Bon nombre de fichiers .exe devenus .exe.PPTx

Résolu/Fermé

jeannets Messages postés 27541 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 17 décembre 2024 Ambassadeur - 7 déc. 2018 à 22:54
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 déc. 2018 à 17:32

Bonjour,

Comme dans le titre, Bon nombre de fichiers .exe devenus .exe.PPTx par exemple

teraterm-4.69.exe.PPTX

qui est en fait teraterm-4.69.exe qui est le Setup pour installer teraterm.

La particularité, c'est que c'est sur un serveur Synology, sous Linux et dans certains sous dossiers, d'autre , pas du tout... j'ai aussi ça sur des dossiers entier de Photos

Qu'est-ce qui a bien pu faire ça..?? un petit malin... J'ai fait une mauvaise manip..??

Et aussi la commande la plus simple pour corriger ces noms de fichiers; qui semblent bon (??) lorsque le PPTX final est retiré..

Merci d'avance

Configuration: Windows / Firefox 63.0

A voir également:

Bon nombre de fichiers .exe devenus .exe.PPTx
.Exe - Télécharger - Divers Utilitaires
Wetransfer gratuit fichiers lourd - Guide
Explorateur de fichiers - Guide
Renommer plusieurs fichiers en même temps - Guide
Fichiers epub - Guide

1 réponse

Réponse 1 / 1

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
7 déc. 2018 à 23:57

Salut,

Peut-être un ransomware, il est à jour ce NAS ?

jeannets Messages postés 27541 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 17 décembre 2024 5 875
8 déc. 2018 à 12:34

Merci de ton interêt.
-- Oui, ce NAS est à jour, c'est en automatique avec Synology et je suis informé à chaque fois Version DSM: 6.2.1-23824-1 du 16 oct 2018
-- Bien sur, j'ai aussi pensé au ransomware, ..?? Pourquoi pas.. Mais ça me parrait un peu compliqué...
1° je n'ai pas d'intéret ni de raison d'état
2° C'est sous Linux, nettement moins répandu.. J'ai regardé le journal des connexions... rien à signaler de visible.
3° Mes N° de ports sont changés et parametrés dans le NAT de ma BOX
4° J'ai eu des tentatives d'accès Russe (?) échouées au nombre de 7 depuis le mois de mars...

Tous les fichiers modifiés ainsi sont datés du 18 Nov 2018 (un dimanche) de 15:43 à 15:57 J'étais très probablement devant le PC à ce moment... J'ajoute que pour les photos et quelques programmes essayés, en retirant l'extension PPTX, le fichier est corrompu, un .exe ne fonctionne pas et une photo est illisible, les Zip fonctionnent...

Tout ça semble mystérieux.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > jeannets Messages postés 27541 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 17 décembre 2024
Modifié le 8 déc. 2018 à 13:36

Ca n'a aucun rapport que tu ne sois pas un "état", tant que tu es prêt à payer pour récupérer des données.
Il y a des ransomwares qui ont visé Linux, notamment les sites WEB : https://forum.malekal.com/viewtopic.php?t=53426&start=
Il y a bcp de serveurs en Linux, donc entreprise, donc données importantes.

Il y a aussi eu des ransomwares qui visaient Synologic à travers des vulnérabilités.
Voir SynoLocker par exemple.

~~

Sinon PPTX, c'est une extension utilisée par un ransomware : https://forums.malwarebytes.com/topic/239198-pptx-file-extension-ransomware/?tab=comments#comment-1282357
Le dernier commentaire renvoit sur GlobeImposter, paraît qu'il y a un décrypteur.

Il est connu pour avoir eu des campagnes par des prises en main à distance sur des ordinateurs via TSE : https://forum.malekal.com/viewtopic.php?t=58052

Scanne ton ordinateur en ligne avec NOD32 au cas où.
Il est possible que le ransomware ait été exécuté sur ton ordinateur et a modifié les fichiers du NAS à travers les partages.
Ca arrive souvent en entreprise.

jeannets Messages postés 27541 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 17 décembre 2024 5 875
Modifié le 8 déc. 2018 à 15:49

OK, merci pour les infos, je vais creuser avec ça ... j'ai environ 2500 fichiers de touchés... j'ai une sauvegarde, j'espère qu'elle n'est pas corrompue... Par le PC, oui, ça doit etre davantage possible.

Par contre, on ne me demande pas de rançon (pour le moment)

jeannets Messages postés 27541 Date d'inscription dimanche 9 septembre 2007 Statut Contributeur Dernière intervention 17 décembre 2024 5 875
8 déc. 2018 à 18:18

Effectivement... J'ai trouvé le fichier ReadMe.txt parmi les photos, du ransomWare, il me donne rendez-vous sur ses sites... j'ai une clé pour en décrypter deux.
Mais ma sauvegarde est bonne... alleluia

et aussi j'ai des menaces.. vues par ESET... quand même pas mal... ça tourne depuis deux heures et ce n'est pas fini.

Donc tu avais bien deviné juste... je ne croyais pas représenter une valeur marchande...!

Après on pourra toujours faire un FRST.
Après ce que je trouve bizarre, si c'est parti de ton PC, que les fichiers qui sont dessus n'aient pas été touchés aussi.

Aucun service du NAS n'est accessible depuis internet ?
Tu n'as fait aucun transfert de ports ?

Discussions similaires

comment donner les droits sur fichier partage

Accès a Snapchat temporairement désactivé

portable samsung bloqué trop de tentatives