Ransomware crypte la BDD
Résolu/Fermé
A voir également:
- Ransomware crypte la BDD
- Logiciel pour décrypter un fichier crypté - Télécharger - Chiffrement
- Comment débloquer un téléphone crypté - Forum Samsung
- Wifi crypté ✓ - Forum WiFi
- Programme crypté tv philips - Forum TV & Vidéo
- Supprimer bdd phpmyadmin ✓ - Forum Logiciels
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 août 2016 à 20:29
14 août 2016 à 20:29
Salut,
L'extension est XTBL ?
> BandarChor / Criakl / Rakhni (Crypto-Ransomware) ?
L'extension est XTBL ?
> BandarChor / Criakl / Rakhni (Crypto-Ransomware) ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 août 2016 à 21:01
14 août 2016 à 21:01
ok, sont très actifs, profitent que les admins sont en vacances :
https://forum.malekal.com/viewtopic.php?t=55706&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=
Le serveur est mal sécurisé et le piratage est dû à des mots de passe faibles sur des comptes utilisateurs admin.
Le pirate s'est loggué en RDP sur le serveur, service non filtré.
Pour vérifier le serveur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
https://forum.malekal.com/viewtopic.php?t=55706&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=
https://forum.malekal.com/viewtopic.php?t=55719&start=
Le serveur est mal sécurisé et le piratage est dû à des mots de passe faibles sur des comptes utilisateurs admin.
Le pirate s'est loggué en RDP sur le serveur, service non filtré.
Pour vérifier le serveur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 août 2016 à 23:29
14 août 2016 à 23:29
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Payload.exe] => C:\Windows\System32\Payload.exe
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-11] ()
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-11] ()
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-08-09] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-05] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-05] ()
Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-07-30] ()
2016-08-09 23:57 - 2016-08-11 18:08 - 00199168 _____ C:\Windows\SysWOW64\Payload.exe
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Utilisateur anonyme
15 août 2016 à 00:16
15 août 2016 à 00:16
Cela a supprimé le ransomware, ça ne permet pas de récupérer les fichiers.
à tester : https://noransom.kaspersky.com
à tester : https://noransom.kaspersky.com
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 14-08-2016
Exécuté par Administrateur (15-08-2016 00:08:53) Run:1
Exécuté depuis C:\Users\Administrateur\Downloads
Profils chargés: Administrateur (Profils disponibles: BROTTEF & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
- CreateRestorePoint:CloseProcesses:CreateRestorePoint: HKLM\...\Run: [Payload.exe] => C:\Windows\System32\Payload.exe Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-11] () Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-11] () Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-08-09] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg [2016-08-05] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt [2016-08-05] () Startup: C:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe [2016-07-30] () 2016-08-09 23:57 - 2016-08-11 18:08 - 00199168 _____ C:\Windows\SysWOW64\Payload.exe*****************Erreur: (0) Impossible de créer un point de restauration.Processus fermé avec succès.Erreur: (0) Impossible de créer un point de restauration.HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Payload.exe => valeur supprimé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg => déplacé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt => déplacé(es) avec succèsC:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.jpg => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Decryption instructions.txt => déplacé(es) avec succèsC:\Users\BROTTEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Payload.exe => déplacé(es) avec succèsC:\Windows\SysWOW64\Payload.exe => déplacé(es) avec succèsLe système a dû redémarrer.==== Fin de Fixlog 00:08:53 ====
Utilisateur anonyme
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
15 août 2016 à 00:30
15 août 2016 à 00:30
Merci. J'ai essayer le décryptage avec les quatres utilitaires mais sans succés :/ Dispose t'on d'autre moyen ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
Utilisateur anonyme
15 août 2016 à 10:46
15 août 2016 à 10:46
non à part les versions précédentes mais normalement le ransomware les a désactivés
=> https://forum.malekal.com/viewtopic.php?t=46739&start=
=> https://forum.malekal.com/viewtopic.php?t=46739&start=
Modifié par kevindu82 le 14/08/2016 à 20:56
J'ai regarder attentivement le lien que vous m'avez confié mais aucune solution n'ait apparut.