Ransomware .CrySis
Fermé
zakazak
-
15 févr. 2016 à 17:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 janv. 2017 à 18:42
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 janv. 2017 à 18:42
A voir également:
- Ransomware .CrySis
- Protection contre les ransomware windows 10 - Guide
- Ransomware - Accueil - Virus
- Ransomware README.HTML - Forum Virus
- Ransomware 0xxx - Forum Virus
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
Modifié par Malekal_morte- le 15/02/2016 à 17:41
Modifié par Malekal_morte- le 15/02/2016 à 17:41
Salut,
Je vais aller à la pêche aux infos.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Je vais aller à la pêche aux infos.
~~
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Concernant les postes touchés ils seront formaté intégralement par sécurité.
les fichiers des serveurs serons restaurés.
par contre l'aspect multi-poste me fait peur.
De plus les autres du genre ne pouvaient pas crypter les fichiers de Bases De Données, ce qui ne semble pas ennuyer celui là outre mesure.
J'ai déjà trainé sur le net et le nom du virus génère un grand nombre de faux positifs à cause du jeux éponyme. Bref je suis dans la mouise.
Il s'agit plus d'un pavé dans la marre en espérant que le cryptage soit pas trop complexe, histoire de voir si on peut récupérer quelque chose.
Au pire les prochaines victimes de cette saleté aurons un début de référencement.
les fichiers des serveurs serons restaurés.
par contre l'aspect multi-poste me fait peur.
De plus les autres du genre ne pouvaient pas crypter les fichiers de Bases De Données, ce qui ne semble pas ennuyer celui là outre mesure.
J'ai déjà trainé sur le net et le nom du virus génère un grand nombre de faux positifs à cause du jeux éponyme. Bref je suis dans la mouise.
Il s'agit plus d'un pavé dans la marre en espérant que le cryptage soit pas trop complexe, histoire de voir si on peut récupérer quelque chose.
Au pire les prochaines victimes de cette saleté aurons un début de référencement.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
15 févr. 2016 à 18:19
15 févr. 2016 à 18:19
Il est nouveau car quelqu'un d'autre m'en a parlé aujourd'hui.
Là sans plus d'informations, c'est difficile à dire.
Pour ce qui est des serveurs etc... la plupart des ransomwares cherchent à chiffrer tout : UNC, lecteurs réseaux etc...
donc dans un réseau d'entreprise, ça fait mal, car ça chiffre toutes les ressources où l'utilisateur a accès.
Là sans plus d'informations, c'est difficile à dire.
Pour ce qui est des serveurs etc... la plupart des ransomwares cherchent à chiffrer tout : UNC, lecteurs réseaux etc...
donc dans un réseau d'entreprise, ça fait mal, car ça chiffre toutes les ressources où l'utilisateur a accès.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
>
zakazak
15 févr. 2016 à 20:06
15 févr. 2016 à 20:06
ouaip contrairement aux malwares persistant (bot etc)
les ransomwares, c'est comme les stealers, suffit que ça tourne 5min pour faire mal.
du coup, ça permet de toucher pas mal de machines.
les ransomwares, c'est comme les stealers, suffit que ça tourne 5min pour faire mal.
du coup, ça permet de toucher pas mal de machines.
du coup je ne trouve même pas par où il est rentrer.
J'ai passé tous les mails à la loupe, nada.
pas d'historique louche ou d'installation logiciel.
J'ai passé tous les mails à la loupe, nada.
pas d'historique louche ou d'installation logiciel.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
16 févr. 2016 à 11:47
16 févr. 2016 à 11:47
Si c'est venu à partir d'un poste client, c'est Mail ou Web ExploitKit.
Si c'est venu par le serveur, c'est souvent par du Bruteforce RDP, par exemple ce groupe visait que des entreprises et chiffraient les serveurs de fichiers : OMG/LOL Crypto-Ranwomware.
Si c'est venu par le serveur, c'est souvent par du Bruteforce RDP, par exemple ce groupe visait que des entreprises et chiffraient les serveurs de fichiers : OMG/LOL Crypto-Ranwomware.
Bonjour à tous,
j'ai également eu ce problème de mon côté. le problème est apparu dans la journée de dimanche alors que personne ne pouvait utiliser de machine.
après quelques recherches, je me suis aperçu que le malware est entré par une connexion d'un serveur RDP via un utilisateur qui n'était pas utilisé. j'ai trouvé dans ce profil RDP le message indiquant l'infection.
il semblerait que ce malware ne se soit pas intégré via un email mais via l'IP Fixe.
je n'ai aucune certitude là dessus, c'est uniquement un constat de ma part
j'ai également eu ce problème de mon côté. le problème est apparu dans la journée de dimanche alors que personne ne pouvait utiliser de machine.
après quelques recherches, je me suis aperçu que le malware est entré par une connexion d'un serveur RDP via un utilisateur qui n'était pas utilisé. j'ai trouvé dans ce profil RDP le message indiquant l'infection.
il semblerait que ce malware ne se soit pas intégré via un email mais via l'IP Fixe.
je n'ai aucune certitude là dessus, c'est uniquement un constat de ma part
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
16 févr. 2016 à 14:41
16 févr. 2016 à 14:41
ok même tactique que OMG/LOL ransomware, c'est peut-être le même groupe, faudrait voir le message contenant les instructions s'il est identique.
Si tu as un sample de disponible => http://upload.malekal.com
Si tu as un sample de disponible => http://upload.malekal.com
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
>
zakazak
17 févr. 2016 à 11:08
17 févr. 2016 à 11:08
Surement parce qu'il est pas allé jusqu'au bout, j'imagine.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
16 févr. 2016 à 14:46
16 févr. 2016 à 14:46
Rien à voir, mais lui devrait faire mal, comme TeslaCrypt en Décembre, il y a une campagne de Word Malicieux.
=> Ransomware Locky.
Attention aux PJ !
=> Ransomware Locky.
Attention aux PJ !
Bonjour,
je confirme le même phénomène samedi 13 Février vers 22 H 30 et de nouveau mercredi soir à la même heure. J'ai beaucoup de chance mes sauvegardes se sont fini 3/4 H avant ...
Je n'ai toujours pas identifié la source, mais je pense que cela provient d'une connexion rdp ...
A+ Stafi200
je confirme le même phénomène samedi 13 Février vers 22 H 30 et de nouveau mercredi soir à la même heure. J'ai beaucoup de chance mes sauvegardes se sont fini 3/4 H avant ...
Je n'ai toujours pas identifié la source, mais je pense que cela provient d'une connexion rdp ...
A+ Stafi200
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
17 févr. 2016 à 19:00
17 févr. 2016 à 19:00
Si vous avez un sample (bon si c'est le même groupe qu'OMG/LOL Ransomware, souvent, il lance le bordel et laisse rien) ou au moins le message de rançon, je suis preneur =)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
Modifié par Malekal_morte- le 18/02/2016 à 17:08
Modifié par Malekal_morte- le 18/02/2016 à 17:08
C'est bon, j'ai eu un sample et la personne m'a confirmé que c'est par du RDP.
Par contre, je doute que ce soit le même groupe que OMG/LOL Ransomware, ça fait vraiment N00b, celui là.
=> j'ai mis à jour .Crysis Ransomware
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Par contre, je doute que ce soit le même groupe que OMG/LOL Ransomware, ça fait vraiment N00b, celui là.
=> j'ai mis à jour .Crysis Ransomware
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
>
zakazak
18 févr. 2016 à 18:36
18 févr. 2016 à 18:36
de rien =)
Bonjour,
Une nouvelle attaque cette nuit avec changement horaire ( 2H30 du mat ).
De plus , il y a de nouveaux fichiers en plus des Crysis, des "-decryptefile_aol.com"
Le changement du mot de passe admin n'as rien changé.
Y as t'il une solution pour éviter une nouvelle attaque ?
D'avance merci.
A+ Stafi200
Une nouvelle attaque cette nuit avec changement horaire ( 2H30 du mat ).
De plus , il y a de nouveaux fichiers en plus des Crysis, des "-decryptefile_aol.com"
Le changement du mot de passe admin n'as rien changé.
Y as t'il une solution pour éviter une nouvelle attaque ?
D'avance merci.
A+ Stafi200
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
>
Stafi200
19 févr. 2016 à 11:58
19 févr. 2016 à 11:58
filtrer les accès RDP.
Bloquer certains pays au niveau des IPs.
Vérifier avec quel compte, il se connecte et changer les mdp.
etc.
Bloquer certains pays au niveau des IPs.
Vérifier avec quel compte, il se connecte et changer les mdp.
etc.
Bonjour je viens de retrouver mon PC (après 3 jours d'absence , avec TOUS les fichiers encryptés :
nomdufichierdorigine.extensiondorigine.ID8A8A3D20.milarepa.lotos(arobase)aol.com.crysis
et bien sur, j'avais laissé mon disque de sauvegarde connecté à l'ordi .....
une quelconque lueur d'espoir , pour récupérer les données ?
nomdufichierdorigine.extensiondorigine.ID8A8A3D20.milarepa.lotos(arobase)aol.com.crysis
et bien sur, j'avais laissé mon disque de sauvegarde connecté à l'ordi .....
une quelconque lueur d'espoir , pour récupérer les données ?