Fichiers de mon nas renommés en muhstik par virus [Résolu]

Signaler
-
Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
-
Bonjour,  je rencontre un problème avec mon NAS ,cette nuit, il a visiblement  été touché  par un virus ( apparemment  muhstik) qui a renommé pas mal de fichiers que j'avais , comment faire pour les récupérer avec leur nom d'origine et pouvoir les ouvrir normalement ? 

Merci beaucoup 

Maeva 

2 réponses

Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
21 474
Salut,

Un crypto-ransomware a chiffré les documents du NAS
Il faut voir si ce sont seulement des partages ou tout l'ensenble du NAS.

En effet si ce ne sont que des partages, ton PC a pû être utilisé comme point d'entré.

Sinon c'est une attaque directe sur le NAS s'il est accessible par internet. Vérifiez les mises à jour firmware pour corriger des vulnérabilités.

L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers


j'ai tenté une récupération avec ECh0raixDecoder trouvé sur bleepingcomputer.com
en mode recherche de clé avec 2 fichiers cryptés, il ne reconnait pas les fichiers cryptés, impossible de lancer la recherche...
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

J'ai du nouveau! c'est Steve, je me suis inscrit pour essayé de faire avancer les choses.
Je me suis rendu sur le lien du readme.txt, le pirate propose d'uploader un fichier crypté et renvoie un lien de fichier démo décrypté.dans le code de la page j'ai trouvé l'url à laquelle le fichier est envoyé sur son site, bien sur on tombe sur une page blanche mais en remontant d'un dossier dans l'url je suis tombé sur dossier non protégé avec des scripts php et..... un fichier python qui me semble etre le script de décryptage. je test ça et donne des nouvelles
Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
21 474 >
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Oui mais le script ne fait pas tout, il faut surtout la clé de déchiffrement qui doit être stockée ailleurs.
>
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Bonne trouvaille Steve....tiens nous au jus...
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

J'ai essayé de voir ce qu'il y a dans le fichier python avec wing mais il est illisible à 90%. Il me sort une erreur d'encodage à l'ouverture. "Could not convert all characters when reading it as a cp1252 encoded file"
Je connais pas assez python pour le moment. Si quelqu'un à une piste je prends. Pour le décryptage, si son site est capable de le faire, la clé doit pas être loin. Je suis à deux doigts de sortir KALI du tiroir...
Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
21 474
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Je viens de tester l'outil de decryptage. Ça marche pour nous !!
Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
21 474 >
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Cool :)
Je passe le sujet en résolu !

Par contre, on ne connaît pas trop le vecteur.
Mettez bien à jour le NAS.
Tu as un PHPMyAdmin accessible depuis internet ?
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Oui il y avait phpMyAdmin, tous les ports ouverts ssh, ftp etc... Le compte admin du NAS utilisé sur les tous les postes pour le partage smb. Dmz et upnp activé sur la box enfin bref, la passoire par excellence... J'ai tout refermé, créé un compte par utilisateur avec droits specifiques et autorisé que les connexion avec ip locale. L'intranet de la boite était hébergé sur le NAS du coup on à pris un hebergeur en cloud. Maintenant on s'en sert juste pour le partage de fichier local.
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

Je suis arrivé dans l'entreprise 3 jours avant l'attaque. Jai eu des sueurs froides... Heureusement que la solution est sortie rapidement ! En tout cas merci beaucoup pour ton aide !!!
Messages postés
179023
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 juillet 2020
21 474 >
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019

ha ouais la vache SMB carremment ok.
Ben de rien. =)
Vous avez eu bcp de chance quand même, car les outils de déchiffrement sont rares surtout à cette vitesse.