A voir également:
- Ransomwares
- Protection contre les ransomwares - Guide
34 réponses
- 1
- 2
Suivant
Résumé de la discussion
Plusieurs ransomwares, notamment Petya et Jigsaw, posent des défis techniques relatifs au chiffrement des données et aux extensions de fichiers, avec des implications pour les sauvegardes et les mécanismes de récupération. Des solutions existent pour atténuer les dégâts et récupérer les données : détection par antivirus, outils de déchiffrement (Kaspersky, ESET) et méthodes de restauration ou de récupération via ShadowExplorer. Pour chaque variante, les capacités varient; certaines versions chiffrent aussi les fichiers dans la corbeille et affectent les supports externes, ce qui renforce l'importance des sauvegardes hors ligne et d'images système. Enfin, des déchiffreurs ont été publiés pour plusieurs versions, notamment Tesla Crypt et CryptXXX, et des guides publics indiquent les conditions nécessaires à leur utilisation, selon la variante.
bonjour,
nous sommes plusieurs à tester les différentes variantes de Ransomwares avec les outils actuellement disponibles sur le net en machine virtuelle ou réelle !
tous ces infections sont en général détectées par les antivirus !
exemple avec Windows defender 10 :
Comme ceci a été dit plus haut, pour Petya, il est possible de déloquer la situation avec l'outil proposé ici
à lire :
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
pour les Tesla, il y a plusieurs variantes :
Cette variante qui remplace les extensions des fichiers en Crypt (CryptXXX / RSA 4096) est déchiffrable avec l'outil de Kaspersky mais :
cet outil ne déchiffre pas les fichiers compressés (Zip, Rar, ..) et tous les fichiers au format vidéos.
cette variante ne touche pas aux fichiers dans la corbeille.
pour pouvoir déchiffrer les données, l'outil demande une copie chiffrée et une copie saine.
après le scan, l'outil restaure, dans la mesure du possible, les fichiers à leur emplacement.
Note :
Dans les paramètres de l'outil proposé par Kaspersky, il ne faut surtout pas cocher la case de suppression des fichiers originaux (Chiffrés) au cas ou d'autres outils feraient leur apparition permettant de récupérer les données .
après le passage de l'outil, on voit bien que les fichiers sont déchiffrés à leur emplacement :
Note :
Vu que je suis un joueur, j'ai laissé une page de Petya dans mon dossier (La tête de mort :P )
pour cette variante testée, après chaque redémarrage, une page de demande de rensom s'affiche, cette page pointe vers un fichier et un lien en Html :
on peut fixer ces lignes pour ne plus avoir le message au démarrage.
pour une autre version de tesla, l'extension des fichiers reste intacte, mais les fichiers sont chiffrés quand même (Non lisible).
un autre outil nommé "Shadow explorer" permet parfois de récupérer les fichiers chiffrés selon les variantes de tesla.
il faut tester selon la variante de l'infection installée sur le pc, donc tout ceci reste sous condition de tomber sur le bon outil !
à noter que toujours selon les variantes, les Shadow explorer sont parfois supprimés, la restauration système désactivée.
Attention :
Ces infections chiffrent aussi les données sur les supports externe connectés au pc au moment de chiffrement des données.
sur ce, Have Fun :-)
nous sommes plusieurs à tester les différentes variantes de Ransomwares avec les outils actuellement disponibles sur le net en machine virtuelle ou réelle !
tous ces infections sont en général détectées par les antivirus !
exemple avec Windows defender 10 :
Comme ceci a été dit plus haut, pour Petya, il est possible de déloquer la situation avec l'outil proposé ici
à lire :
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
pour les Tesla, il y a plusieurs variantes :
Cette variante qui remplace les extensions des fichiers en Crypt (CryptXXX / RSA 4096) est déchiffrable avec l'outil de Kaspersky mais :
cet outil ne déchiffre pas les fichiers compressés (Zip, Rar, ..) et tous les fichiers au format vidéos.
cette variante ne touche pas aux fichiers dans la corbeille.
pour pouvoir déchiffrer les données, l'outil demande une copie chiffrée et une copie saine.
après le scan, l'outil restaure, dans la mesure du possible, les fichiers à leur emplacement.
Note :
Dans les paramètres de l'outil proposé par Kaspersky, il ne faut surtout pas cocher la case de suppression des fichiers originaux (Chiffrés) au cas ou d'autres outils feraient leur apparition permettant de récupérer les données .
après le passage de l'outil, on voit bien que les fichiers sont déchiffrés à leur emplacement :
Note :
Vu que je suis un joueur, j'ai laissé une page de Petya dans mon dossier (La tête de mort :P )
pour cette variante testée, après chaque redémarrage, une page de demande de rensom s'affiche, cette page pointe vers un fichier et un lien en Html :
2016-04-30 19:27 - 2016-04-30 19:27 - 01348854 ____T C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 00014453 _____ C:\ProgramData\B37F42F84691.html
Startup: C:\Users\VM de tests\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\659F660B091D.lnk [2016-04-30]2016-04-30 19:27 - 2016-04-30 19:27 - 1348854 ____T () C:\ProgramData\B37F42F84691.bmp
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html
2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html
on peut fixer ces lignes pour ne plus avoir le message au démarrage.
pour une autre version de tesla, l'extension des fichiers reste intacte, mais les fichiers sont chiffrés quand même (Non lisible).
un autre outil nommé "Shadow explorer" permet parfois de récupérer les fichiers chiffrés selon les variantes de tesla.
il faut tester selon la variante de l'infection installée sur le pc, donc tout ceci reste sous condition de tomber sur le bon outil !
à noter que toujours selon les variantes, les Shadow explorer sont parfois supprimés, la restauration système désactivée.
Attention :
Ces infections chiffrent aussi les données sur les supports externe connectés au pc au moment de chiffrement des données.
sur ce, Have Fun :-)
pour cette variante de "Jigsaw" qui change les extensions des fichiers en .Fun !
l'antivirus le choppe direct dés son arrivée sur le pc !
(testé avec Windows defender 10, Avast et AVG, par contre, Avira le laisse passer) !
déjà, il faut avoir Framework 3,5 sur le pc pour que le truc se lance !
pour le tester en VM, je l'ai installé ! (Pourquoi pas !)
puis lancé le dropper, étrange message qui s'affiche :
puis le truc s'installe avec un processus nommé "Firefox" laissant 1h00 à la victime pour achter ces fameux bitcoin, l'image reste en résidant et premier plan, seule solution de s'en défaire est de passer par le gestionnaire de tâches et arrêter le processus Firefox :
Contrairement à certaines variantes de Tesla, jigsaw chiffre même les fichiers dans la corbeille :
bref, bilan :
tous les fichiers format .txt, .zip, .rar, .jpg, .png, .xlsx, .docx, .pdf et .doc sont transformés en .fun
pareil pour les fichiers dans la corbeille
il ne touche pas aux extensions des fichiers : .bmp, Mp3 et format vidéo (Avi, mpeg, ...) mais les fichiers sont chiffrés.
après le lancement de l'outil Jigsaw decrypter et en sélectionnant l'emplacement des fichiers, certains ont été déchiffrés, mais pas tout !
les fichiers .mp3 et avi (je suppose qu'il y en a d'autres de ce genre format vidéo) ne seront toujours plus lisibles, un message erreur apparaît :
pour pouvoir lire ces fichiers, il faut modifier le lecteur par défaut :
Have Fun :-)
l'antivirus le choppe direct dés son arrivée sur le pc !
(testé avec Windows defender 10, Avast et AVG, par contre, Avira le laisse passer) !
déjà, il faut avoir Framework 3,5 sur le pc pour que le truc se lance !
pour le tester en VM, je l'ai installé ! (Pourquoi pas !)
puis lancé le dropper, étrange message qui s'affiche :
puis le truc s'installe avec un processus nommé "Firefox" laissant 1h00 à la victime pour achter ces fameux bitcoin, l'image reste en résidant et premier plan, seule solution de s'en défaire est de passer par le gestionnaire de tâches et arrêter le processus Firefox :
Contrairement à certaines variantes de Tesla, jigsaw chiffre même les fichiers dans la corbeille :
bref, bilan :
tous les fichiers format .txt, .zip, .rar, .jpg, .png, .xlsx, .docx, .pdf et .doc sont transformés en .fun
pareil pour les fichiers dans la corbeille
il ne touche pas aux extensions des fichiers : .bmp, Mp3 et format vidéo (Avi, mpeg, ...) mais les fichiers sont chiffrés.
après le lancement de l'outil Jigsaw decrypter et en sélectionnant l'emplacement des fichiers, certains ont été déchiffrés, mais pas tout !
les fichiers .mp3 et avi (je suppose qu'il y en a d'autres de ce genre format vidéo) ne seront toujours plus lisibles, un message erreur apparaît :
pour pouvoir lire ces fichiers, il faut modifier le lecteur par défaut :
Have Fun :-)
Petya modifié :
https://www.bleepingcomputer.com/news/security/petya-is-back-and-with-a-friend-named-mischa-ransomware/
Edit :
nouvelle variante de Jigsaw qui ajoute les extensions en .porno :
https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/
Tesla Crypt 4.2 :
https://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-with-quite-a-few-modifications/
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
https://www.bleepingcomputer.com/news/security/petya-is-back-and-with-a-friend-named-mischa-ransomware/
Edit :
nouvelle variante de Jigsaw qui ajoute les extensions en .porno :
https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/
Tesla Crypt 4.2 :
https://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-with-quite-a-few-modifications/
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Une info pour celles et ceux qui sont ou ont été infecté par toutes les variantes de Tesla (Sauf CryptXXX) :
https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
une autre info :
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-may-20-2016/
https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
une autre info :
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-may-20-2016/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
A l'attention de toutes les personnes étant touchées par TeslaCrypt version 3.0 à 4.2 :
Eset a mis à la disposition des internautes touchés par cette infection un outil permettant de déchiffrer les données :
https://support.eset.com/en/kb6051-how-do-i-clean-a-teslacrypt-infection-using-the-eset-teslacrypt-decrypter
Source : https://korben.info/ransomware-teslacrypt-dechiffrement-enfin-possible.html
on essayera de le tester sur CryptXXX pour voir s'il fonctionne là dessus !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Eset a mis à la disposition des internautes touchés par cette infection un outil permettant de déchiffrer les données :
https://support.eset.com/en/kb6051-how-do-i-clean-a-teslacrypt-infection-using-the-eset-teslacrypt-decrypter
Source : https://korben.info/ransomware-teslacrypt-dechiffrement-enfin-possible.html
on essayera de le tester sur CryptXXX pour voir s'il fonctionne là dessus !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Oui déjà dit plus haut, TeslaDecoder est aussi suffisant.
Voir cette fiche avec vidéo explicative pour récupérer ses documents : https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
> https://www.youtube.com/watch?v=XAhKgXyFxJs
Voir cette fiche avec vidéo explicative pour récupérer ses documents : https://forum.malekal.com/viewtopic.php?t=53943&start=#p420280
> https://www.youtube.com/watch?v=XAhKgXyFxJs
Trend Micro a mis au point un déchiffreur pour Tesla Crypt (v1-> v4) et CryptXXX (v1 et v2, v3??)
https://success.trendmicro.com/solution/1114221
si on tombe sur un dropper de la dernière version, on le testera et mettra le résultat pour ceux que ça intéressent !
https://success.trendmicro.com/solution/1114221
si on tombe sur un dropper de la dernière version, on le testera et mettra le résultat pour ceux que ça intéressent !
La dernière version de CryptXXX, c'est la 3.1 et l'extension est .cryp1 : crypt1 - ransomware crypt1.
Donc ça ne fonctionnera pas avec "un dropper de la dernière version".
Donc ça ne fonctionnera pas avec "un dropper de la dernière version".
SATANA !
très très méchant !
cette infection est chopée par les antivirus et dont Windows defender 10 !
pour faire ce test, j'ai tout désactivé !
Infection de type Bootkit, à mi chemin entre Petya et CryptXXX,
MBR supprimé, donc sous W10, écran noir au démarrage et après la lancement de bios (rien s'affiche) !
le droper lancé s'auto-supprime, un autre fichier exe est créé et reste en mémoire (nom de fichier aléatoire) :
de multitudes de fichiers sont créés dans le répertoire temp :
le nom de fichier exe change et la page de démarches à suivre s'affiche :
si on clique sur Ok, le pc redémarrer et on n'a plus accès au disque dur !
Après avoir chopé cette infection, il faut réinstaller Windows car non seulement, les fichiers sont cryptés, de plus, le MBR est manquant (Attention, elle touche aussi l'UEFI et UFI) !
pensez à sauvegarder vos fichiers ou créer une image système !
:-)
Edit :
à lire :
https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
très très méchant !
cette infection est chopée par les antivirus et dont Windows defender 10 !
pour faire ce test, j'ai tout désactivé !
Infection de type Bootkit, à mi chemin entre Petya et CryptXXX,
MBR supprimé, donc sous W10, écran noir au démarrage et après la lancement de bios (rien s'affiche) !
le droper lancé s'auto-supprime, un autre fichier exe est créé et reste en mémoire (nom de fichier aléatoire) :
de multitudes de fichiers sont créés dans le répertoire temp :
le nom de fichier exe change et la page de démarches à suivre s'affiche :
si on clique sur Ok, le pc redémarrer et on n'a plus accès au disque dur !
Après avoir chopé cette infection, il faut réinstaller Windows car non seulement, les fichiers sont cryptés, de plus, le MBR est manquant (Attention, elle touche aussi l'UEFI et UFI) !
pensez à sauvegarder vos fichiers ou créer une image système !
:-)
Edit :
à lire :
https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Est-ce que l'on sait comment il s'attrape ??
pour la manière d'attraper, toujours pareil, un mail et une pièce jointe (avec un macro de word ou excel, un script VBA java ....)
N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????
on est à la fin de la période de gratuité, mais franchement, je n'en sais rien !
pour le CD de démarrage, il vaut mieux partir sur une image système !
pour ces dernières infections qui deviennent de plus en plus virulentes, il faut surtout travailler sur les supports externes de sauvegardes.
pour partage, il y a le lien de Blleping qui est pas mal :
https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/
je lance une machine réelle dans un petit moment pour voir comment virer le Bootkit et récupérer les fichiers !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
comme promis, test fait en machine réelle sous W10 32 bit en Legacy !
ces informations sont issues de la machine, avant le redémarrage :
2 processus lancés depuis le registre :
Roguekiller trouve ceux ci :
tous les fichiers ne sont pas chiffrés, juste certains !
les fichiers originaux sont toujours à leur place, certains accessibles !
du moment ou on n'a pas cliqué sur Ok, à l'affichage de la page de demande de connexion, le pc ne démarre pas, donc reste accessible, il suffit de fermer cette fenêtre !
Remarque :
Sans redémarrage du pc (si si, on arrive :P) , il est fort possible de réparer le Bootkit et au moins, sauver le système avec un outil comme Roguekiller !
Après le redémarrage :
Comme je l'ai noté plus haut, le pc ne démarre plus (Sous W10 32 ou 64 bit), écran noir au démarrage avec seul curseur en haut à gauche de l'écran) !
on a toujours accès aux données du disque en le mettant en externe !
un fichier nommé !satana!.txt s'incruste dans tous les recoins du disque dur !
les Cd live n'ont pas bien fonctionné pour mes tests !
Les points de restauration système sont supprimés,
j'ai tenté de réparer le démarrage et le système, voir même remettre le MBR, mais sans succès !, seule solution qui a fonctionné est de supprimer toutes les partitions et réinstaller W10 !
maintenant, vous savez à quoi vous attendre :P
Sur ce, Have Fun pour d'autres tests avec d'autres droper :-)
ces informations sont issues de la machine, avant le redémarrage :
2 processus lancés depuis le registre :
O4 - HKCU\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt
O4 - HKUS\S-1-5-21-3251347311-3822445288-4011891096-1001\..\Run: [uhekujyp] . (...) -- C:\Users\DD de tests\AppData\Local\Temp\!satana!.txt
Roguekiller trouve ceux ci :
¤¤¤ Registre : 2 ¤¤¤
[Suspicious.Path|VT.Unknown] HKEY_USERS\S-1-5-21-3251347311-3822445288-4011891096-1001\Software\Microsoft\Windows\CurrentVersion\Run | uhekujyp : C:\Users\DDDETE~1\AppData\Local\Temp\!satana!.txt [-]
[PUM.Proxy] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\00-07-cb-c7-2d-09
[BSP] 168c45b30bb5cc5af3fb4041c5291827 : Root.Bitlock2|VT.Unknown MBR Code [Malware!]
tous les fichiers ne sont pas chiffrés, juste certains !
les fichiers originaux sont toujours à leur place, certains accessibles !
du moment ou on n'a pas cliqué sur Ok, à l'affichage de la page de demande de connexion, le pc ne démarre pas, donc reste accessible, il suffit de fermer cette fenêtre !
Remarque :
Sans redémarrage du pc (si si, on arrive :P) , il est fort possible de réparer le Bootkit et au moins, sauver le système avec un outil comme Roguekiller !
Après le redémarrage :
Comme je l'ai noté plus haut, le pc ne démarre plus (Sous W10 32 ou 64 bit), écran noir au démarrage avec seul curseur en haut à gauche de l'écran) !
on a toujours accès aux données du disque en le mettant en externe !
un fichier nommé !satana!.txt s'incruste dans tous les recoins du disque dur !
les Cd live n'ont pas bien fonctionné pour mes tests !
Les points de restauration système sont supprimés,
j'ai tenté de réparer le démarrage et le système, voir même remettre le MBR, mais sans succès !, seule solution qui a fonctionné est de supprimer toutes les partitions et réinstaller W10 !
maintenant, vous savez à quoi vous attendre :P
Sur ce, Have Fun pour d'autres tests avec d'autres droper :-)
dernière variante du 25/08/2016 :
https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update/
https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update/
j'ai eu le dropper et testé ce bousin !
bon, pas très joyeux !
au lancement, il fait tourner le DD à fond la caisse pour chiffrer les données sous forme de mise à jour de Windows updates :
à noter qu'on n'a pas accès au gestionnaire de taches, mais il y a 7 processus avec le nom "Critical Windows updates" qui tourne en arrière plan !
cette page s'affiche et bloque l'accès au pc pendant le lancement de l'infection, il impacte même le graveur (affichage d'un message des fichiers en attente de gravure) !
l'UAC demande si on autorise les changement sur le pc, bon joueur que je suis, je l'ai autorisé :
après avoir chiffré les données, l'infection me laisse la main sur le pc et je vois les fichiers en attente de gravure, juste la page de demande de ransom, donc ça peut impacter aussi ce qui est branché sur le pc comme support externe par exemple !
j'ai enfin eu la page de demande de ransom avec le tralala habituel et pas mal de fautes !
tous les fichiers (sauf les .exe) sont chiffrés, Shadow copies supprimés !
j'avais pris soin d'activer la restauration système et créer un point pour tester cette variante, la restauration système n'est pas désativée, par contre la restauration des fichiers est impossible !
la restauation s'est bien passé, mais mes fichiers ne sont pas restaurés, donc pas très utile de restaurer !
sur ce, Have Fun pour les prochains tests :-)
bon, pas très joyeux !
au lancement, il fait tourner le DD à fond la caisse pour chiffrer les données sous forme de mise à jour de Windows updates :
à noter qu'on n'a pas accès au gestionnaire de taches, mais il y a 7 processus avec le nom "Critical Windows updates" qui tourne en arrière plan !
cette page s'affiche et bloque l'accès au pc pendant le lancement de l'infection, il impacte même le graveur (affichage d'un message des fichiers en attente de gravure) !
l'UAC demande si on autorise les changement sur le pc, bon joueur que je suis, je l'ai autorisé :
après avoir chiffré les données, l'infection me laisse la main sur le pc et je vois les fichiers en attente de gravure, juste la page de demande de ransom, donc ça peut impacter aussi ce qui est branché sur le pc comme support externe par exemple !
j'ai enfin eu la page de demande de ransom avec le tralala habituel et pas mal de fautes !
tous les fichiers (sauf les .exe) sont chiffrés, Shadow copies supprimés !
j'avais pris soin d'activer la restauration système et créer un point pour tester cette variante, la restauration système n'est pas désativée, par contre la restauration des fichiers est impossible !
la restauation s'est bien passé, mais mes fichiers ne sont pas restaurés, donc pas très utile de restaurer !
sur ce, Have Fun pour les prochains tests :-)
on a joué un peu avec la version .Odin :
le truc chiffre tout, rien est laissé derrière (données).
le système reste intact. Le pc ne rame pas trop, seul les fichiers de l'utilisateurs sont chiffrés.
Récupération des données chiffrées est possible sous conditions préalable avant l'infection :
- la restauration système doit être active, un point de restauration système (au moins) doit être présent avant l'infection.
- à l'aide de Shadow explorer, la récupération des fichiers fait sans soucis.
Have Fun pour d'autres bousins à tester !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
le truc chiffre tout, rien est laissé derrière (données).
le système reste intact. Le pc ne rame pas trop, seul les fichiers de l'utilisateurs sont chiffrés.
Récupération des données chiffrées est possible sous conditions préalable avant l'infection :
- la restauration système doit être active, un point de restauration système (au moins) doit être présent avant l'infection.
- à l'aide de Shadow explorer, la récupération des fichiers fait sans soucis.
Have Fun pour d'autres bousins à tester !
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Salut,
Mouaip, ce sont des ransomwares très médiatisés mais dont la portée reste limité, surtout en France.
J'ai fait ce dossier sur les ransomwares.
Vous avez aussi l'excellent site : https://stopransomware.fr/
Une liste est présente là : http://forum.malekal.com/ransomware-f98.html
et encore ce sont les plus répandus, car il y en a vraiment vraiment beaucoup.
En France, les plus répandus sont :
- Locky.
- Cerber.
- TestlaCrypt.
- CryptXXX (une solution est possible pour récupérer les documents, même si ça risque de ne plus fonctionner avec les prochaines versions).
- les variantes Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) qui peuvent, elles, aller par des attaques Bruteforce RDP.
Comme expliqué dans le dossier plus haut, ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Pour limiter la portée des emails malicieux, il faut désactiver les scripts sur Windows.
Pour les Web Exploit, maintenir ses programmes à jour et éviter de surfer avec Internet Explorer.
Marmiton est fait pour cela : Pour se protéger/limiter, il y a Marmiton
PS : pour Criakl, certains vont par des attaques RDP sur les serveurs.
Veuillez appuyer sur une touche pour continuer la désinfection...
Mouaip, ce sont des ransomwares très médiatisés mais dont la portée reste limité, surtout en France.
J'ai fait ce dossier sur les ransomwares.
Vous avez aussi l'excellent site : https://stopransomware.fr/
Une liste est présente là : http://forum.malekal.com/ransomware-f98.html
et encore ce sont les plus répandus, car il y en a vraiment vraiment beaucoup.
En France, les plus répandus sont :
- Locky.
- Cerber.
- TestlaCrypt.
- CryptXXX (une solution est possible pour récupérer les documents, même si ça risque de ne plus fonctionner avec les prochaines versions).
- les variantes Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) qui peuvent, elles, aller par des attaques Bruteforce RDP.
Comme expliqué dans le dossier plus haut, ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
Pour limiter la portée des emails malicieux, il faut désactiver les scripts sur Windows.
Pour les Web Exploit, maintenir ses programmes à jour et éviter de surfer avec Internet Explorer.
Marmiton est fait pour cela : Pour se protéger/limiter, il y a Marmiton
PS : pour Criakl, certains vont par des attaques RDP sur les serveurs.
Veuillez appuyer sur une touche pour continuer la désinfection...
Les PDF n'embarquent pas de macros mais peuvent embarquer du JavaScript qui étaient utilisés d'ailleurs en 2008 dans des Web Explotti via Adobe Reader, ce sont les documents Offices qui embarquent des macros.
Deux méthodes sont utilisées dans les campagnes d'emails :
- les documents office avec macros (bien que souvent il s'agit de Cridex)
- des Javascript.
voir cette vidéo : https://www.youtube.com/watch?v=z7UdWiNkzcI
Pour se protéger/limiter, il y a Marmiton et en plus, ça protégera contre les infections amovibles Worm.VBS.
Deux méthodes sont utilisées dans les campagnes d'emails :
- les documents office avec macros (bien que souvent il s'agit de Cridex)
- des Javascript.
voir cette vidéo : https://www.youtube.com/watch?v=z7UdWiNkzcI
Pour se protéger/limiter, il y a Marmiton et en plus, ça protégera contre les infections amovibles Worm.VBS.
J'ai modifié le dossier des Ransomwares / Rançongiciel pour parler des MBR même si la portée de Petya reste très limité en France.
Une vidéo qui montre l'installation de Petya Ransomware : https://www.youtube.com/watch?v=vzte2OQHfUk
Une vidéo qui montre l'installation de Petya Ransomware : https://www.youtube.com/watch?v=vzte2OQHfUk
il y a déjà une V2 pour ce ransom depuis un moment : https://forum.malekal.com/viewtopic.php?t=54923&start=#p418815 qui va faire que la récupération est impossible.
Comme cela est mentionné sur le dossier Ransomware / Rançongiciel.
Certains de ces ransomwares vont par des attaques RDP sur les serveurs.
J'ai ouvert une actualité autour de ces attaques de ransomwares qui se font par ce protocole : attaques Bruteforce RDP.
Veuillez appuyer sur une touche pour continuer la désinfection...
Certains de ces ransomwares vont par des attaques RDP sur les serveurs.
J'ai ouvert une actualité autour de ces attaques de ransomwares qui se font par ce protocole : attaques Bruteforce RDP.
Veuillez appuyer sur une touche pour continuer la désinfection...
CryptXXX V2 est sorti, le tool de Kaspersky ne fonctionne plus.
=> Voir Fiche CryptXXX - Ransomware RSA4096
CryptXXX a des fonctionnalités de Winlocker, puisqu'il peut bloquer l'accès au bureau.
Veuillez appuyer sur une touche pour continuer la désinfection...
=> Voir Fiche CryptXXX - Ransomware RSA4096
CryptXXX a des fonctionnalités de Winlocker, puisqu'il peut bloquer l'accès au bureau.
Veuillez appuyer sur une touche pour continuer la désinfection...
Du côté de Locky, les binaires sont hébergés sur des sites magento piratés.
J'ai fait une petit vidéo : https://www.youtube.com/watch?v=8hc2cs93ibg
Veuillez appuyer sur une touche pour continuer la désinfection...
J'ai fait une petit vidéo : https://www.youtube.com/watch?v=8hc2cs93ibg
Veuillez appuyer sur une touche pour continuer la désinfection...
Qu'est-ce qu'on s'amuse.....
https://blog.f-secure.com/category/threats-research/
https://twitter.com/campuscodi/status/732552766229471232
c'est marrant la distorsion entre les annonces et la réalité.
Le fichier en question est quand même à 15 détections sur VT : https://www.virustotal.com/gui/file/d61cc83776547e2c5f3b1ca4b2b6e3e8eb3d43a094a0c8fef2a61050f474081c
alors qu'il s'agit d'un simple msgbox avec une image embarquée.
On voit que les AV ajoutent des détections auto n'importe comment #modeSkynet \o/
et sinon dans le genre article insipide qui en plus raconte n'importe quoi (clef Locky), le ponpon revient au Figaro ... : https://www.lefigaro.fr/secteur/high-tech/2016/05/16/32001-20160516ARTFIG00061-comment-se-premunir-contre-le-rancongiciel-locky.php
avec l'habituel "FAUT AVOIR UN ANTIVIRUS A JOUR".... surtout Windows Defender...
https://blog.f-secure.com/category/threats-research/
https://twitter.com/campuscodi/status/732552766229471232
c'est marrant la distorsion entre les annonces et la réalité.
Le fichier en question est quand même à 15 détections sur VT : https://www.virustotal.com/gui/file/d61cc83776547e2c5f3b1ca4b2b6e3e8eb3d43a094a0c8fef2a61050f474081c
alors qu'il s'agit d'un simple msgbox avec une image embarquée.
On voit que les AV ajoutent des détections auto n'importe comment #modeSkynet \o/
et sinon dans le genre article insipide qui en plus raconte n'importe quoi (clef Locky), le ponpon revient au Figaro ... : https://www.lefigaro.fr/secteur/high-tech/2016/05/16/32001-20160516ARTFIG00061-comment-se-premunir-contre-le-rancongiciel-locky.php
avec l'habituel "FAUT AVOIR UN ANTIVIRUS A JOUR".... surtout Windows Defender...
Les .js Locky modifiés pour tenter de bloquer les problèmes de pirates des Payload : https://www.malwaretech.com/2016/05/dridex-updates-payload-distribution.html
M'est d'avis, que ça ne générera en rien :P
M'est d'avis, que ça ne générera en rien :P
Le binaires mis en lignes sur les sites piratés sont maintenant offusqués : https://twitter.com/malekal_morte/status/734667874359468032
(comprenez illisible, vous téléchargez ce dernier, vous l'exécutez ça mettra une erreur car pas format PE).
Le JS s'occupe de dé-offusquer le fichier téléchargé avant de le faire exécuter sur l'ordinateur.
Cela permet :
- d'empêcher la récupération massive par des personnes pour les envoyer aux antivirus. Répertorier les URLs etc.
- empêcher le remplacement des binaires par celui qui mettait une alerte, puisque le JS va faire une opération dessus et va corrompre ce dernier.
La personne au bout aura un message disant que le fichier est corrompu, c'est toujours mieux que d'avoir le ransomware Locky.
Apparemment, cela n’empêche pas le remplacement du binaire par une version safe qui a été aussi offusquée, puisqu'on continue à avoir le message d'alerte.
Reste que la clef XOR utilisée va surement changer régulièrement, ce qui oblige les personnes qui remplace l'exe a suivre cette clef.
On voit que Locky a pris très aux sérieux le remplacement des .exe malicieux =)
(comprenez illisible, vous téléchargez ce dernier, vous l'exécutez ça mettra une erreur car pas format PE).
Le JS s'occupe de dé-offusquer le fichier téléchargé avant de le faire exécuter sur l'ordinateur.
Cela permet :
- d'empêcher la récupération massive par des personnes pour les envoyer aux antivirus. Répertorier les URLs etc.
- empêcher le remplacement des binaires par celui qui mettait une alerte, puisque le JS va faire une opération dessus et va corrompre ce dernier.
La personne au bout aura un message disant que le fichier est corrompu, c'est toujours mieux que d'avoir le ransomware Locky.
Apparemment, cela n’empêche pas le remplacement du binaire par une version safe qui a été aussi offusquée, puisqu'on continue à avoir le message d'alerte.
Reste que la clef XOR utilisée va surement changer régulièrement, ce qui oblige les personnes qui remplace l'exe a suivre cette clef.
On voit que Locky a pris très aux sérieux le remplacement des .exe malicieux =)
Il est maintenant possible de récupérer les fichiers TeslaCrypt toute variantes confondus :
Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.
Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.
J'ai ajouté une fiche Ransomware Zcrypt mais bon, je ne pense pas qu'il va être très actif en France.
Veuillez appuyer sur une touche pour continuer la désinfection...
Veuillez appuyer sur une touche pour continuer la désinfection...
Cerber en vidéo : https://www.youtube.com/watch?v=tQR7nqa6aMI&feature=youtu.be
Pour rappel, la fiche Cerber : Fiche Ransomware Cerber.
Pour rappel, la fiche Cerber : Fiche Ransomware Cerber.
tiens d'ailleurs, Uptobox dirige vers une régie pourrie qui charge un WebExploit Kit avec Cerber au bout : https://www.malekal.com/ransomware-cerber/
Mise à jour de : https://www.malekal.com/ransomware-cerber/
D'autres régies publicitaires pour pousser des malvertising et https://forum.malekal.com/viewtopic.php?t=48799&start=#p421268Magnitude ExploitKit]
D'autres régies publicitaires pour pousser des malvertising et https://forum.malekal.com/viewtopic.php?t=48799&start=#p421268Magnitude ExploitKit]
- 1
- 2
Suivant
^^
Mouais.. il y a quand même une différence avec Windows Defender qui est largement battu (c'est que si on récup un sample 3 semaines après, ça ne se voit pas).
Mais au moment T de la campagne, Windows Defender est souvent battu...
De ce que j'ai vu parfois il leur faut 2 jours pour ajouter une détection...
Exemple là :
https://forum.malekal.com/viewtopic.php?t=54467&start=15#p419283
https://forum.malekal.com/viewtopic.php?t=53347&start=#p410436
etc..
Bref celui qui a un Windows Defender tout seul est quand même plus vulnérable.