[Clôt] Windows Vista infecté par un rançongiciel chiffreur

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Gurtzz
newbie
newbie
Messages : 5
Inscription : 26 oct. 2015 12:36

[Clôt] Windows Vista infecté par un rançongiciel chiffreur

Message par Gurtzz » 26 oct. 2015 14:43

Bonjour,

Un souci avec un poste de notre CE qui est sous Windows Vista sans antivirus PDT_009 (Réseau à part (heureusement) et gestion du CE en quasi stand alone, bref un beau petit bordel du coup).

Ils ont récupérés il y a deux semaine un ransomware qui à l'air d'apparaitre tout juste sur la toile, en tout cas dans cette version, les premières occurrences sur Google remontant à seulement quelques jours.

J'ai bien évidemment installé un antivirus en premier lieu (Avast mieux que rien) et j'ai passé un coup de RogueKiller et Malwarebytes et ça à l'air d'avoir supprimé l'infection.

Je laisse le HijackThis ici : http://pjjoint.malekal.com/files.php?re ... d8n12p5o12

Seul le logiciel Captimag est détecté comme étant non fiable, mais il s'avère que c'est un faux positif.
C'est un simple logiciel de capture d'écran qu'on utilise depuis des années, sur tous les postes.

Bref le souci est plutôt que ce PC instable servait de Serveur :pascontent3:
Du coup une grande partie de leurs données sont corrompues.
Elles se trouvent sous cette forme :
Ransomware_helpme_freespeechmail.jpg
Ransomware Virus Helpme@Freespeechmail
Évidemment supprimer tout le texte derrière ne sert à rien.
Et ils souhaiteraient récupérer le maximum de données.

Si vous avez une solution, je vous en serais reconnaissant.

Merci d'avance


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Virus Helpme@Freespeechmail

Message par Malekal_morte » 26 oct. 2015 14:52

Salut,

C'est une variante de Trojan.FileCryptor.Trace - virus-encoder

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.


Il n'y a pas vraiment de solution pour récupérer les documents.

~~

HijackThis est dépassé, pour vérifier l'ordinateur :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Gurtzz
newbie
newbie
Messages : 5
Inscription : 26 oct. 2015 12:36

Re: Virus Helpme@Freespeechmail

Message par Gurtzz » 26 oct. 2015 15:07

Ok merci,

je fais cela dans l'apres midi. et je reviens vers vous ensuite.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Vista infecté par un rançongiciel chiffreur

Message par Malekal_morte » 26 oct. 2015 17:14

Il y a des restes de Symantec. Sinon rien d'anormal sur le rapport. Sachant que sur les cas précédents, c'était un fichier du Startup donc lié à la session et qu'il y a plusieurs sessions sur le poste. Il faudrait vérifier le dossier Startup de toutes les sessions en affichant les fichiers cachés et systèmes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Gurtzz
newbie
newbie
Messages : 5
Inscription : 26 oct. 2015 12:36

Re: Windows Vista infecté par un rançongiciel chiffreur

Message par Gurtzz » 26 oct. 2015 17:24

Les autres sessions ne sont jamais utilisées à vrai dire.

Ils n'ont même plus le mot de passe pour la session admin PDT_050 .

Mais je veux bien faire toutes les sessions si ils ont les mots de passes évidemment.

sinon malheureusement pour les fichiers, cela semble compromis, c'est bien cela?

(Et oui pour Symantec, je n'arrive pas à finir la désinstallation, j'aurais bien renvoyé le pc à formater auprès des collegues, mais vu que ce n'est pas nous qui gérons l'installation de ces postes... enfin bref)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Vista infecté par un rançongiciel chiffreur

Message par Malekal_morte » 26 oct. 2015 18:21

Tu as ce Norton Removal pour supprimer les restes de l'antivirus.

et oui pour les documents, c'est mort.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Windows Vista infecté par un rançongiciel chiffreur

Message par ѠOOT » 27 oct. 2015 17:43

Bonjour,

Extraction des pages 2 à 4 du bulletin d'actualité CERTFR-2015-ACT-043 du CERT-FR, le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.

Image

Depuis la mi-octobre 2015, le CERT-FR constate une nouvelle vague de compromissions de type rançongiciel. Les rançongiciels sont des programmes malveillants qui chiffrent les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté soit par une action de l'utilisateur, soit en exploitant une vulnérabilité du système. La victime est ensuite invitée à verser de l'argent afin que l'attaquant déchiffre les fichiers ciblés. La somme généralement exigée dans le cadre de cette campagne est de quatre bitcoins soit environ mille euros ( ~ 1000 € ). L'adresse de courriel helpme@freespeechmail.org est également mentionnée dans l'extension chiffrée des documents.

Aujourd'hui, le CERT-FR n'a pas connaissance de moyens fiables pour récupérer la clé de chiffrement utilisée par le code malveillant. Le recouvrement des données après paiement n'est en aucun cas garanti. Au-delà de l'incitation à réaliser ce type d'attaques, le recours à un moyen de paiement par carte bleue et la transmission des documents chiffrés à l'attaquant pour déchiffrement exposent la victime à des utilisations frauduleuses de ceux-ci.

Mesures préventives

Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l'ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d'apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d'exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle. Le CERT-FR recommande de configurer sur les postes de travail les restrictions logicielles pour empêcher l'exécution de code à partir d'une liste noire de répertoires :

Si la solution utilisée est AppLocker, les règles de blocage suivantes doivent être définies :
  • o OSDRIVE\Users\*\AppData\
    o OSDRIVE\Windows\Temp\
Si les restrictions logicielles (SRP) sont utilisées, les règles de blocage suivantes doivent être définies :
  • o UserProfile\AppData
    o SystemRoot\Temp
Il est important de vérifier que le service "Application Identity" (AppIDSvc) est paramétré en démarrage automatique sur l'ensemble des postes pour que les restrictions logicielles soient opérantes (ce mode de démarrage peut être paramétré à travers une politique de groupe sur le domaine Windows). Si des dysfonctionnements sont rencontrés suite au déploiement de ces règles de blocage, il est nécessaire d'identifier les applications légitimes situées dans ces répertoires, et de définir des règles en liste blanche afin d'autoriser leur exécution.

Le CERT-FR recommande également de mettre à jour les logiciels antivirus du parc informatique (postes utilisateurs, passerelle de messagerie, etc.). Le code malveillant étant polymorphe, les éditeurs antivirus ont besoin de publier des signatures en constante évolution. Par ailleurs, il convient d'envoyer dès que possible un exemplaire du code malveillant à votre éditeur de logiciel antivirus si la variante n'est pas détectée.

Enfin, le CERT-FR recommande d'effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu'elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l'entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production.

Mesures réactives

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L'objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés. Le CERT-FR recommande aussi d'alerter le responsable sécurité ou le service informatique au plus tôt. Le temps de revenir à une situation normale, le CERT-FR recommande également de positionner les permissions des dossiers partagés en LECTURE SEULE afin d'empêcher la destruction des fichiers sur les partages. Les personnels pourront continuer de travailler localement et mettre à jour ultérieurement le partage. Aussi, le CERT-FR recommande de prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d'écrasement par des sauvegardes plus récentes.

Le CERT-FR recommande également de bloquer sur le serveur mandataire l'accès aux domaines ou URLs identifiés dans le message malveillant. L'objectif est de prévenir toute nouvelle compromission sur le même site. En complément, le CERT-FR recommande de rechercher et supprimer les messages malveillants similaires dans les boîtes de messagerie des utilisateurs. Par ailleurs, le CERT-FR recommande la réinstallation complète du poste et la restauration d'une sauvegarde réputée saine des données de l'utilisateur. De plus, dans le cadre de l'utilisation de profils itinérants, il convient de supprimer la copie serveur du profil afin de prévenir la propagation des codes malveillants par ce biais.

Enfin, les fichiers chiffrés peuvent être conservés par la victime au cas où dans le futur, un moyen de recouvrement des données originales serait découvert.

→ Télécharger le bulletin d'actualité CERTFR-2015-ACT-043 du centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques. En cas d'intrusion / compromission, compulser le CERTA-2002-INF-002.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Vista infecté par un rançongiciel chiffreur

Message par Malekal_morte » 04 nov. 2015 11:37

Peut-être une solution avec RakhniDecryptor de Kaspersky : Décrypter Ransomware freespeechmail.org
Information à vérifier...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 11 invités