Petya Ransomware

Fermé
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 - Modifié par Malekal_morte- le 29/04/2016 à 11:07
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 - 15 avril 2016 à 11:42
Bonjour,

Bon ben voilà, j'ai un client qui à le ransomware Petya et je suppose qu'il n'y a encore moi de solution que pour locky, car il réécrit la MBR entre autre donc et j'ai une belle tête de mort au démarrage avec un press any key qui ne sert a rien, donc ma question est simple comment faire pour remonter une sauvegarde...
A voir également:

2 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 7/04/2016 à 18:58
Salut,

yep c'est chaud, voir Fiche Petya Ransomware.

C'est mort pour la récupération des fichiers car il réécrit la table d'allocation.
Donc même avec un CD Live, tu ne peux pas récupéré.
Apparemment la modification est en XOR, avec un outil de réécrire, c'est possible.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 23
7 avril 2016 à 19:01
Donc avec un SRV a part tenter les Bitcoin pour pouvoir de nouveau bosser même si le decryptage n'est nullement garantie, il n'y a pas de solution...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017
7 avril 2016 à 19:03
Avec 010Editor, c'est possible de retrouver la table d'allocation, voir la fiche que j'ai faite.
mais bon faut pas faire de conneries =)
0
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 23
7 avril 2016 à 19:05
Bon ben on va essayer de pas faire de connerie je te tiens au jus
Cordialement,
0
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 23 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
7 avril 2016 à 19:17
Bon je te tiens au courant rapidement, vu le bordel que c'est, je vais PT le serveur et le refaire je perdrais moins de temps, j'ai des sauvegardes de mes VM AD et données ca ira bien plus vite.

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017
7 avril 2016 à 19:17
Je pense aussi =)
0
yoann090 Messages postés 9180 Date d'inscription mercredi 12 août 2009 Statut Contributeur sécurité Dernière intervention 13 avril 2016 1 689
13 avril 2016 à 10:43
Bonjour,
Il est sans doute un peu tard pour ton cas mais un outil de déchiffrement et de désinfection du système efficace semble désormais exister.
Voir : https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
0
cov38 Messages postés 265 Date d'inscription mardi 1 novembre 2011 Statut Membre Dernière intervention 27 décembre 2017 23
15 avril 2016 à 11:42
Bonjjour,

Effectivement un peu tard, mais j'étais au courant via Korben Info, mais quand je le télécharge AVG Pro me le détecte avec un crypto dedans est-ce un faux positif ?
0