Sujet Précédent Sujet Suivant

Crypto-randsomweb

Fermé
Ausecour - 18 sept. 2018 à 04:35
bazfile Messages postés 56018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 octobre 2024 - 19 sept. 2018 à 07:45
Bonjour,
J'aimerais savoir comment s'infecte un ordinateur, est ce que ça se fait obligatoirement en direct, après le dernier allumage, une infection plusieurs jours avant la demande de rançon...
Je m'explique, un des ordinateur de mon travail a été infecté, ce matin lorsque l'équipe l'a allumé ils n'ont plus eu accès aux fichiers et une demande de paiement a été affiché dans note. C'est mon équipe (plus précisément moi) a avoir utilisé cet ordinateur en dernier la semaine dernière, comme l'équipe du matin dit qu'ils ne se sont pas connectés sur d'autres sites que ceux utilisés au travail notre supérieur en a déduis que c'est un de nous qui a fauté (et comme nous sommes de nuit c'est pas top pour se défendre, comme on dit les absents ont toujours tord). Jeudi j'ai fait des recherches sur un candidat potentiel à venir travailler avec nous, j'ai donc parcouru 2-3 sites (surtout linkdn), l'ordinateur n'as pas été utilisé ensuite et à été éteint environ 1h après, est ce possible que le virus ai infecté l'ordinateur à ce moment là et qu'il se soit déclenché ce matin? Est ce possible que le virus est été installé il y a plusieurs jours et qu'il ne s'active qu'aujourd'hui? Ou ca se déclenche en direct et l'une des personnes de l'équipe de matin ne veux pas assumer sa faute?

Merci par avance

1 réponse

Réponse 1 / 1
bazfile Messages postés 56018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 octobre 2024 Ambassadeur 19 154
Modifié le 18 sept. 2018 à 08:19
Bonjour,
Ton crypto-ransomware n'est pas obligatoirement arrivé par le biais d'un site web, les modes de propagation ne sont pas uniquement les web exploits, les emails entre autres peuvent aussi être vecteurs de cette infection, cela dépend aussi de la version de Windows employée si elle est ancienne (Windows XP) les risques sont plus importants, si le système n'était pas à jour cela aussi augmente les risques.
Lis cette page, les fichiers cryptés ont une date et une heure de modification/création cela te donne un aperçu du moment de l'infection, tout comme un rapport FRST te donnera un aperçu de la date de l'infection s'il reste des fichiers du ransomware, il suffit de regarder dans le paragraphe Un mois - Créés - fichiers et dossiers .
Si le ransomware est arrivé par un site internet il suffit de regarder l'historique du navigateur pour voir les sites consultés et à quelle heure ils ont été consultés, cela est possible si l'historique n'a pas été supprimé.
0
Ausecour
18 sept. 2018 à 17:54
Merci de ta réponse, nous n'avons plus le droit de toucher à l'ordinateur tant que les informaticiens n'y ont pas touché. Pour l'historique de navigation nous tournons sur la navigation privée d'Internet Explorer et il est fort probable que l'ordinateur ne soit pas à jour car on nous demande de ne pas faire les maj. Si c'est un email qui est à l'origine du virus, ce pourrait il qu'il ai été ouvert courant de semaine dernière et que le virus et la demande de rançon ne se soit activée qu'hier matin?
Merci pour le lien, je vais lire ça de ce pas.
Je prépare ma "défense" si mon supérieur me dit que c'est de ma faute, comme personne ne dira s'ils ont lu leur mail ou été sur des sites et qu'il m'a vu sur l'ordinateur en question jeudi, je préfère être préparée (je ne dit pas que je n'ai pas pu cliquer par mégarde sur un site qui aurait pu éberger le virus mais par expérience la où je travail, si c'est qql d'autre il va profiter que ca pourrait être moi pour tout me mettre sur le dos).
Merci encore pour ta réponse.
0
bazfile Messages postés 56018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 octobre 2024 19 154
18 sept. 2018 à 18:23
Il n'y a plus qu'à attendre le venue des informaticiens, qui j'espère seront spécialisés en sécurité informatique.
Bon courage.
0
Ausecour
18 sept. 2018 à 21:24
Merci, c'est des informaticiens qui travaillerons en ligne, ils ne sont pas en France donc il font toujours tout à distance.
J’espère juste que ce n'est pas de ma faute car Jeudi, quand je l'ai utilisé tout allais très bien, et quand je l'ai éteint 1 h après tout était ok.
0
Ausecour
19 sept. 2018 à 01:12
J'ai regardé vite fait vu que l'ordi est allumé et les fichiers ont été modifiés 10min après le changement d'équipe, sachant que j'avais éteint tout les ordi 1h avant, c'est qu'ils venaient de se reconnecter à internet quand ça c'est passé.
0
bazfile Messages postés 56018 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 1 octobre 2024 19 154
19 sept. 2018 à 07:45
Oui c'est normal puisque dans ton premier message tu dis: 
ce matin lorsque l'équipe l'a allumé ils n'ont plus eu accès aux fichiers et une demande de paiement a été affiché dans note.

Ce qui compte c'est à quel moment l'infection a été contractée et pas qui a allumé le pc après l'infection.
Tu verras bien ce que disent les informaticiens.
0

Discussions similaires

VPN erreur "CRYPTO-6-IKMP_MODE_FAILURE: ..."
Christophe-Rouen -
Christophe-Rouen -

8 réponses
decryptage imposible "handybits easycrypto &q
arman_cyrus -
Pedrodelaluna -

7 réponses
ACL et VPN
momobel88 -
brupala -

3 réponses
virus crypto?
MOONK7 -
bazfile -

8 réponses
Un mineur de Crypto monnaie se cache dans google ? Comment le supprimer ?
toufiou -
toufiou -

6 réponses