Serveur infecté par virus RSA-4096 KEY

Serveur infecté par virus RSA-4096 KEY - Virus/Spywares - Windows & Software

Marsh Posté le 29-02-2016 à 11:07:57    

Bonjour, j'ai découvert avec horreur que le serveur d'une collectivité a été piraté et une serie de dossiers se retrouvent inutilisables avec les données transformées en fichier mp3 et un petit mot laconique expliquant qu'il sont été cryptés avec RSA-4096 KEY ...
 
J'ai essayé de trouver le malware a la date de modification de ces fichiers (17/02/2016) sans succès
adwcleaner et malwarebytes ne le trouvent pas non plus ! Je trouve par contre le fonctionnement d'awcleaner bizare car normallement il charge sa base de donnée avant de démarrer hors là il ne le fait pas...
 
Je craint qu'il ne convertisse plus de dossiers de jour en jour... Comment faire?
 
De plus est ce qu'il est formellement impossible de récupérer ces données ?
 
Merci pour vos réponses et vos aides. Cordialement.

Reply

Marsh Posté le 29-02-2016 à 11:07:57   

Reply

Marsh Posté le 29-02-2016 à 11:42:28    

Bonjour,
 
 
Edit: En fait, les cryptowares du moment "s’autodétruisent" après leurs méfaits.  
Les ranso-cryptowares infectent des documents dans un laps de temps défini puis arrêtent les cryptages. Ils infectent, ouvrent les instructions de paiements et se ferment.
 
De ce fait, il ne convertira pas d'autres fichiers car le programme n'est plus actif. Cela dit, on peut vérifier si tu as le PC sous la main, je t'indiquerai un outil.
 
La mauvaise nouvelle, c'est que pour l"instant, on ne peut pas récupérer les fichiers cryptés. La seule parade préventive est de faire des sauvegardes externes. La restauration du système ne marchera pas car soit ce type de malware détruit les points de restauration soit il détruit les copies originales.    
 
Quant à AdwCleaner, il ne met pas à jour sa base de données tous les jours.


Message édité par monk521 le 21-03-2016 à 12:36:50
Reply

Marsh Posté le 29-02-2016 à 11:56:21    

ok merci, je ne poste plus sur ce sujet on continue sur le fil du meme titre..
 
ha si .. impossible non plus de remonter la trace de l'origine du truc ?
 
Car le 17 je n'ai rien fait sur ce poste,
est ce que cette date de modification est viable ou est elle aussi faussée pour ne pas qu'on retrouve l'origine de l'infection.
 
Je demande aussi ca car on va me demander des compte pour savoir comment il a pu s'implanter sachant que normallement ce n'est pas une station de travail mais un poste serveur avec un mot de passe administrateur qui n'est accèdé que par deux personnes...

Message cité 1 fois
Message édité par renren le 29-02-2016 à 11:58:22
Reply

Marsh Posté le 29-02-2016 à 12:34:56    

Il n'y a probablement aucune infection sur le serveur ça ne sert à rien de la chercher, ça n'a rien à voir avec de l'autodestruction.
 
Dans 99.99% des cas de partages de fichiers cryptoransomés, ça a été fait par l'un des postes clients, qui se connectent au partage de fichiers. C'est pour ça que c'est la terreur des entreprises ces temps-ci.
 
Cet ordi infectera toutes les clés usb et tous les partages réseaux auquel il va se connecter sur lesquels il a les droits d'écriture/modification. Si j'ai bien compris ton post tu dis qu'il n'y a que deux personnes qui se connectent à ce partage ? le coupable devrait être rapide à trouver.
 

renren a écrit :


Je demande aussi ca car on va me demander des compte pour savoir comment il a pu s'implanter sachant que normallement


 
On ne peut pas te demander de comptes sur l'infection, puisqu'elle n'est pas sur le serveur, les utilisateurs sont les seuls coupables.
 
Par contre, on risque de t'en demander si tu es dans l'incapacité de restaurer les données parcequ'il n'y a pas de backup..


Message édité par flash_gordon le 29-02-2016 à 12:45:16
Reply

Marsh Posté le 29-02-2016 à 13:41:10    

Bonjour Flash... Interessant, car je pensais avoir compris que le malware etait venu par le serveur lui meme.. Hors tu m'indiques que la propagation pourrai venir d'un poste client ce qui est plus probable pour moi. Dans ce cas je n'ai pas deux mais une dizaine de postes clients possibles.. Meme si dans les lascars j'en ai plutot un ou deux qui serainet capables de lancer ce type de chose...
 
Par contre sur ces postes cleints j'ai du Essent anti virus payé en licence.. n'aurait il pas vu ce type d'infection ?
 
J'ai un poste avec Avast en free ... serait il la source évidente ...
 
A part la date d'infection, comment pourrais je tracer avec le plus de certitude possible le point d'entree ?
 
Pour les backup.. la manip etait en cours donc on a une vrai perte de donnée...

Reply

Marsh Posté le 29-02-2016 à 13:48:35    

renren a écrit :


A part la date d'infection, comment pourrais je tracer avec le plus de certitude possible le point d'entree ?
 
 


 
Regarde le 'owner' (proprietaire) des fichiers, ne te base ni sur la date de modif ni sur le nom du dernier acces.


Message édité par flash_gordon le 29-02-2016 à 13:50:16
Reply

Marsh Posté le 29-02-2016 à 13:53:05    

pour cela j'accède a un des fichiers (limage le html ou le fichier txt) de revendication, je demande les propriétés, détails... c'est là que je vois le "proprio" du truc ???

Reply

Marsh Posté le 29-02-2016 à 13:56:36    

Plutot l'un des fichiers chiffrés.

Reply

Marsh Posté le 29-02-2016 à 14:17:05    

sur le chemin que j'ai evoqué c'est le bon ? dans ce cas non.. les propriétaires des fichiers semblent les bons au regard des personnes les manipulant.. par contre tous les fichiers  Recovery+syjrk.html Recovery+syjrk.png Recovery+syjrk.txt le meme propriétaire est noté.. c'est un fake ?
 

Reply

Marsh Posté le 29-02-2016 à 14:22:15    

Bah ça depend. Ça ressemble a un de tes users ?

Reply

Marsh Posté le 29-02-2016 à 14:22:15   

Reply

Marsh Posté le 29-02-2016 à 14:25:28    

Pour vérifier s'il reste une trace encore active du malware, un moyen simple est d'utiliser par exemple Autoruns de Systernal et de regarder dans les clés Run (Logon), les tâches ou les services (en général c'est les Runs).  
 


Message édité par monk521 le 03-03-2016 à 20:40:55
Reply

Marsh Posté le 29-02-2016 à 14:29:49    

Heu monk521 ... peux tu m'aider en précisant la démarche car je ne vois pas comment faire ceci: "exemple Autoruns de Systernal et de regarder dans les clés Run (Logon), "
faut il que je passe par le registre pour voir les 'autorun" au logon ?
ou par msconfig et voir les taches lancées au démarrage, ou alors les taches planifiées....
je pense faire une virée sur site demain après midi ou mercredi, mais j'aimerai avoir le maximum de billes pour tracer la chose et detecter la faille afin d'expliquer aux utilisateurs (ou au élus ca va etre moins évident...) d'ou vient le probleme...

Reply

Marsh Posté le 29-02-2016 à 14:42:28    

Autoruns de Systernal  
 
 
C'est tout simple. D'abord, tu télécharges et décompresses le programme. Tu ne va utiliser que le fichier autoruns.exe.
 
Puis, sur chaque poste, tu colles Autoruns.exe sur le bureau par exemple et tu cliques sur ses Propriétés / compatibilité / et coche Exécuter en tant qu'administrateur.
 
Ensuite, dans les colonnes Logon, Tâches, Services, tu vérifies la légitimité des programmes, tu les connais et tu regardes surtout si tu ne verrais pas un fichier bizarre écrit de façon aléatoire comme dfi7ugizp7ykz.exe.
 
Si tu trouves un fichier comme cela, décoche simplement la clé de registre, c'est suffisant pour désactiver le programme. Tu peux aussi supprimer le fichier .exe en suivant le chemin d'installation.  
 
 
Je regarde pour wininit.exe et la restauration du système.


Message édité par monk521 le 01-03-2016 à 11:34:06
Reply

Marsh Posté le 29-02-2016 à 14:57:04    

super merci je fais un retour sur cette démarche demain ...


Message édité par renren le 01-03-2016 à 15:41:04
Reply

Marsh Posté le 29-02-2016 à 21:54:59    

ok je fais ca demain mardi ou mercredi suivant mon emploi du temps  je posterai la réponse.


Message édité par renren le 01-03-2016 à 15:41:34
Reply

Marsh Posté le 02-03-2016 à 07:06:45    

Rebonjour,
 
alors j'ai trouvé le poste d'ou est parti l'infection,
tous les fichiers du repertoire Documents et du bureau sont infectés.
 
J'ai passé l'outil Autoruns de Systernal  
 
je n'ai pas trouvé de ligne comme tu expliquais dans les onglets cité,
 
par contre j'ai trouvé les trois fichiers (l'image la page html et le fichier texte) en autorun je  les ai décoché
j'ai aussi trouvé des lignes mises en surbrillance soit en jaune soit en rose/rouge.  
Mais quand j'essaie de les décocher j'ai une erreur: "autoruns acces denied"
Error changing item state Accès Refusé
 
meme si je clique sur Run as Administrator (de toute facon je l'avais lancé en tant qu'administrateur) ca ne change rien...
 
les lignes concernées sont:
dans Scheduled Tasks
\Microsoft\Windows\NetTrace\GatherNetworkInfo c:\windows\system32\gathernetworkinfo.vbs 10/06/2009 21:36  en rouge/rose
 
dans IE
Ajouter à Evernote 4 File not found: C:\Program Files (x86)\Evernote\Evernote\EvernoteIE.dll/204 En jaune
 
dans boto execute
autocheck autochk *  c:\windows\system32\autochk.exe 26/05/2013 19:17 en rouge/rose
 
dans office
FormRegionAddin Class    c:\program files\microsoft office\office15\addins\umoutlookaddin.dll 13/10/2015 10:39 en rouge/rose
 
dans WMI
BVTConsumer File not found: KernCap.vbs en jaune  
 
Je vais essayer de voir si un des outils cité dans l'autre post permet de retrouver ces fichiers ou pas ..
 
A ce propos, existe t il un groupe, une communauté qui essaie "officiellement" de trouver une solution à ce probleme pour récupérer les fichiers originaux ?
 
De meme est ce que si j'arrivais à trouver un fichier intact (c'est à dire qu'un utilisateur aurait envoyé par mail avant) permettrait il de trouver cette fameuse clé ?
 
Merci pour votre aide!

Message cité 1 fois
Message édité par renren le 02-03-2016 à 07:08:40
Reply

Marsh Posté le 02-03-2016 à 07:24:23    

renren a écrit :


A ce propos, existe t il un groupe, une communauté qui essaie "officiellement" de trouver une solution à ce probleme pour récupérer les fichiers originaux ?
 
De meme est ce que si j'arrivais à trouver un fichier intact (c'est à dire qu'un utilisateur aurait envoyé par mail avant) permettrait il de trouver cette fameuse clé ?
 
Merci pour votre aide!


 
Il y avait,  puisque l'un des membres avait développé un décodeur universel (suivi par quelques éditeurs d'AV) ,  mais vu la complexité actuelle où chaque fichier à sa propre clé c'est mission impossible
 
Par contre il est intéressant de fournir les véroles trouvées histoire de faire avancer la chose (évolutions par ex) à Malekal, le maitre des lieux (le contacter avant histoire que le/les fichier(s) joint(s) ne soit pas accessible(s) à tout le monde) via  http://pjjoint.malekal.com/
 
http://forum.malekal.com/virus-aid [...] ijack.html
 
http://forum.malekal.com/crypto-ra [...] 50701.html
 
Et le site  http://www.malekal.com/
 
 

Reply

Marsh Posté le 02-03-2016 à 09:22:42    

Tous les fichiers que tu cites sont légitimes, simplement Autoruns ne reconnait pas la signature.
 
Les fichiers textes sont les fichiers cryptés, ce n'est pas le programme du malware en lui-même.  
 
Tu peux toujours me faire parvenir les 2 rapports de FRST pour voir si le malware est toujours là.
 
Il y a effectivement un groupe de chercheurs sur le site de Malekal (et sur bien d'autres sites internationaux de sécurité) mais rien de concluant pour l'instant.
 
 
==> Dernière variante, il y en a toutes les semaines : Locky.  
 
Les fichiers infectieux sont des documents Word en pièces jointes de mail. La charge utile réside dans un dossier Temp et se lance par une clé Run.
 
http://www.malekal.com/locky-ransomware/
https://blog.malwarebytes.org/intel [...] nto-locky/


Message édité par monk521 le 05-03-2016 à 10:23:09
Reply

Marsh Posté le 05-03-2016 à 10:15:40    

L'infection existe-t-elle aussi en visitant des pages web piégées?

Reply

Marsh Posté le 05-03-2016 à 10:21:56    

Oui, très certainement par l'intermédiaire d'exploits ou par des encarts douteux (publicités, fausse maj,...) qui vont vous rediriger vers des téléchargements de programmes infectieux.  
 
Tout est possible bien que beaucoup de cas recensés soit dans les pièces jointes de mail.

Reply

Marsh Posté le 05-03-2016 à 10:46:29    

Merci. L'astuce de Malékal WHS et js/jse rediriger vers le bloque note fonctionne bien dans ces cas la? Edit: noscript aussi?

Message cité 1 fois
Message édité par annadonetskaya le 05-03-2016 à 10:57:37
Reply

Marsh Posté le 05-03-2016 à 10:47:18    

monk521 a écrit :

Oui, très certainement par l'intermédiaire d'exploits ou par des encarts douteux (publicités, fausse maj,...) qui vont vous rediriger vers des téléchargements de programmes infectieux.

 

Tout est possible bien que beaucoup de cas recensés soit dans les pièces jointes de mail.

 

Phishing comme avec la dernière pseudo facture de FREE

 

Ou... de liens reçus en mail

 

"Pour savoir si vous avez gagné le dernier Iphone cliquez ici"

 

Et souvent en ciblant (à l'aveugle) :  

 

"Perdez du poids gratuitement avant l'été ... cliquez ici"  (version féminine)
"Bonjour c'est Natasha tu te rappelles de moi ?   et divers pseudos liens falsifiés  : Page facebook, vidéo , ...  (version masculine)

 


Se rappeler quand meme que les liens sur les sites douteux ou infectés pourvoyeurs de malwares sont mis à jour régulièrement pour divers programmes de protection ( fichiers hosts par ex)

 

Ex de liste :

 

https://www.malwaredomainlist.com/update.php


Message édité par Profil supprimé le 05-03-2016 à 10:48:21
Reply

Marsh Posté le 05-03-2016 à 10:49:41    

Citation :

L'astuce de Malékal WHS et js/jse rediriger vers le bloque note fonctionne bien dans ces cas la?


Tu as vu ça où ? Malekal dit lui-même que pour l'instant rien ne marche.

Reply

Marsh Posté le 05-03-2016 à 11:18:02    

http://www.malekal.com/proteger-scripts-malicieux/ c'est préventif pas curatif pour éviter les faux mails mais est ce que sa marche avec les sites web corrompus?


Message édité par annadonetskaya le 05-03-2016 à 11:19:45
Reply

Marsh Posté le 05-03-2016 à 18:23:10    

annadonetskaya a écrit :

Merci. L'astuce de Malékal WHS et js/jse rediriger vers le bloque note fonctionne bien dans ces cas la? Edit: noscript aussi?


 
 
No Script c'est pour ton navigateur
Windows peut AUSSI interpréter du Js, d'ou la désactivation du Windows Script Host  (m'enfin c'est le truc qu'il est demandé de désactiver depuis des années)
 
Je te conseille la lecture de http://forum.malekal.com/scripts-m [...] ml#p416785
 
L'auteur est de la revue "Misc" bien connue et il connait son sujet

Reply

Marsh Posté le 06-03-2016 à 11:08:36    

Lecture très intéressant. Il y a d'autres forums que malekal?

Reply

Marsh Posté le 22-10-2016 à 10:02:25    

Virus Crypto se multiplient comme des champignons après la pluie, par exemple, le dernier CERBER http://webera.fr/readme-hta-cerber/ virus a conduit à l'infection de 500 mille ordinateurs. Et le fabricant du système d'exploitation ne peut pas répondre rapidement, seules les sauvegardes aident. Pour l'escroquerie est un système très pratique. Le seul moyen de sortir - d'interdire Bitcoin en Europe. :pt1cable:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed