Windows Server 2012 R2 infecté par ransomware JohnyCryptor

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

JNOIRJEAN
Messages : 2
Inscription : 21 sept. 2016 17:59

Windows Server 2012 R2 infecté par ransomware JohnyCryptor

Message par JNOIRJEAN »

Bonjour,

Autre infection que le Windows 7, cette fois c'est un Microsoft Windows Server 2012 R2 qui a été infecté par le ransomware / rançongiciel chiffreur de fichiers Johny Cryptor.

Voici les fichiers de FRST

http://pjjoint.malekal.com/files.php?id ... 1l14f14u15

http://pjjoint.malekal.com/files.php?id ... 5j14d13v10

http://pjjoint.malekal.com/files.php?id ... 9y8q7w14q7

Merci de votre aide

Malekal_morte
Site Admin
Site Admin
Messages : 103401
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2012 R2 infecté par ransomware JohnyCrypt

Message par Malekal_morte »

Salut,

JohnyCryptor est une variante .XBL qui s'attaque aux Windows mal sécurisés à travers des bruteforces RDP. Le pirate parvient à se connecter car un compte administrateur ayant un mot de passe trop faible et dont l'accès RDP est accessible par internet.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Envoie le fichier C:\Users\accueil\Downloads\inter1509_johny_cr724.exe sur http://upload.malekal.com

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKLM\...\Run: [inter1509_johny_cr724.exe] => C:\Windows\System32\inter1509_johny_cr724.exe  
 Startup: C:\Users\accueil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inter1509_johny_cr724.exe [2016-09-16] ()  
 2016-09-16 11:53 - 2016-09-16 11:53 - 00000292 _____ C:\[email protected] 
 2016-09-16 11:52 - 2016-09-21 14:57 - 00429568 _____ C:\Windows\SysWOW64\inter1509_johny_cr724.exe  
 2016-09-16 11:51 - 2016-09-15 21:21 - 00429568 _____ C:\Users\accueil\Downloads\inter1509_johny_cr724.exe  
EmptyTemp:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ypso95
Messages : 1
Inscription : 23 sept. 2016 14:19

Re: Windows Server 2012 R2 infecté par ransomware JohnyCrypt

Message par ypso95 »

Bonjour,

Un ami a son Windows Serveur 2012 R2 infecté par JohnyCryptor.
Dans les journaux d'évènements je trouve une ouverture de session en type 10 (RDP) :

Code : Tout sélectionner

L’ouverture de session d’un compte s’est correctement déroulée.
Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		SRV-APLO
	Domaine du compte :		VBL
	ID d’ouverture de session :		0x3e7
Type d’ouverture de session :			10
Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-3103386777-394312949-945531161-1251
	Nom du compte :		SELF
	Domaine du compte :		VBL
	ID d’ouverture de session :		0xb476874
	GUID d’ouverture de session :		{313C468B-C084-2B2C-C174-D9D2D4DF0C41}
Informations sur le processus :
	ID du processus :		0x2398
	Nom du processus :		C:\Windows\System32\winlogon.exe
Informations sur le réseau :
	Nom de la station de travail :	SRV-APLO
	Adresse du réseau source :	185.14.xxx.xxx
Cette adresse IP correspond à celle de l'attaquant ?

Par contre je trouve beaucoup d'échecs d'ouvertures de session avec des noms de compte qui n'existent même pas (genre des prénoms ou Guest ou @dmin) en type d'ouverture 3 ... C'est généré par les services Windows ça ? 3 normalement c'est à partir du réseau ? Un brute force peut générer ça ?

J'ai aussi récupérer les fichiers du Registre Windows. Et dans le ntuser d'une session j'ai trouvé le dernier programme lancé (en l'occurrence le ransomware):

Code : Tout sélectionner

File Name	C:\Users\self\Downloads\inter1509_johny_cr130.exe
Application Run Count	1
Last Run Date/Time - (UTC+1:00) (dd/MM/yyyy)	17/09/2016 01:48:13
Je le retrouve aussi dans les programmes s'exécutant au démarrage (clé RUN):

Code : Tout sélectionner

Software\Microsoft\Windows\CurrentVersion\Run
LastWrite Time Fri Sep 16 23:48:26 2016 (UTC)
  inter1509_johny_cr130.exe: C:\Users\self\AppData\Roaming\inter1509_johny_cr130.exe
Bref je suis à la recherche des traces des tentatives de connexions RDP ...
Si jamais quelqu'un a un retour d'expérience à me faire là dessus.

Malekal_morte
Site Admin
Site Admin
Messages : 103401
Inscription : 10 sept. 2005 13:57
Contact :

Re: Windows Server 2012 R2 infecté par ransomware JohnyCrypt

Message par Malekal_morte »

L'IP est masquée. Pour les tentatives d'ouverture de comptes, c'est du bruteforce, ça test des couples d'identifiants souvent utilisés et si vous en avez un qui traine, boom il obtient l'accès. Une fois administrateur, ça lance le ransomware.

C'est classique.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »