Virus locky !!!

Fermé
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016 - Modifié par Malekal_morte- le 29/04/2016 à 11:08
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 - 23 juil. 2016 à 04:38
A voir également:

10 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 31/10/2016 à 19:52
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

Ici c'est par email, Locky Ransomware va par des campagnes emails, voir la fiche Locky Ransomware : Fiche Ransomware.

~~

Pour toutes les explications et conseils sur le ransomware Locky :
- tenter de récupérer ses données avec Shadow Explorer
- comment le ransomware a pu infecté Windows
- ce qu'il faut faire pour s'en protéger (protection contre les scripts malicieux etc).

lire :
https://forums.commentcamarche.net/forum/affich-33948815-attaque-virus-ransomware-jaff-chiffrement-rsa#9

et les dossiers généraux sur les ransomwares :
Les ransomwares/rançongiciels et Les crypto-ransomwares.

~~~

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
Le ransomware n'est plus actif.

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 12:54
nous n'avons pas mcafee-virusscan scan... on a AVG internet security.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
Modifié par Malekal_morte- le 26/02/2016 à 13:11
McAfee Security Scan est installé sur ACCUEIL2 ==> https://pjjoint.malekal.com/files.php?id=FRST_20160226_x5g15b8s7b6

Mais bon, c'est pas bien grave.
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 13:57
ah ben il s'est installé tout seul le coco. je désinstalle comme tu me l'indique
0
bonjour,

ce truc est un ransomware crypto chiffreur !

Locky

tes données sont cryptés par cette infection !

à ce jour, il n'y a pas vraiment de solution pour décrypter les fichiers !

il y a eu quelques variantes ou on pouvait récupérer les fichiers, mais rien pour les dernières !

est ce qu'il y a des documents importants sur ces pc ?

est ce qu'il existe une copie ou sauvegarde de ces fichiers sur un autre support ?



O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 12:55
oui nos documents sont importants => c'est sur un serveur NAS en linux dont nos PC accèdent en réseau via des lecteurs réseau.
on a la compta, des dossiers médicaux importants.....
:-(
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 12:59
Il faut remettre une sauvegarde et sensibiliser les utilisateurs sur ces campagnes de mails malicieux ==> campagne mail malicieux Ransomware Locky.
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 13:10
on a une sauvegarde mais le problème est que le virus a infecté le serveur NAS et je ne sais pas quoi faire car c'est sous linux et l'informaticien qui nous l'a installé est pas dispo... donc il faut nettoyer avant tout le serveur..... mais je sais pas faire
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
Modifié par Malekal_morte- le 26/02/2016 à 13:29
Le ransomware Locky n'est plus actif, il n'est pas résident.
Il se lance, chiffre les documents, se ferme.

Il va chiffrer tout ce qu'il peut, disques locaux, disques amovibles et UNC...
Donc tout ce qui se trouvait accessible par les partages du NAS depuis l'utilisateur sur lequel le ransomware a été exécuté s'est retrouvé chiffré.

puis les instructions de paiement s'ouvrent.

Ce qu'il faut faire :
- remettre les sauvegardes
- changer les mots de passe
- eventuellement inspecter la machine infectée
- sensibiliser les utilisateurs aux emails malicieux et attitudes minimales de sécurité.
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:37
ok on va faire ça.
quand tu dis changer les mots de passe, est ce que c'est sur chaque PC ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 févr. 2016 à 12:44
Salut,

Je regarde les rapports.
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 13:06
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 13:13
Les rapports ont l'air correct côté malware.
Il ne me semble pas qu'il soit résident.

Tu as une console de gestion AVG ?
Tu as eu des alertes sur un PC ou même pas ?
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 13:56
aucune alerte sur aucun PC.
pas de console de gestion AVG], uniquement AVG sur chaque poste. Scan lancé et rien.
je pense que c'est sur le [serveur] qu'il traine
0
juste pour l'information, l'infection a été propagé sur le réseau depuis le deuxième pc !



comme je l'ai dit plus haut, pour les documents, c'est mort , sauf si tu as envie de payer le Ransom

Dans l'ordre des rapports que tu as mis sur le premier poste :


1/ le fichier texte d'instructions à suivre est ici :

2016-02-26 10:43 - 2016-02-26 10:43 - 00001125 _____ C:\Users\COORDINATION\Downloads\_Locky_recover_instructions.txt


en attendant, sur le premier rapport, il y a des Adwares / pup !


2/ sur le deuxième, quelque restant d'adwares et toujours l'instruction pour payer le ransom ici :

2016-02-25 16:18 - 2016-02-25 16:18 - 00001125 _____ C:\Users\m.genet\Desktop\_Locky_recover_instructions.txt


3/ le troisième pc "PALLIATIFS-PC" semble sain.

4/ celui ci sous W8,1 aussi semble sain, mais une grosse utilisation de Svchost !
à voir de plus près !

5/ Celui ci qui contient le compta semble sain aussi, mais il a un restant d'Adwares et une grosse utilisation de Svchost aussi !



O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 févr. 2016 à 13:30
Locky Ransomware n'est pas résident, c'est du one shoot => https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12
0
Utilisateur anonyme > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
26 févr. 2016 à 13:32
je sais, je l'ai vu bien avant que tu postes :mdr:
0
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 306
Modifié par jivef le 22/07/2016 à 05:35
Bonjour,
Sur les PC, ce n'est pas forcément mort...
Sur les versions récentes de Windows, si VSS est activé, on peut encore récupérer quelque chose...
Et puis, quand on a des choses importantes sur un système informatique... on les sauvegardes. Et pas seulement une fois par mois, mais tous les jours.
Et on ne laisse pas la sauvegarde connectée une fois terminée, parce que si la sauvegarde est chiffrée aussi et bien tu peux pleurer...

Bon courage.

PS : On dit chiffrer et pas crypter.
Par contre on dit bien décrypter quand il s'agit de forcer un déchiffrement sans la clé et déchiffrer quand on a la clé pour déchiffrer et qu'on fait les choses sans forcer.
Çà n'a pas une très grande importance, mais il faut juste bien comprendre de quoi on parle.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020
22 juil. 2016 à 08:47
Normalement tous les ransomwares actuels (Locky, Cerber, CryptXXX) désactivent VSS.
0
jivef Messages postés 927 Date d'inscription mercredi 11 août 2004 Statut Membre Dernière intervention 12 novembre 2020 306 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
23 juil. 2016 à 04:38
Chez un client récemment infecté on a pu récupérer plein d'infos grâce au VSS (on a utilisé Shadow Explorer) et le reste à partir de sauvegarde...
Et c'était bien Locky.
Donc je persiste dans ma version, si VSS est activé...

Mais j'en conviens, ils sont de plus en plus perfectionnés et de plus en plus dangereux.

Bien cordialement.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
26 févr. 2016 à 13:37
lis ce poste :

https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#11

seule 2 premiers pc semble être touchés !

tes compta se trouvent sur le 5° pc, non touché !


0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:09
bon :-(
je ne veux pas payer de ranson ou quoi que ce soit, je veux juste que ce virus dégage....
donc je fais quoi ?
et la compta est sur le 2ème PC. de mon premier envoi de lien
je suis dépitée, au secours.....
0
Utilisateur anonyme
26 févr. 2016 à 14:11
ok,

dans ce cas, regarde voir ce que tu as comme sauvegarde récente !

on nettoie les pc un par un !

mais on ne peut être 2 sur ce même poste, chacun ayant une technique différente de nettoyage !

suis les instructions de Malekal !

il va t'aider à nettoyer les pc !

si besoin, je suis le poste !
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:14
on a une sauvegarde du serveur qui date d'hier midi sur disque dur externe.
les scan ont été lancés sur chaque PC et nettoyé.
mais le serveur ?
0
Utilisateur anonyme
26 févr. 2016 à 14:15
il est sous quel système d'exploitation ?

0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
Modifié par gpspbdc le 26/02/2016 à 14:26
linux, serveur NAS
0
Utilisateur anonyme > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:27
j'ai un doute, mais il y a des fichiers crypté là dessus aussi ?
0
gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:29
oui nos pc sont reliés au serveur via des lecteur réseau et les fichiers cryptés sont tous sur le serveur
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > gpspbdc Messages postés 13 Date d'inscription vendredi 26 février 2016 Statut Membre Dernière intervention 26 février 2016
26 févr. 2016 à 14:30
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 26/02/2016 à 14:31
@gpspbdc.
Fais une pause de 30s.
Respire un coup.
Je sais que tu es dans une situation stressante, mais je te répète, le ransomware n'est plus actif.
Il n'y a rien à désinfecter (bon y a quelques urls de moteur de recherche parasite en page de démarrage mais ce n'est pas la priorité).

Lis mon intervention en message #12 : https://forums.commentcamarche.net/forum/affich-33216451-virus-locky#12

Il faut remettre les sauvegardes sur le NAS.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Bonjour, suite à l'ouverture d'un mail j'ai attrapé le virus locky sur mon pc de boulot, j'ai essayé les anti malware, ccleaner je ne sais pas quoi faire pour sauver mes données compta pouvez vous m'aider ??
0
Voir plus haut la solution de récupération que j'ai proposée
0
Bonjour

Il est possible de récupérer les fichiers mais cela demande un peu de connaissances et de patience.

1) démonter le DD infecté sans faire d'opérations d'écriture sur ce DD et le mettre de côté.
2 ) acheter un nouveau DD ou prendre une autre machine.
3) installer Linux Mint 17.3 ou autre (Ubuntu, Debian, ...) sur le nouveau DD ou autre machine.
4) installer sophos AV pour linux (voir docs en ligne à ce sujet).
5) installer R-Studio (acheter licence à 80 $).
6) installer DD infecté sur Machine Linux.
7) passer Sophos AV par sécurité avec la commande sudo savscan / (de qqs mn à 1 h).
8) lancer R-Studio et lui demander de scanner les partitions NTFS (de 1 h à qqs heures voire plus selon le volume de données).
9) vos fichiers sont présents MAIS ils ont pris le libellé $XXXXXX.doc, .xls. etc .
10) recopier l'arborescence de vos répertoires de l'ancien DD sur le nouveau DD (ou ailleurs).
11) supprimer les .locky et les .txt (recovery).
12) restaurer les fichiers $XXXXXX (recup des doc, xls, eml, pts, etc ) vers un répertoire ZZZZ que vous créez dans le / Home (au même niveau que Documents).
En réalité, il semblerait que l'auteur du rançonware crypte les fichiers puis supprime les originaux (d'après mon analyse et qqs lectures du WEB).
13) installer une virtualbox XP ou Win 7 + logiciels MS.
14) partager le répertoire ZZZZ et répertoire /home dans virtualbox pour permettre l'accès de la VM Win sur les dossiers Linux.
13) ouvrez vos fichiers dans la VM avec Ms Office ou autre et sauvegarder les dans votre arborescence restaurée ou ailleurs.
14) réimporter dans Outlook vos mails ou carnets d'adresses
15) etc pour autres logiciels.

Le boulot est fastidieux mais c'est la meilleure solution à ce jour

Autre piste sans passer par Linux mais même méthode en utilisant Recuva (Piriform) ou similaire en utilisant la même procédure avec une machine Windows.

Je viens de mettre en œuvre cette procédure et on vient de récupérer qqs années de données pour un client.

Bien entendu cette procédure est ouverte et d'autres variantes sont possibles. Celle-ci a le mérite d'être fiable et souple.

A vos claviers

Cdlt

Emmanuel
0
Bonjour,

Merci Manub, j'ai trouvé la piste très intéressante, et j'ai donc analysé, avec Restorer Ultimate depuis un autre PC (sain), une clé USB ayant ses fichiers cryptés et transformés en" xxx.locky", et effectivement les répertoires contiennent bien les fichiers "originaux" effacés, avec leur nom original.

J'ai récupéré ces fichiers effacés sur un autre volume, ils s'ouvrent normalement, mais semblent également cryptés ??

Quelle pourrait-être la différence avec R-studio sous Linux avant que je me lance dans cette procédure qui, je crains fort, va aboutir aux même résultats, : "récupération des fichiers effacés, mais impossible de les lire" ?

Dominique
0
Bonjour

S'il y a eu des écritures sur le DD entre le cryptage et les tentatives de récupération, il y a (ou peut avoir) en effet des fichiers corrompus mais ce peut-erte aussi des fichiers qui ont été supprimés il y a qqs jours ou semaines.
Dans mon cas environ une centaine sur plusieurs milliers de fichiers.
Sur une clé USB, c'est pareil si ce n'est pire en terme d'écriture !!!
L'idéal est de bloquer l'écriture sur le DD touché par le .locky pour éviter l'écriture par inadvertance.

Je ne connais pas la différence entre Restorer Ultimate et R-Studio pour LINUX. Recuva est moins puissant en terme de gestion partitions et de fichiers effacés.
Avec R-Studio pour Linux, je récupère des Raid endommagés ou autres partitions (je n'ai pas d'actions chez eux, ni de commission. ;-) )

D'après ce que tu écris, tu aurais les noms de fichiers alors que ceux que j'ai récupérés sont au format 8 caractères avec $ devant + extensions.

Il serait intéressant de faire un essai avec R-Studio pour Windows en version Démo. Peut-etre que tu auras LA solution. (Vu l'urgence, je n'ai pas pris le temps de le faire)

Je viens de finir et le client est plutôt content (très content) dans son malheur...

Petite info très désagréable: le client avait une sauvegarde SafeSync (produit en fin de vie) chez TrendMicro. Tous ses fichiers sont également passés en .locky. Trend n'a rien vu venir ni passer. J'ai pris contact avec leur support: pas de sauvegarde additionnelle, ni de protection antivirus / antimalwares sur leur cloud = sauvegarde cloud inutile. Ils considèrent que le cloud = du stockage point final. Pour un éditeur d'antivirus c'est pas sérieux ....

Merci de faire remonter vos retours sur ce fil.

Cordialement

Emmanuel
0
Re bonjour,

J'ai téléchargé et fait le test avec R-Studio et même résultat, et pour cause, les 2 logiciels se ressemblent énormément, tant dans l'interface que les fonctionnalités (même la présentation sur le web) à se demander si ce n'est pas le même (très légèrement) relooké ou la même société ou l'un est le clone de l'autre...

Avec les 2 logiciels je retrouve bien pour nombre de fichiers son correspondant encrypté qui fait la même taille + 836 octets à la la date et heure de "l'infection" avec un nom (en hexadécimal) commençant par la clé d'identification mentionnée dans le fichier txt, et une extension .locky
(exemple en ce qui me concerne : DF8E39EFB37C032525E2xxxxxx.locky

Quoiqu'il en soit il est fort probable qu'une partie de mon souci vient du fait que la clé USB était presque pleine au moment de "l'incident" et donc en dupliquant les fichiers pour les encrypter, les fichiers effacés se sont retrouvés illisibles ce qui maintiendrait cette piste très intéressante pour d'autres personnes plus "chanceuses"

Dominique
0