Trojan.FileCryptor.Trace - virus-encoder

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

DugR
newbie
newbie
Messages : 17
Inscription : 29 nov. 2009 15:20

Trojan.FileCryptor.Trace - virus-encoder

Message par DugR » 29 sept. 2015 15:27

Bonjour,

J'ai un poste qui a été infecté par le Trojan.FileCryptor.Trace (MBAM).
Tous les fichiers accessibles depuis cet ordinateur en local et réseau ont été renommés du genre :
1.doc.id-0028403174_email1_sos@decryptfiles.com_email2_zuza@protonmail.com_BitMessage_BM-NBemdRuEEVcaEgSenoQGVZpC9dm8Ycxn
J'ai essayé de le supprimer (mbam, adwcleaner, roguekiller), j'ai également essayer de décrypter les fichiers mais ca n'a pas été des plus concluant.

J'ai passé l'utilitaire FRST et voici les rapports :
FRST : http://pjjoint.malekal.com/files.php?id ... v7z7n8o5s5
Additionnal : http://pjjoint.malekal.com/files.php?id ... 14g12z13r8
http://pjjoint.malekal.com/files.php?id ... 5o9i6f9v12

Merci d'avance de votre aide!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace

Message par Malekal_morte » 29 sept. 2015 15:41

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.


Il n'y a pas vraiment de solution pour récupérer les documents.

~~

Envoie le fichier C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp sur http://upload.malekal.com

~~


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar- ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()
Startup: C:\Users\Poste2.STATION02.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AF0B.tmp [2015-09-29] ()
2015-09-29 13:08 - 2015-09-29 13:08 - 00401934 _____ C:\Users\Poste2.STATION02.000\AppData\Roaming\recovery.bmp
2015-09-29 14:24 - 2014-02-17 10:34 - 00000302 _____ C:\Windows\Tasks\ciwpmitdp.job

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

DugR
newbie
newbie
Messages : 17
Inscription : 29 nov. 2009 15:20

Re: Trojan.FileCryptor.Trace

Message par DugR » 29 sept. 2015 15:50

Voilà c'est fait, le malware est bien supprimé? je peux restaurer une sauvegarde?

Les fichiers non sauvegardés auront ils une chance d'être décryptés?
j'essaie avec des utilitaires de Kaspersky.

Merci

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace

Message par Malekal_morte » 29 sept. 2015 16:07

Merci pour le fichier. Pour l'utilitaire Kaspersky, ça ne sert à rien.
Test plutôt les versions précédentes des fichiers.

Pour le rançongiciel, je pense que oui, je l'ai envoyé aux antivirus.
SHA256: 409183e50ef1b6ad32075d500552cff0bcc53cebb9086ec7daafb0610371b809
Ratio de détection : 3 / 55
Date d'analyse : 2015-09-29 13:55:21 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
DrWeb Trojan.Encoder.567 20150929
Kaspersky Trojan-Ransom.Win32.Cryakl.aby 20150929
Rising PE:Malware.Obscure/Heur!1.9E03[F1] 20150928
message :
Attention ! Your computer has been attacked by a virus-encoder
Les emails pour la rançon sont :

Code : Tout sélectionner

sos@decryptfiles.com
zuza@prontomail.com
Image
CnC: SKREKLAMA.LT (185.5.53.32)

C'est une variante de Ransomware fud_india.com - virus-encoder - cela y ressemble beaucoup.

Fiche virus-encoder sos_decryptfiles.com ajoutée.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

DugR
newbie
newbie
Messages : 17
Inscription : 29 nov. 2009 15:20

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par DugR » 29 sept. 2015 20:43

Merci mille fois pour votre aide, j'ai pu récupérer mes fichiers de sauvegarde et pour les autres une ancienne version sauvegardée par Windows !

Sinon, j'ai tenté le mail de demande de rançon et voici la réponse :
Hello! The cost of decoding of files makes 700(€) euro in bitcoins, for a guarantee of existence of the decoder at us you can send the test file to decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.
If you do not receive a reply, please contact us at sos@scryptmailDoTcom or sos@decryptfilesDotcom
Consternant!!!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par Malekal_morte » 29 sept. 2015 21:58

La rançon a augmentée, d'habitude, c'est plutôt 250 ou 500 euros.
J'imagine que tu es une entreprise, ils savent que les données sont importantes donc ça peut faire monter les prix.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

DugR
newbie
newbie
Messages : 17
Inscription : 29 nov. 2009 15:20

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par DugR » 30 sept. 2015 11:08

Oui, c'est bien une entreprise.

D'ailleurs, comment aurait il pu le savoir?

Ils auraient accès aux données à moins que leur ransomware leur envoi le volume de fichier cryptés?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par Malekal_morte » 30 sept. 2015 13:42

Je pensais au Ransomware OMG qui lui visait quasiment que des entreprises (en bruteforce TSE). C'est plus rentable de taper une entreprise qu'un particulier, les données pour une entreprise sont plus importantes, c'est même vital. Une personne qui perd ses photos, c'est pas cool, mais en survivra. Après, c'est très simple de récupérer les courriels d'une entreprise et de viser certains services avec des campagnes malicieuses.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

oescaliere
Messages : 4
Inscription : 02 oct. 2015 22:26

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par oescaliere » 02 oct. 2015 22:51

Bonjour,

Nous rencontrons actuellement un problème similaire au sein de notre entreprise, nous avons des fichiers cryptés sur notre serveur de fichier du genre

nom-de-fichier.id-4026358271_email1_sos@decryptfiles.com

Je vous ai uploadé un rapport FRST sur http://upload.malekal.com

Il semblerait qu'un poste soit infecté par un trojan mais nous n'arrivons pas à identifier lequel. Notre antivirus est McAfee Viruscan Entreprise 8.8 (et il ne détecte pas ce trojan). Avez vous une solution pour identifier le poste infecté et éradiquer.

Cordialement

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par Malekal_morte » 03 oct. 2015 10:34

ok donc ça confirme bien qu'ils semblent se concentrer sur les entreprises.

Les rapports FRST sont à donner via http://pjjoint.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

oescaliere
Messages : 4
Inscription : 02 oct. 2015 22:26

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par oescaliere » 03 oct. 2015 12:21

Bonjour,

nous venons de vous uploadez les fichier FRST des 2 poste que nous pensons infecter.
Voici les liens :
FRST.txt : http://pjjoint.malekal.com/files.php?id ... 5f5i14w7n6
Additionnal.txt : http://pjjoint.malekal.com/files.php?id ... z8h15r14s9

CP-PORT
http://pjjoint.malekal.com/files.php?id ... 0x8g7k13d7
http://pjjoint.malekal.com/files.php?id ... q12y13j8m8

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par Malekal_morte » 03 oct. 2015 13:02

Pas l'air infecté, sur CP-PORT

il existe ce C:\Users\ADMINI~1\AppData\Local\Temp" /B {A826A46D-9412-46EC-8BE7-030B2370EB2F}.cmd ?
si oui, quel est le contenu.
HKLM-x32\...\RunOnce: [{A826A46D-9412-46EC-8BE7-030B2370EB2F}] => cmd.exe /C start /D "C:\Users\ADMINI~1\AppData\Local\Temp" /B {A826A46D-9412-46EC-8BE7-030B2370EB2F}.cmd
Aussi les analyses FRST ont été faites depuis la session administrateur.
il se peut que ce soit seulement la session de l'utilisateur qui soit touché.
Faudrait faire un FRST sur les session utilisateurs.

Normalement il faut regarder la présence d'un fichier .tmp dans le dossier démarrage.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

oescaliere
Messages : 4
Inscription : 02 oct. 2015 22:26

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par oescaliere » 03 oct. 2015 17:50

Bonjour,

Merci pour votre réponse, nous continuons à scanner les poste sur le réseau pour l'instant nous n'avons pas trouver trace de fichier crypté en local hormis sur un poste cp-port (d'ailleur voici le frst avec la session locale http://pjjoint.malekal.com/files.php?id ... y12m6u11g8 )

Nous avons lancé la restauration sur le serveur de fichier car beaucoup de fichier ont été impacté

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85085
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par Malekal_morte » 03 oct. 2015 18:47

Pas l'air infecté.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

oescaliere
Messages : 4
Inscription : 02 oct. 2015 22:26

Re: Trojan.FileCryptor.Trace - virus-encoder

Message par oescaliere » 04 oct. 2015 16:59

Bonjour,

Merci pour votre aide nous n'avons pas trouver l'ordinateur responsable.
Nous sommes à 19 machines potentiellement responsables.
Nous avons transmit des échantillons à McAfee.
Mais McAfee n'est pas bien rapide.

Nous avons vérifier la présence d'un fichier .tmp dans le dossier démarrage mais il n'y a rien.

Comment pouvons déterminer le poste initiateur de cette attaque ?

Merci de votre aide.

Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Google Adsense [bot] et 2 invités