Bonjour,
un de mes clients a chopé un ransomware qui a crypté ses fichiers en .clrwsfc.
J'ai essayé plusieurs décrypteurs mais aucun ne le connait alors je fais appel à toutes les bonnes volontés !
Merci d'avance
Rico
Ransomware inconnu...
Modérateurs : Mods Windows, Helper
- Messages : 13411
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Ransomware inconnu...
Bonjour,
Avant tout il faut identifier précisément le ransomware et le suffixe ne dit pas tout vu qu'il peut y avoir plusieurs variants d'une meme souche dans une semaine (comme avec la famille STOP/DJVU par ex)
L'identification passe par le fichier
Souvent à défaut de nommer le ransomware précisemment cela pourra donner sa famille
Tu as essayé ?
https://id-ransomware.malwarehunterteam.com/
Tu as posé la question du reste chez Bleeping
https://www.bleepingcomputer.com/forums ... ansomware/
Mais bon faut pas se leurrer dans la majorité des cas il n'y a pas de décryptor et tous les sites qui affirment le contraire font dans l'arnaque (surtout avec des vrais/faux programmes)
Avec un peu de chance, surtout lors d'arrestations, les autorités récupèrent tout ce qu'il faut pour qu'ensuite si cela est possible qu'un décrypteur voit le jour
viewtopic.php?f=33&t=57145 (la liste des décrypteurs est à jour)
Du reste on n'utilise pas un décrypteur au hasard
Cela fait penser à ceux qui sont touchés par un malware, et qui vont passer tout un tas de programmes, espérant d'un coup de baguette magique éradiquer la chose
Ce n'est pas la bonne méthode, surtout qu'avec ces outils il y a le risque de faire plus de dégats, de rendre le PC instable allant meme jusqu'au BSOD etc
La bonne méthode est d'abord l'analyse
Copier coller de la procédure de Malekal (méthode globale donc qui ne s'applique pas obligatoirement dans le cas présent)
________
* Garde les fichiers touchés par le ransomware.
* Ré-utilise ID Ransomware de temps en temps afin de l'identifier.
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.
Plus d'infos sans garantie de résultats : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)
Mais avant de changer les mots de passe, parce que les ransomwares actuels, essaient d'abord de voler tout un tas de données dont les login et mot de passe, puis ensuite crypte les données
il faut donc s'assurer qu'il ne reste pas de traces d'un keylogger etc
Ensuite après analyse des rapports FRST et nettoyage si besoin effectué, lis ce lien https://www.malekal.com/ransomwares-ran ... -proteger/
La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case qui figure sur l'écran d'accueil
* Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Avant tout il faut identifier précisément le ransomware et le suffixe ne dit pas tout vu qu'il peut y avoir plusieurs variants d'une meme souche dans une semaine (comme avec la famille STOP/DJVU par ex)
L'identification passe par le fichier
Souvent à défaut de nommer le ransomware précisemment cela pourra donner sa famille
Tu as essayé ?
https://id-ransomware.malwarehunterteam.com/
Tu as posé la question du reste chez Bleeping
https://www.bleepingcomputer.com/forums ... ansomware/
Mais bon faut pas se leurrer dans la majorité des cas il n'y a pas de décryptor et tous les sites qui affirment le contraire font dans l'arnaque (surtout avec des vrais/faux programmes)
Avec un peu de chance, surtout lors d'arrestations, les autorités récupèrent tout ce qu'il faut pour qu'ensuite si cela est possible qu'un décrypteur voit le jour
viewtopic.php?f=33&t=57145 (la liste des décrypteurs est à jour)
Du reste on n'utilise pas un décrypteur au hasard
Cela fait penser à ceux qui sont touchés par un malware, et qui vont passer tout un tas de programmes, espérant d'un coup de baguette magique éradiquer la chose
Ce n'est pas la bonne méthode, surtout qu'avec ces outils il y a le risque de faire plus de dégats, de rendre le PC instable allant meme jusqu'au BSOD etc
La bonne méthode est d'abord l'analyse
Copier coller de la procédure de Malekal (méthode globale donc qui ne s'applique pas obligatoirement dans le cas présent)
________
* Garde les fichiers touchés par le ransomware.
* Ré-utilise ID Ransomware de temps en temps afin de l'identifier.
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.
Plus d'infos sans garantie de résultats : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)
Mais avant de changer les mots de passe, parce que les ransomwares actuels, essaient d'abord de voler tout un tas de données dont les login et mot de passe, puis ensuite crypte les données
il faut donc s'assurer qu'il ne reste pas de traces d'un keylogger etc
Ensuite après analyse des rapports FRST et nettoyage si besoin effectué, lis ce lien https://www.malekal.com/ransomwares-ran ... -proteger/
La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
* FRST.txt
* Shortcut. ----> Ne pas oublier de cocher la case qui figure sur l'écran d'accueil
* Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
- Messages : 13411
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Ransomware inconnu...
Je complète pour ceux que cela intéresse
Il s'agit du "MAGNIBER " https://id-ransomware.blogspot.com/2017 ... mware.html
Un article sur ce ransomware
https://www.malwarebytes.com/blog/news/ ... ithin-asia
Connu depuis 2017 et visait initialement la Corée du Sud (langue de ce pays et l'anglais)
Depuis 2018 cela a ciblé d'autres pays de la région Asie-Pacifique : Chine, Hong Kong, Taïwan, Singapour, Malaisie, Brunei, Népal et autres.
La France n'était pas visée jusqu'à présent mais par contre il y a eu une campagne en juillet et décembre dernier pour des anglo saxons
Cela a été attrapé pour certains avec pas mal de fausses mises à jour comme Chrome par ex mais également des jeux et programmes piratés
Dans l'exemple du sample de décembre 2022 (voir lien virus total à la fin) cela va chercher une KB qui n"existe pas (une fausse mise à jour) et va l'installer : MS.Update.Center.Security.KB91772043.msi
Sujet de discussion sur
https://www.bleepingcomputer.com/forums ... pic/page-3
Le ransomware cible les fichiers : MS Office, OpenOffice, PDF, des fichiers texte, des bases de données, des photos, de la musique, des vidéos, des fichiers image, des archives, etc.
La méthode de distribution est commune aux autres ransomwares
il n'y a pas de décrypteur gratuit pour les versions ultérieures à 2017
Seules les variantes coréennes antérieures pouvaient être déchiffrées.
Attention aux arnaqueurs (Facebook, twitter, et surtout Youtube)
Ex https://www.youtube.com/c/helpRansomware
Et.. ne pas se fier aux commentaires de différentes forums où des utilisateurs "enthousiastes" indiquent avoir réussi à décryter les fichiers grace à tel ou telle personne, site etc
Au 19/12/2022
Il n'était pas détecté si je prends les plus connus mais ATTENTION avec Virus Total, car outre les faux positifs du fait de son fonctionnement certains AV ne le voient pas, comme MBAM (MalwareBytes) alors qu'ils ont fait un papier sur ce ransomware en 2017 et les captures indiquaient bien une détection
C'est normal, car les versions installées disposent d'autres mécanismes de protection
J'ai cité également les AV d'origine asiatiques, puisqu'à la base c'est cette région qui était ciblée depuis 2017
Ad-Aware
Avira (no cloud)
Baidu
Alibaba
DrWeb
MalwareBytes
Comodo
F-Secure
Panda
SuperAntiSpyware
Symantec (Norton)
Yandex
Pour les autres on trouvait surtout du trojan generic, comme pour
Bitdefender :; Trojan.GenericKD.64059437
Microsoft le détectait en tant que Trojan:Win32/Wacatac.B!ml
AVG et AVAST (normal c'est la meme sté) en tant que Win64:Evo-gen [Trj]
mais pour les plus connus il était bien identifié
Même ClamAV le détectait ! Win.Ransomware.Magniber-9956735-0
EmiSoft : Ransom.Magniber.Gen (A)
kaspersky: HEUR:Trojan-Ransom.Win64.Magni.gen
Trend Micro : Ransom.Win64.MAGNIBER.SMYXCD1
Sur la page actualisée il y a quelques changements
https://www.virustotal.com/gui/file/d1e ... ?nocache=1
Il s'agit du "MAGNIBER " https://id-ransomware.blogspot.com/2017 ... mware.html
Un article sur ce ransomware
https://www.malwarebytes.com/blog/news/ ... ithin-asia
Connu depuis 2017 et visait initialement la Corée du Sud (langue de ce pays et l'anglais)
Depuis 2018 cela a ciblé d'autres pays de la région Asie-Pacifique : Chine, Hong Kong, Taïwan, Singapour, Malaisie, Brunei, Népal et autres.
La France n'était pas visée jusqu'à présent mais par contre il y a eu une campagne en juillet et décembre dernier pour des anglo saxons
Cela a été attrapé pour certains avec pas mal de fausses mises à jour comme Chrome par ex mais également des jeux et programmes piratés
Dans l'exemple du sample de décembre 2022 (voir lien virus total à la fin) cela va chercher une KB qui n"existe pas (une fausse mise à jour) et va l'installer : MS.Update.Center.Security.KB91772043.msi
Sujet de discussion sur
https://www.bleepingcomputer.com/forums ... pic/page-3
Le ransomware cible les fichiers : MS Office, OpenOffice, PDF, des fichiers texte, des bases de données, des photos, de la musique, des vidéos, des fichiers image, des archives, etc.
La méthode de distribution est commune aux autres ransomwares
Code : Tout sélectionner
- piratage via une configuration RDP non sécurisée
- courriers indésirables et des pièces jointes malveillantes,
- téléchargements usurpé
- exploits
- injections Web,
- fausses mises à jour,
- installateurs reconditionnés et infectés.il n'y a pas de décrypteur gratuit pour les versions ultérieures à 2017
Seules les variantes coréennes antérieures pouvaient être déchiffrées.
Attention aux arnaqueurs (Facebook, twitter, et surtout Youtube)
Ex https://www.youtube.com/c/helpRansomware
Et.. ne pas se fier aux commentaires de différentes forums où des utilisateurs "enthousiastes" indiquent avoir réussi à décryter les fichiers grace à tel ou telle personne, site etc
Au 19/12/2022
Il n'était pas détecté si je prends les plus connus mais ATTENTION avec Virus Total, car outre les faux positifs du fait de son fonctionnement certains AV ne le voient pas, comme MBAM (MalwareBytes) alors qu'ils ont fait un papier sur ce ransomware en 2017 et les captures indiquaient bien une détection
C'est normal, car les versions installées disposent d'autres mécanismes de protection
J'ai cité également les AV d'origine asiatiques, puisqu'à la base c'est cette région qui était ciblée depuis 2017
Ad-Aware
Avira (no cloud)
Baidu
Alibaba
DrWeb
MalwareBytes
Comodo
F-Secure
Panda
SuperAntiSpyware
Symantec (Norton)
Yandex
Pour les autres on trouvait surtout du trojan generic, comme pour
Bitdefender :; Trojan.GenericKD.64059437
Microsoft le détectait en tant que Trojan:Win32/Wacatac.B!ml
AVG et AVAST (normal c'est la meme sté) en tant que Win64:Evo-gen [Trj]
mais pour les plus connus il était bien identifié
Même ClamAV le détectait ! Win.Ransomware.Magniber-9956735-0
EmiSoft : Ransom.Magniber.Gen (A)
kaspersky: HEUR:Trojan-Ransom.Win64.Magni.gen
Trend Micro : Ransom.Win64.MAGNIBER.SMYXCD1
Sur la page actualisée il y a quelques changements
https://www.virustotal.com/gui/file/d1e ... ?nocache=1
- Only Amiga... Was possible !
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 4 Réponses
- 154 Vues
-
Dernier message par Bill97435
-
- 4 Réponses
- 205 Vues
-
Dernier message par Teniol
-
- 1 Réponses
- 115 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 98 Vues
-
Dernier message par necris38
-
- 2 Réponses
- 109 Vues
-
Dernier message par serwal