nouvelle attaque cette nuit avec changement horaire ( 2H30 du mat ).
De plus , il y a de nouveaux fichiers en plus des Crysis, des "-decryptefile_aol.com"
Le changement du mot de passe admin n'as rien changé.
Y as t'il une solution pour éviter une nouvelle attaque ?
D'avance merci.
A+ Stafi200
Bonjour je viens de retrouver mon PC (après 3 jours d'absence , avec TOUS les fichiers encryptés :
nomdufichierdorigine.extensiondorigine.ID8A8A3D20.milarepa.lotos(arobase)aol.com.crysis
et bien sur, j'avais laissé mon disque de sauvegarde connecté à l'ordi .....
une quelconque lueur d'espoir , pour récupérer les données ?
nomdufichierdorigine.extensiondorigine.ID8A8A3D20.milarepa.lotos(arobase)aol.com.crysis
et bien sur, j'avais laissé mon disque de sauvegarde connecté à l'ordi .....
une quelconque lueur d'espoir , pour récupérer les données ?
