Attaque par un RansomWare

imrad Messages postés 1 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
J'ai été de la même manière été attaqué tout récemment par un ransomware.
les dégats sont assez conséquent avec un logiciel de compta vérouillé, 2 postes insfectés, et tous les fichiers d'un nas crypté.

voici les 3 liens des rapports de l'outil SCAN FRST :

https://pjjoint.malekal.com/files.php?id=20160310_i12q7v15s9c9
https://pjjoint.malekal.com/files.php?id=FRST_20160310_d15x12t15q14e15
https://pjjoint.malekal.com/files.php?id=20160310_z8j9k6u9w5

Je reste disponible. en vous remerciant.
Belle journée.


A voir également:

2 réponses

Réponse 1 / 2
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Je regarde les rapports.
0
Réponse 2 / 2
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

il s'agit de la variante TeslaCrypt.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 


HKU\S-1-5-21-640296151-2137260581-626364995-1001\...\Run: [hasvvoc] => C:\windows\system32\CMD.EXE /c start C:\Users\biolal\Documents\pqqqhrgqnijw.exe
HKU\S-1-5-21-640296151-2137260581-626364995-1001\...\Run: [eyoookr] => C:\windows\system32\CMD.EXE /c start C:\Users\biolal\Documents\pqqqhrgqnijw.exe
HKU\S-1-5-21-640296151-2137260581-626364995-1001\...\Run: [mugdidk] => C:\windows\system32\CMD.EXE /c start C:\Users\biolal\Documents\pqqqhrgqnijw.exe
HKU\S-1-5-21-640296151-2137260581-626364995-1001\...\Run: [ugdidkj] => C:\windows\system32\CMD.EXE /c start C:\Users\biolal\Documents\pqqqhrgqnijw.exe
2016-03-08 10:05 - 2016-03-08 10:09 - 00011495 _____ C:\Users\Public\Downloads\_ReCoVeRy_+ufpfi.html
2016-03-08 10:05 - 2016-03-08 10:09 - 00011495 _____ C:\Users\Public\_ReCoVeRy_+ufpfi.html
2016-03-08 10:05 - 2016-03-08 10:09 - 00011495 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+ufpfi.html
2016-03-08 10:05 - 2016-03-08 10:09 - 00011495 _____ C:\Users\biolal\_ReCoVeRy_+ufpfi.html
2016-03-08 10:05 - 2016-03-08 10:09 - 00002006 _____ C:\Users\Public\Downloads\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:05 - 2016-03-08 10:09 - 00002006 _____ C:\Users\Public\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:05 - 2016-03-08 10:09 - 00002006 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:05 - 2016-03-08 10:09 - 00002006 _____ C:\Users\biolal\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:05 - 2016-03-08 10:05 - 00011495 _____ C:\windows\Tasks\_ReCoVeRy_+ufpfi.html
2016-03-08 10:05 - 2016-03-08 10:05 - 00002006 _____ C:\windows\Tasks\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:04 - 2016-03-08 10:09 - 00011495 _____ C:\Users\biolal\AppData\_ReCoVeRy_+ufpfi.html
2016-03-08 10:04 - 2016-03-08 10:09 - 00002006 _____ C:\Users\biolal\AppData\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:03 - 2016-03-08 10:09 - 00011495 _____ C:\Users\Public\Documents\_ReCoVeRy_+ufpfi.html
2016-03-08 10:03 - 2016-03-08 10:09 - 00011495 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+ufpfi.html
2016-03-08 10:03 - 2016-03-08 10:09 - 00002006 _____ C:\Users\Public\Documents\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:03 - 2016-03-08 10:09 - 00002006 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+ufpfi.txt
2016-03-08 10:03 - 2016-03-08 10:03 - 00011495 _____ C:\ProgramData\_ReCoVeRy_+ufpfi.html
2016-03-08 10:03 - 2016-03-08 10:03 - 00002006 _____ C:\ProgramData\_ReCoVeRy_+ufpfi.txt
2016-03-07 14:02 - 2016-03-07 14:06 - 00011495 _____ C:\Users\Public\Downloads\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:06 - 00011495 _____ C:\Users\Public\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:06 - 00011495 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:06 - 00011495 _____ C:\Users\biolal\AppData\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:06 - 00011495 _____ C:\Users\biolal\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:06 - 00002006 _____ C:\Users\Public\Downloads\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:02 - 2016-03-07 14:06 - 00002006 _____ C:\Users\Public\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:02 - 2016-03-07 14:06 - 00002006 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:02 - 2016-03-07 14:06 - 00002006 _____ C:\Users\biolal\AppData\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:02 - 2016-03-07 14:06 - 00002006 _____ C:\Users\biolal\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:02 - 2016-03-07 14:02 - 00011495 _____ C:\windows\Tasks\_ReCoVeRy_+gvdhq.html
2016-03-07 14:02 - 2016-03-07 14:02 - 00002006 _____ C:\windows\Tasks\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:00 - 2016-03-07 14:06 - 00011495 _____ C:\Users\Public\Documents\_ReCoVeRy_+gvdhq.html
2016-03-07 14:00 - 2016-03-07 14:06 - 00011495 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+gvdhq.html
2016-03-07 14:00 - 2016-03-07 14:06 - 00002006 _____ C:\Users\Public\Documents\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:00 - 2016-03-07 14:06 - 00002006 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+gvdhq.txt
2016-03-07 14:00 - 2016-03-07 14:00 - 00011495 _____ C:\ProgramData\_ReCoVeRy_+gvdhq.html
2016-03-07 14:00 - 2016-03-07 14:00 - 00002006 _____ C:\ProgramData\_ReCoVeRy_+gvdhq.txt
2016-03-07 11:20 - 2016-03-07 11:30 - 00011495 _____ C:\Users\Public\Downloads\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:30 - 00011495 _____ C:\Users\Public\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:30 - 00011495 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:30 - 00011495 _____ C:\Users\biolal\AppData\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:30 - 00011495 _____ C:\Users\biolal\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:30 - 00002006 _____ C:\Users\Public\Downloads\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:20 - 2016-03-07 11:30 - 00002006 _____ C:\Users\Public\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:20 - 2016-03-07 11:30 - 00002006 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:20 - 2016-03-07 11:30 - 00002006 _____ C:\Users\biolal\AppData\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:20 - 2016-03-07 11:30 - 00002006 _____ C:\Users\biolal\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:20 - 2016-03-07 11:20 - 00011495 _____ C:\windows\Tasks\_ReCoVeRy_+dvdoh.html
2016-03-07 11:20 - 2016-03-07 11:20 - 00002006 _____ C:\windows\Tasks\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:17 - 2016-03-07 11:30 - 00011495 _____ C:\Users\Public\Documents\_ReCoVeRy_+dvdoh.html
2016-03-07 11:17 - 2016-03-07 11:30 - 00011495 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+dvdoh.html
2016-03-07 11:17 - 2016-03-07 11:30 - 00002006 _____ C:\Users\Public\Documents\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:17 - 2016-03-07 11:30 - 00002006 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+dvdoh.txt
2016-03-07 11:17 - 2016-03-07 11:17 - 00011495 _____ C:\ProgramData\_ReCoVeRy_+dvdoh.html
2016-03-07 11:17 - 2016-03-07 11:17 - 00002006 _____ C:\ProgramData\_ReCoVeRy_+dvdoh.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\windows\Tasks\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\Users\Public\Downloads\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\Users\Public\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\Users\biolal\AppData\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00011495 _____ C:\Users\biolal\_ReCoVeRy_+bbfni.html
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\windows\Tasks\_ReCoVeRy_+bbfni.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\Users\Public\Downloads\_ReCoVeRy_+bbfni.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\Users\Public\_ReCoVeRy_+bbfni.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\Users\biolal\Downloads\_ReCoVeRy_+bbfni.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\Users\biolal\AppData\_ReCoVeRy_+bbfni.txt
2016-03-07 10:05 - 2016-03-07 10:05 - 00002006 _____ C:\Users\biolal\_ReCoVeRy_+bbfni.txt
2016-03-07 10:00 - 2016-03-07 10:05 - 00011495 _____ C:\Users\Public\Documents\_ReCoVeRy_+bbfni.html
2016-03-07 10:00 - 2016-03-07 10:05 - 00011495 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+bbfni.html
2016-03-07 10:00 - 2016-03-07 10:05 - 00002006 _____ C:\Users\Public\Documents\_ReCoVeRy_+bbfni.txt
2016-03-07 10:00 - 2016-03-07 10:05 - 00002006 _____ C:\Users\biolal\AppData\Local\_ReCoVeRy_+bbfni.txt
2016-03-07 10:00 - 2016-03-07 10:00 - 00011495 _____ C:\ProgramData\_ReCoVeRy_+bbfni.html
2016-03-07 10:00 - 2016-03-07 10:00 - 00002006 _____ C:\ProgramData\_ReCoVeRy_+bbfni.txt



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


0

Discussions similaires

Aide svp modification mot de passe impossible attaque par dictionnaire
marvi1 -
marvi1 -

4 réponses
Attaque des titans saison 1en vf
Tonitea99 -
Pierrecastor -

3 réponses
Clip avec des cannards qui attaques des raccailles style techno
Kzonne -
roublin -

4 réponses