Ransomwares Fermé

Question

Bonjour, 

quelques nouvelles sur certains ransomwares :

Petya
et :
Jigsaw

^^


 
Les questions montrent l'étendue de l'esprit , les réponses : sa finesse 
Il y a toujours quelqu'un qui sait ce que tu ne sais pas *Helper* *Contributeur/Sécurité*

Utilisateur anonyme · Accepted Answer

bonjour,

nous sommes plusieurs à tester les différentes variantes de Ransomwares avec les outils actuellement disponibles sur le net en machine virtuelle ou réelle !


tous ces infections sont en général détectées par les antivirus !

exemple avec Windows defender 10 :



Comme ceci a été dit plus haut, pour Petya, il est possible de déloquer la situation avec l'outil proposé ici

à lire :

https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/


pour les Tesla, il y a plusieurs variantes :



Cette variante qui remplace les extensions des fichiers en Crypt (CryptXXX / RSA 4096) est déchiffrable avec l'outil de Kaspersky mais :

cet outil ne déchiffre pas les fichiers compressés (Zip, Rar, ..) et tous les fichiers au format vidéos.

cette variante ne touche pas aux fichiers dans la corbeille.

pour pouvoir déchiffrer les données, l'outil demande une copie chiffrée et une copie saine.

après le scan, l'outil restaure, dans la mesure du possible, les fichiers à leur emplacement.

Note :

Dans les paramètres de l'outil proposé par Kaspersky, il ne faut surtout pas cocher la case de suppression des fichiers originaux (Chiffrés) au cas ou d'autres outils feraient leur apparition permettant de récupérer les données .

après le passage  de l'outil, on voit bien que les fichiers sont déchiffrés à leur emplacement :



Note :
Vu que je suis un joueur, j'ai laissé une page de Petya dans mon dossier (La tête de mort  :P )

pour cette variante testée, après chaque redémarrage, une page de demande de rensom s'affiche, cette page pointe vers un fichier et un lien en Html :

2016-04-30 19:27 - 2016-04-30 19:27 - 01348854 ____T C:\ProgramData\B37F42F84691.bmp2016-04-30 19:27 - 2016-04-30 19:27 - 00014453 _____ C:\ProgramData\B37F42F84691.htmlStartup: C:\Users\VM de tests\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\659F660B091D.lnk [2016-04-30]2016-04-30 19:27 - 2016-04-30 19:27 - 1348854 ____T () C:\ProgramData\B37F42F84691.bmp2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html2016-04-30 19:27 - 2016-04-30 19:27 - 0014453 _____ () C:\ProgramData\B37F42F84691.html

on peut fixer ces lignes pour ne plus avoir le message au démarrage.


pour une autre version de tesla, l'extension des fichiers reste intacte, mais les fichiers sont chiffrés quand même (Non lisible).



un autre outil nommé "Shadow explorer" permet parfois de récupérer les fichiers chiffrés selon les variantes de tesla.

il faut tester selon la variante de l'infection installée sur le pc, donc tout ceci reste sous condition de tomber sur le bon outil ! 

à noter que toujours selon les variantes, les Shadow explorer sont parfois supprimés, la restauration système désactivée.

Attention :
Ces infections chiffrent aussi les données sur les supports externe connectés au pc au moment de chiffrement des données.

sur ce, Have Fun  :-)

Malekal_morte- · Answer

Salut,

Mouaip, ce sont des ransomwares très médiatisés mais dont la portée reste limité, surtout en France.

J'ai fait ce dossier sur les ransomwares.
Vous avez aussi l'excellent site : https://stopransomware.fr/
 
Une liste est présente là : http://forum.malekal.com/ransomware-f98.html
et encore ce sont les plus répandus, car il y en a vraiment vraiment beaucoup.

En France, les plus répandus sont :
- Locky.
- Cerber.
- TestlaCrypt.
- CryptXXX (une solution est possible pour récupérer les documents, même si ça risque de ne plus fonctionner avec les prochaines versions).
- les variantes Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure) qui peuvent, elles, aller par des attaques Bruteforce RDP.

Comme expliqué dans le dossier plus haut, ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

Pour limiter la portée des emails malicieux, il faut désactiver les scripts sur Windows.
Pour les Web Exploit, maintenir ses programmes à jour et éviter de surfer avec Internet Explorer.
Marmiton est fait pour cela : Pour se protéger/limiter, il y a Marmiton

PS : pour Criakl, certains vont par des attaques RDP sur les serveurs.

Veuillez appuyer sur une touche pour continuer la désinfection...

makitoch · Answer

merci de l'info ^^

buckhulk · Answer

Bonjour,

pour "contrer Jigsaw : JigSawDecrypter

- Ne pas oublier de désactiver son antivirus....

^^

Malekal_morte- · Answer

Comme cela est mentionné sur le dossier Ransomware / Rançongiciel.
Certains de ces ransomwares vont par des attaques RDP sur les serveurs.

J'ai ouvert une actualité autour de ces attaques de ransomwares qui se font par ce protocole : attaques Bruteforce RDP. 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Utilisateur anonyme · Answer

pour cette variante de "Jigsaw" qui change les extensions des fichiers en .Fun ! 

l'antivirus le choppe direct dés son arrivée sur le pc ! 
(testé avec Windows defender 10, Avast et AVG, par contre, Avira le laisse passer)  !


déjà, il faut avoir Framework 3,5 sur le pc pour que le truc se lance  !



pour le tester en VM, je l'ai installé ! (Pourquoi pas !)

puis lancé le dropper, étrange message qui s'affiche :



 puis le truc s'installe avec un processus nommé "Firefox" laissant 1h00 à la victime pour achter ces fameux bitcoin, l'image reste en résidant et premier plan, seule solution de s'en défaire est de passer par le gestionnaire de tâches et arrêter le processus Firefox :



Contrairement à certaines variantes de Tesla, jigsaw chiffre même les fichiers dans la corbeille : 



bref, bilan :

tous les fichiers format .txt, .zip, .rar, .jpg, .png, .xlsx, .docx, .pdf et .doc sont transformés en .fun 
pareil pour les fichiers dans la corbeille

il ne touche pas aux extensions des fichiers : .bmp, Mp3 et format vidéo (Avi, mpeg, ...) mais les fichiers sont chiffrés.

après le lancement de l'outil Jigsaw decrypter et en sélectionnant l'emplacement des fichiers, certains ont été déchiffrés, mais pas tout ! 




les fichiers .mp3 et avi (je suppose qu'il y en a d'autres de ce genre format vidéo) ne seront toujours plus lisibles, un message erreur apparaît : 



pour pouvoir lire ces fichiers, il faut modifier le lecteur par défaut : 





Have Fun  :-)

Malekal_morte- · Answer

CryptXXX V2 est sorti, le tool de Kaspersky ne fonctionne plus.
=> Voir Fiche CryptXXX - Ransomware RSA4096 

CryptXXX a des fonctionnalités de Winlocker, puisqu'il peut bloquer l'accès au bureau.

Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Du côté de Locky, les binaires sont hébergés sur des sites magento piratés.
J'ai fait une petit vidéo : https://www.youtube.com/watch?v=8hc2cs93ibg 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Utilisateur anonyme · Answer

Petya modifié :

https://www.bleepingcomputer.com/news/security/petya-is-back-and-with-a-friend-named-mischa-ransomware/ 

Edit :

nouvelle variante de Jigsaw qui ajoute les extensions en .porno :

https://www.bleepingcomputer.com/news/security/jigsaw-ransomware-becomes-cryptohitman-with-porno-extension/

Tesla Crypt 4.2 :

https://www.bleepingcomputer.com/news/security/teslacrypt-4-2-released-with-quite-a-few-modifications/


 
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Malekal_morte- · Answer

Il est maintenant possible de récupérer les fichiers TeslaCrypt toute variantes confondus :

Récupérer fichiers .micro, .jpg, .mp3 avec TeslaDecoder.

Utilisateur anonyme · Answer

Une info pour celles et ceux qui sont ou ont été infecté par toutes les variantes de Tesla (Sauf CryptXXX)  : 

https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/


une autre info :

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-may-20-2016/

Utilisateur anonyme · Answer

A l'attention de toutes les personnes étant touchées par TeslaCrypt version 3.0 à 4.2 :

Eset a mis à la disposition des internautes touchés par cette infection un outil permettant de déchiffrer les données  :

https://support.eset.com/en/kb6051-how-do-i-clean-a-teslacrypt-infection-using-the-eset-teslacrypt-decrypter

Source : https://korben.info/ransomware-teslacrypt-dechiffrement-enfin-possible.html


on essayera de le tester sur CryptXXX pour voir s'il fonctionne là dessus ! 
 
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Malekal_morte- · Answer

J'ai ajouté une fiche Ransomware Zcrypt mais bon, je ne pense pas qu'il va être très actif en France. 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Cerber en vidéo : https://www.youtube.com/watch?v=tQR7nqa6aMI&feature=youtu.be
Pour rappel, la fiche Cerber : Fiche Ransomware Cerber.

Utilisateur anonyme · Answer

Trend Micro a mis au point un déchiffreur pour Tesla Crypt (v1-> v4) et CryptXXX (v1 et v2, v3??)

https://success.trendmicro.com/solution/1114221 

si on tombe sur un dropper de la dernière version, on le testera et mettra le résultat pour ceux que ça intéressent !

Malekal_morte- · Answer

Une variante BandarChor / Criakl / Rakhni (Crypto-Ransomware) ou Mobef qui peut toucher la France via une malvertising sur Trafficholder.
Ca restera limité, mais il y aura surement quelques victimes.

L'extension utilisée est .KEY7

La fiche du Ransomware .KEY7 : Ransomware .Key7
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Les spams du ransomware Locky font leur retour après une absence de 10 jours.
Les spams sont en anglais mais soyez vigilant.

https://forum.malekal.com/viewtopic.php?t=54467&start=30#p421688

Malekal_morte- · Answer

Locky avec une extension .zepto : https://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_zepto

buckhulk · Answer

Bonjour,

Toujours pas de solution .....?

^^

Malekal_morte- · Answer

Les faux emails #freemobile poussant le #ransomware #locky sont de retour, soyez vigilant : https://forum.malekal.com/viewtopic.php?t=54467&start=30#p422110

Utilisateur anonyme · Answer

SATANA ! 

très très méchant !

cette infection est chopée par les antivirus et dont Windows defender 10 ! 

pour faire ce test, j'ai tout désactivé ! 

Infection de type Bootkit, à mi chemin entre Petya et CryptXXX, 

MBR supprimé, donc sous W10, écran noir au démarrage et après la lancement de bios (rien s'affiche) ! 

le droper lancé s'auto-supprime, un autre fichier exe est créé et reste en mémoire (nom de fichier aléatoire) : 



de multitudes de fichiers sont créés dans le répertoire temp :


 

le nom de fichier exe change et la page de démarches à suivre s'affiche :





si on clique sur Ok, le pc redémarrer et on n'a plus accès au disque dur ! 

Après avoir chopé cette infection, il faut réinstaller Windows car non seulement, les fichiers sont cryptés, de plus, le MBR est manquant (Attention, elle touche aussi l'UEFI et UFI)  !


pensez à sauvegarder vos fichiers ou créer une image système ! 

:-)

Edit :

à lire :

https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/



O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

buckhulk · Answer

Wahou !!! 

Je viens de voir ....

Est-ce que l'on sait comment il s'attrape ?? 

N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????

Car je suppose qu'il faut un CD Win 10 si on doit réinstaller Windows et quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!

Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé !!!

Vraiment à faire partager cette information ......réseau sociaux etc...non ?? 

^^

Utilisateur anonyme · Answer

Est-ce que l'on sait comment il s'attrape ?? 

pour la manière d'attraper, toujours pareil, un mail et une pièce jointe (avec un macro de word ou excel, un script VBA java ....)

N'est-ce pas fait pour compenser la gratuité de Windows 10 ?????  

on est à la fin de la période de gratuité, mais franchement, je n'en sais rien ! 

pour le CD de démarrage, il vaut mieux partir sur une image système ! 

pour ces dernières infections qui deviennent de plus en plus virulentes, il faut surtout travailler sur les supports externes de sauvegardes.

pour partage, il y a le lien de Blleping qui est pas mal : 

https://www.bleepingcomputer.com/news/security/satana-bootkit-encrypts-your-files-and-then-locks-you-out-of-windows/

je lance une machine réelle dans un petit moment pour voir comment virer le Bootkit et récupérer les fichiers ! 

 
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

madmyke · Answer

Car je suppose qu'il faut un CD Win 10 si on doit réinstaller Windows 

IL faut TOUJOURS quelque chose pour réinstaller windows ou n'importe quel système.  que ce soit un CD/dvd, une clé usb, une disque dur secondaire, externe ou non, etc.

quand on a juste fait la mise à jour de Win8.1 à Win 10 par exemple.....on a pas de CD !!!

Je pense que vous voyez le mal partout.

Quand on a PAS fait les sauvegardes nécessaires et qu'on achète même un tout nouveau pc on n'a pas non plus de CD/dvd ou autre média. Certes il y avait le partition recovery, mais ca non plus ce n'est plus d'actualité et ça n'empèche pas les sauvegardes.
Seul les moyens évoluent avec la technologie, pas les obligations.

Surtout si c'est un portable car peu d'internaute pense à se faire soit un CD de démarrage , soit une clé

Je confirme, peu d'internaute le font mais ça c'est leur responsabilité.
C'est comme pour une voiture (ou d'autres choses dans la vie)  Quand vous l'achetez, il vous incombe une certains nombre de chose à faire, comme mettre de l’essence ou du liquide lave glace, vérifier la pression des pneus; prendre RDV pour les entretient,  Bref tout ce que le garagiste ne fera pas à votre place mais qui si elle ne se font pas, risque d'user prématurément le véhicule voir pire.

Votre raisonnement serait de dire que si on ne le fait pas, c'est un coup des constructeurs pour vous obliger à changer de voiture plus souvent...
Je pense que ce n'est pas tout à fait logique et même une façon de toujours trouver la faute ailleurs.

Si les gens ne lisent pas les modes d'emplois, les recommandations du constructeurs, c'est leur choix et leur responsabilité.

 
"On avale à pleine gorgée le mensonge qui nous flatte et l'on boit goutte à goutte une vérité qui nous est amère."

buckhulk · Answer

tiens le nouveau rasomware qui continu à détruire même après avoir payé ...(il fallait bien que cela arrive ...)

Logithèque
 
^^

Utilisateur anonyme · Answer

dernière variante du 25/08/2016 :

https://www.bleepingcomputer.com/news/security/fantom-ransomware-encrypts-your-files-while-pretending-to-be-windows-update/

Utilisateur anonyme · Answer

j'ai eu le dropper et testé ce bousin ! 

bon, pas très joyeux  !

au lancement, il fait tourner le DD à fond la caisse pour chiffrer les données sous forme de mise à jour de Windows updates  :



à noter qu'on n'a pas accès au gestionnaire de taches, mais il y a 7 processus avec le nom "Critical Windows updates" qui tourne en arrière plan ! 

cette page s'affiche et bloque l'accès au pc pendant le lancement de l'infection, il impacte même le graveur (affichage d'un message des fichiers en attente de gravure) ! 



l'UAC demande si on autorise les changement sur le pc, bon joueur que je suis, je l'ai autorisé : 



après avoir chiffré les données, l'infection me laisse la main sur le pc et je vois les fichiers en attente de gravure, juste la page de demande de ransom, donc ça peut impacter aussi ce qui est branché sur le pc comme support externe par exemple !  



j'ai enfin eu la page de demande de ransom avec le tralala habituel et pas mal de fautes   !



tous les fichiers (sauf les .exe) sont chiffrés, Shadow copies supprimés ! 

j'avais pris soin d'activer la restauration système et créer un point pour tester cette variante, la restauration système n'est pas désativée, par contre la restauration des fichiers est impossible ! 



la restauation s'est bien passé, mais mes fichiers ne sont pas restaurés, donc pas très utile de restaurer ! 





sur ce, Have Fun pour les prochains tests  :-)

Malekal_morte- · Answer

Ajout de JohnyCryptor - extension XTBL à la bibliothèque des ransomwares.

buckhulk · Answer

Ils font vraiment "chier" en parlant poliment !!!

^^

Malekal_morte- · Answer

Après l'extenson .Zepto

Le ransomware Locky utilise maintenant l'extension .odin :
https://forum.malekal.com/viewtopic.php?t=54444&start=#p425385
https://www.malekal.com/locky-ransomware/#EDIT_8211_Locky_utilise_maintenant_lrsquoextension_odin

Utilisateur anonyme · Answer

on a joué un peu avec la version .Odin  :

le truc chiffre tout, rien est laissé derrière (données).

le système reste intact. Le pc ne rame pas trop, seul les fichiers de l'utilisateurs sont chiffrés.



Récupération des données chiffrées est possible sous conditions préalable avant l'infection : 

- la restauration système doit être active, un point de restauration système (au moins) doit être présent avant l'infection.

- à l'aide de Shadow explorer, la récupération des fichiers fait sans soucis.


Have Fun pour d'autres bousins à tester ! 
 
O.o°* ???Respire à fond, rédige ton message en bon français et de manière claire. ça va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Malekal_morte- · Answer

Attention aux faux emails Free qui propagent Locky : https://forum.malekal.com/viewtopic.php?t=54467&start=30#p426674

Sachant qu'il n'y a pas de méthodes pour récupérer les fichiers .odin
Après il sera trop tard.

Comme d'habitude, le fichier malicieux est un script.

=> Comment se protéger des scripts malicieux sur Windows
 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Locky utilise maintenant l'extension .shit : https://forum.malekal.com/viewtopic.php?t=54444&start=#p426678

Malekal_morte- · Answer

Les fichiers chiffrés par le ransomware Locky ont maintenant l'extension .thor maintenant.
https://forum.malekal.com/viewtopic.php?t=54444&start=#p426729

Ransomwares

34 réponses

Discussions similaires