JohnyCryptor - extension XTBL

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86209
Inscription : 10 sept. 2005 13:57
Contact :

JohnyCryptor - extension XTBL

Message par Malekal_morte » 21 sept. 2016 20:17

Les crypto-ransomwares utilisant les extensions XTBL sont courantes, notamment Ransomware Criakl (Microsoft), Rakhni (Kaspersky), BandarChor (F-Secure). Nous avions recensé déjà quelques cas: Ransomware .XTBL

Aujourd'hui, deux sujets :
Windows Server 2012 R2 infecté par ransomware JohnyCryptor
Microsoft Windows 7 infecté par le ransomware JohnyCryptor.

L'exension utilisée avec l'adresse de contact pour payer la rançon johnycryptor@hackermail.com :
Celle-ci peut changer dans le temps.

A priori, rien de nouveau ici, possible encore une variante qui s'attaque aux serveurs mal sécurisés à travers des bruteforces RDP. Le pirate parvient à se connecter car des comptes administrateur avec des mots de passe faibles sont présents et l'accès RDP accessibles par internet.

Les fichiers créés par le ransomware sur les sujets observés :

Code : Tout sélectionner

 HKLM\...\Run: [inter1509_johny_cr724.exe] => C:\Windows\System32\inter1509_johny_cr724.exe  
 Startup: C:\Users\accueil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1509_johny_cr724.exe [2016-09-16] ()  
 2016-09-16 11:52 - 2016-09-21 14:57 - 00429568 _____ C:\Windows\SysWOW64\inter1509_johny_cr724.exe  
 2016-09-16 11:51 - 2016-09-15 21:21 - 00429568 _____ C:\Users\accueil\Downloads\inter1509_johny_cr724.exe
Récupérer les fichiers .XTBL

Rendez-vous sur la page : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter l'utilitaire .Crysis ou Rannoh Decryptor)


Désinfecter le serveur et sécuriser les accès RDP.

liens externe autour de JohnyCryptor :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité