Ransomware crypte la BDD

[Résolu/Fermé]
Signaler
-
 Utilisateur anonyme -
Bonjour à tous membre de CCM !

Si je vous appel à l'aide aujourdh'ui c'est parcequ'un ransomware a fait surface sur l'un de nos serveur qui d'ailleur à été mis en quarantaine dès sa détection.

Après le passage au peigne fin, nous avons trouver le ransomware nommé "payload.exe", que nous avons localiser à différents endroit, le ransomware n'éxiste plus du tout sur le serveur. Mais les fichiers important, tel qu'une base de donnée permettant le fonctionnement d'un site internet est toujours crypté.

Avez-vous une solution pour les décrypter ?

Juste en dessous le lien d'un fichier texte original et sa version encrypter par le virus.
https://www.sendspace.com/file/eeofgj

Amicalement, Kévin.P

3 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 091
Salut,

L'extension est XTBL ?
> BandarChor / Criakl / Rakhni (Crypto-Ransomware) ?
Bonsoir, oui l'extension est XTBL.

J'ai regarder attentivement le lien que vous m'avez confié mais aucune solution n'ait apparut.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 091
ok, sont très actifs, profitent que les admins sont en vacances :
https://forum.malekal.com/viewtopic.php?t=55706&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=

Le serveur est mal sécurisé et le piratage est dû à des mots de passe faibles sur des comptes utilisateurs admin.
Le pirate s'est loggué en RDP sur le serveur, service non filtré.

Pour vérifier le serveur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 091
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:

HKLM\...\Run: [Payload.exe] => C:\Windows\System32\Payload.exe
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-11] ()
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-11] ()
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-08-09] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-05] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-05] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-07-30] ()
2016-08-09 23:57 - 2016-08-11 18:08 - 00199168 _____ C:\Windows\SysWOW64\Payload.exe



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 091 > Utilisateur anonyme
Cela a supprimé le ransomware, ça ne permet pas de récupérer les fichiers.
à tester : https://noransom.kaspersky.com
Utilisateur anonyme >
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Merci. J'ai essayer le décryptage avec les quatres utilitaires mais sans succés :/ Dispose t'on d'autre moyen ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 091 > Utilisateur anonyme
non à part les versions précédentes mais normalement le ransomware les a désactivés
=> https://forum.malekal.com/viewtopic.php?t=46739&start=
Utilisateur anonyme >
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021

Je vais essayer :/
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-08-2016
Exécuté par Administrateur (15-08-2016 00:08:53) Run:1
Exécuté depuis C:\Users\Administrateur\Downloads
Profils chargés: Administrateur (Profils disponibles: BROTTEF & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
                                  • CreateRestorePoint:CloseProcesses:CreateRestorePoint: HKLM\...\Run: [Payload.exe] => C:\Windows\System32\Payload.exe Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-11] () Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-11] () Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-08-09] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-05] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-05] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-07-30] () 2016-08-09 23:57 - 2016-08-11 18:08 - 00199168 _____ C:\Windows\SysWOW64\Payload.exe*****************Erreur: (0) Impossible de créer un point de restauration.Processus fermé avec succès.Erreur: (0) Impossible de créer un point de restauration.HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Payload.exe => valeur supprimé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg => déplacé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt => déplacé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe => déplacé(es) avec succèsC:\Windows\SysWOW64\Payload.exe => déplacé(es) avec succèsLe système a dû redémarrer.==== Fin de Fixlog 00:08:53 ====