Crypto nemucod

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Crypto nemucod

Message par benga » 30 nov. 2017 20:13

Bonjour,

Je viens d'être victime (je pense du crypto nemucod).

Une utilisatrice à ouvert une pièce jointe en .rar d'un mail. vers 8h00 ce matin et la ce midi sur le serveur le le NAS un bon quart des fichier renommé en .JSE...

Apparement aucun poste en local n'as été touché, ce qui concorde avec le NEMUCOD.

Voici les fichiers FST: du poste local qui à ouvert le mail :

frst.txt ➯ https://pjjoint.malekal.com/files.php?r ... 11r13p13g8

Merci pour l'aide.

!
Edit by angelique!Utiliser le site http://pjjoint.malekal.com/ pour envoyer les rapports




benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 30 nov. 2017 20:24

Petites questions importantes :

Que faire pour faire repartir le réseau demain ?
J'ai récupérer ce qui n'a pas été crypté sur mon serveur et je ne le rebrancherais pas sur le réseau, il ne sert qu'a héberger une base de donnée d'un progiciel qui n'a pas été touché par le crypto.Un Formatage du serveur et une réinstallation prévu. hébergement de la base en attendant sur un autre poste.

J'ai peur pour le NAS, pour l'instant il est sur un poste en direct (RJ45) et je sauvegarde l'intégralité.
N'y a t-il pas de risque à le re-connecter sur le réseau local ?
est-ce que juste le poste qui a reçu le mail est vérolé ?

Désolé beaucoup d'interrogations.
Merci,

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28821
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Crypto nemucod

Message par angelique » 30 nov. 2017 20:58

D'après le rapport frst.txt (il manque addition.txt!) l'infection n'est pas présente, soit tu l'as viré, soit c'était du oneshot.

Il n'y a pas de startup/ C:\Documents and Settings\Nom_Session\Menu Démarrer\Programmes\Démarrage\*.jse ➯ viewtopic.php?f=98&t=54719

Pour le décryptage, mais pas sur que ça marche en fonction des variantes et maj ( Nemucod Ransom NemucodAES Ransom) sur cette page ::

https://www.nomoreransom.org/fr/decrypt ... NemucodAES
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
https://lilymarguerite.wixsite.com/lilymarguerite

benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 30 nov. 2017 22:13

Ok merci beaucoup!
Ce n’est pas possible qu’il y est quelque chose d’installer sur le NAS?

Pour récupérer les fichiers c’est mort. Tous les fichiers cryptés ont la même taille...
Et est-il possible que le poste est installé le crypto sur le serveur? Ou le crypto est lancé du poste est il agit en réseau local sur les lecteurs réseaux?

Merci beaucoup

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91916
Inscription : 10 sept. 2005 13:57
Contact :

Re: Crypto nemucod

Message par Malekal_morte » 01 déc. 2017 10:58

Sur le NAS, c'est peu probable.
C'est plutôt un ordinateur du réseau, qui a ouvert un fichier et qui chiffre les fichiers locaux et distants, par les partages ou lecteurs réseaux.
L'infection est rattachée à l'utilisateur courant puisqu'il se place dans le dossier startup du profil utilisateur.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 01 déc. 2017 11:26

Ok merci pour tout, les 2 postes sont en cours de formatage complet et le serveur vas être remplacer.
Au moins pas de risque !
et nous allons doubler le nas pour sauvegarde et une sauvegarde sur un FTP de 2To avec sauvegarde SSH Synchbackpro.

Donc pour vous pas de risque sur les autres postes ? nous avons fait une analyse sur chaque poste avec Malwarebytes Anti-Malware (MBAM) / Avira Antivir / AdwCleaner et RogueKiller.

Merci,

benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 05 déc. 2017 10:44

Re-bonjour,

Grosse frayeur hier après midi, nous avons eu une demande de confirmation SMS d'ajout de RIB sur le compte de la société... comme ci quelqu'un c'était connecté sur le site de la banque et avait ajouté un compte bénéficiaire... heureusement la sécurité par SMS nous a prevenu du danger.
Le pc de la directrice étais sur le site de la banque lors de l'infection. Nous avons passé plusieurs anti-virus, pensez vous qu'il serais plus judicieux de la formater ?
Nous changeons tous les mots de passes (messagerie, remise à 0 du NAS changement IP et nom réseau, mot de passe des postes)

Merci d'avance.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91916
Inscription : 10 sept. 2005 13:57
Contact :

Re: Crypto nemucod

Message par Malekal_morte » 05 déc. 2017 13:30

Salut,

Tu peux faire un scan FRST sur son ordinateur avec son compte et donner les liens pour voir, si tu le souhaites.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 07 déc. 2017 10:40


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91916
Inscription : 10 sept. 2005 13:57
Contact :

Re: Crypto nemucod

Message par Malekal_morte » 07 déc. 2017 10:51

il manque le rapport Addition.txt, tu as donné deux fois shortcut.txt
mais déjà il y a Nemucod qui tourne dessus.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Sylvie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\skype_upd.jse [2017-12-06] ()

Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 07 déc. 2017 10:58

oups désolé : https://pjjoint.malekal.com/files.php?i ... k12d6c5w15

tu me fait peur la avec le skype_upd.jse ..... car le poste est utilisé la sur internet et le réseau local.

benga
newbie
newbie
Messages : 8
Inscription : 30 nov. 2017 19:59

Re: Crypto nemucod

Message par benga » 07 déc. 2017 11:38



Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »