Ransomware !0XXX / checkmate a crypté mes fichiers

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Je m'appelle Olivier et je suis con comme un balai.

Fan inconditionnel des Mystères de l'amour, je regardais tranquillement mon épisode de la semaine quand soudain, je vis Malwarebytes Anti-Malware (MBAM) s'agiter comme un coucou et m'indiquer des connexions intempestives à mon serveur openmediavault (enfin, je ne le savais pas mais je l'ai découvert un peu plus tard)

Je stocke sur mon serveur des sauvegardes Time Machine et des rsync de pc anciens , ou plutôt je stockais...)

Vendredi 15 septembre 22h : checkmate a crypté mes fichiers
vendredi 22 septembre 22h : !0XXX a recrypté mes fichiers

2 ransomware / rançongiciel chiffreur de fichiers à la suite, pas de bol.

J'ai coupé le réseau et éteint le serveur (dans le désordre). L'infection s'est arrêtée le 15 (elle s'est reproduite une semaine après.
J'ai supprimé les partages SMB, changé les mots de passe utilisateur et root, SMB et NFS. Mon infection n'a rien d'un hasard, j'ai télechargé un jeu (on ne va pas se mentir, c'est contreproductif, mais c'était Starfield pour savoir s'il valait son prix). Mal m'en a donc pris (en général, j'achète les jeux pôur y jouer plus tard et je n'y joue jamais). Bref on ne m'y reprendra plus.

Pourrais-je avoir de l'aide pour que ça ne se reproduise plus?
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Ransomware !0XXX / checkmate a recrypté mes fichiers

par Malekal_morte »

Salut,

Rapports OK.

Quelles détections MBAM, ça disait quoi ?
Ton serveur est accessible par internet ? si oui quels services ?
Il semble avoir été piraté, probablement des failles logicielles présentes dessus.

"The CheckMate ransomware operators have been targeting the Server Message Block (SMB) communication protocol used for file sharing to compromise their victims’ networks."

Maintenant, le mal est fait.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20211
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Ransomware !0XXX / checkmate a recrypté mes fichiers

par Parisien_entraide »

Bonjour

Si on prend quelques détails on note

Que vu le nombre de jeux crackés, car contrairement à ce qui est indiqué (jeu starfield) , ce n'est pas la première fois, et defender avait déjà indiqué des alertes en début d'année, cela ne pouvait déboucher que sur une infection

Au passage, quelque soit l'antivirus, il ne peut rien contre une faille connue et exploitée

L'usage d'un site spécifique connu.. 100% des gagnants à l'infection sur le forum sont passés par ce site, se basant sur les commentaires liés à ce qu'ils veulent télécharger (commentaires bidons il faut le rappeler)
L'astuce du site c'est de mélanger les programmes et jeux crackés avec une ou plusieurs infections et d'autres plus anciens sans infection(s), ce qui fait que les commentaires restent positifs dans l'ensemble

Dans ce que j'ai pu trouver concernant le jeux Starfiels cracké, il vient généralement dans un premier temps avec un stealer, qui s'auto détruit sans traces et ramène ensuite un ransomware (la double peine)
Donc en plus tous les login mots de passe dans volés (mail, comptes de jeux, sites, services, ...) sans compter certains documents qui peuvent servir à identifier la personne si présents sur les disques... (usurpation d'identité etc)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a recrypté mes fichiers

par Gérard Bouchard »

Merci de vos réponses!

@Malekal_Morte
Le serveur était accessible par des partages smb3, par des partages nfs v4, par sftp et ssh, et le port 443



@Parisien_entraide
Donc

1) Je change tous mes mdp
2) Je supprime tous les jeux crackés (qui ne me servent à rien en plus)

Conclusion:
Cela va t'il se reproduire?
Que dois-je faire d'autre?

Merci de vos conseils
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Ransomware !0XXX / checkmate a recrypté mes fichiers

par Malekal_morte »

Tu dois mettre à jour ton serveur pour combler les vulnérabilités.
Après ils ont pu déposer une backdoor.
Donc vérifier.
Sinon réinstaller tout ou remettre une sauvegarde et mettre à jour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 20211
Inscription : 02 juin 2012 20:48
Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)

Re: Ransomware !0XXX / checkmate a recrypté mes fichiers

par Parisien_entraide »

Malekal t'en dira plus pour le côté serveur mais déjà si on prend ne serait ce que le Ransomware Chekmate (j'ai vu que tu avais tenté un decryptor)
voila ce que disait QNAP à son sujet au début des vacances d'été et mis à jour début septembre

Je copie colle ce que j'avais écris il y a quelques temps

Au passage pour le !0XXX (qui existe depuis 2021 et qui cible/ciblait les NAS de toutes les marques (QNAP, Zyxel, D-Link etc)
Personne n'a été en mesure de fournir le logiciel malveillant pour analyser s'il existe ne serait-ce qu'une faiblesse à exploiter... on suppose qu'ils exécutent le logiciel malveillant à partir de leur propre système et qu'ils attaquent des partages de réseau ouverts sur Internet (Samba/SMB par ex)
Il fait partie de la grande famille STOP/DJVU qui peut faire l'objet de variants chaque semaine

IMPORTANT : Malgré ce que racontent certains sites, il n'existe AUCUNE SOLUTION de récupération des fichiers pour ces 2 ransomwares
Les clés de décryptage sont différentes pour chaque cas individuel donc il ne peut y avoir de décrypteur universel

Vu que certaines versions pour rapidité, ne crypte que les premières dizaines octets de fichiers on peut parfois "réparer" certains fichiers
Par ex pour les fichiers Jpg https://www.jpegmedic.com/tools/jpegmedic-arwe/ (mais sans garantie)
ou
https://www.disktuna.com/media_repair-f ... 3-mp4-3gp/ pour les fichiers vidéos

Il est fortement conseillé de sauvegarder les fichiers cryptés originel avant chaque manipulation



____
QNAP avait écrit :
https://www.hfrance.fr/qnap-met-en-gard ... s-nas.html

Checkmate attaque via des services SMB exposés à l’internet, et emploie une attaque par dictionnaire pour casser les comptes avec des mots de passe faibles grâce à la force brute

Il n'y a pas de décrypteur à ce jour et checkmate a été défini comme une nouvelle espèce de ransomware (il n''est rattaché à aucun de connu)
Sans la clé privée principale qui peut être utilisée pour décrypter vos fichiers, le décryptage est impossible .
Cela signifie généralement que la clé est unique (spécifique) pour chaque victime et générée de manière sécurisée (c'est-à-dire RSA, AES, Salsa20, ChaCha20, ECDH, ECC) qui ne peut pas être brutalement forcée .
Cela signifie que meme si il y avait un décrypteur il serait unique pour chaque cas
La seule solution, comme déjà vu pour d'autres ransomwares, c'est une intervention policière chez les auteurs avec saisie des disques dur pour trouver une issue

Il a été vu des réparations partielles sur des images/photos avec
https://www.disktuna.com/media_repair-f ... 3-mp4-3gp/
_________

Ensuite il faut être certain qu'il n'y a pas/plus de backdoor sur ton serveur avant de changer les mots de passe etc


Edit :

A lire, vu qu'en 2021 les disque WD étaient touchés par une faille dans laquelle s'est engouffrée !0XXX
https://www.bleepingcomputer.com/news/s ... 1#cid20081
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Merci @Malekal
En fait, j'ai mis à jour clamav
Je ne sais pas quelles règles mettre dans le parefeu du serveur mais j'ai des notifications de mbam (très très régulières) sur des tentatives de connexion à mon pc.
exemple:
Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'événement de protection: 28/09/2023
Heure de l'événement de protection: 07:53
Fichier journal: 50577194-5dc3-11ee-8052-00ff44859f8f.json

-Informations du logiciel-
Version: 4.6.2.281
Version de composants: 1.0.2131
Version de pack de mise à jour: 1.0.75739
Licence: Essai

-Informations système-
Système d'exploitation: Windows 11 (Build 22000.2416)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: System

-Détails du site Web bloqué-
Site Web malveillant: 1
, C:\Windows\System32\svchost.exe, Bloqué, -1, -1, 0.0.0, ,

-Données du site Web-
Catégorie: Compromis
Domaine:
Adresse IP: 89.248.165.100
Port : 3389-- COMME TOUTES LES AUTRES TENTATIVES DE CONNEXION
Type: En entrée
Fichier: C:\Windows\System32\svchost.exe
Dois-je réinstaller mon pc? Car j'ai l'impression qu'ils sont passés par les partages smb à partir de mon pc (désactivés depuis).
J'ai mbam 4.7.2. Est il possible d'exporter TOUTES les notifications de connexion à la fois?
)Et comment vérifier l'histoire de la backdoor sur une base debian?

Désolé je viens de ire ton message @Parisien_Entraide
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Malekal_morte »

Ton PC n'est pas touché, c'est ton serveur qui a été piraté.
Voir mes explications précédentes.

SMB directement accessible par internet, ce n'est pas une bonne idée.
A minima, mettre un filtre pare-feu sur IP ou y accéder à travers un VPN.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Résultat des courses : j'ai installé wireguard sur le routeur. Mais la configuration n'est pas optimale. Je me retrouve avec en adresses autorisées 0.0.0.0/0. C'est uniquement en sortie?

Bonne nuit!
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Double post mais pour finir c'est bon
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Triple post pour dire que ça recommence! J'ai retrouvé des partages nfsv4 (seulement) inaccessibles. Les permissions des dossiers deviennent
drwxrwSr-- et ça se propage donc j'ai éteint.

Réinstallation obligatoire mais:
1) comment réaccéder à ces dossiers?
2) Le vpn n'a pas suffi donc suis-je ventousé au cul par mon ip?
3) Quand j'ai tenté "sudo users", j'avais 3 "olivier" et 2 "root". Pourquoi donc?
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

1 chmod -R 00755 /dossier (c'est le double zéro qui est important). Les droits vous mettez ce que vous voulez.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Malekal_morte »

Comme j'ai dit plus haut, ils peuvent avoir placé une backdoor pour avoir encore accès à la machine.
Donc remettre une sauvegarde, ou réinstaller de zéro.
Ensuite tu sécurises (mise à jour, pare-feu pour filtrer les services), accès à des services sensibles que par VPN.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Malekal_morte »

Comme j'ai dit plus haut, ils peuvent avoir placé une backdoor pour avoir encore accès à la machine.
Donc remettre une sauvegarde, ou réinstaller de zéro.
Ensuite tu sécurises (mise à jour, pare-feu pour filtrer les services), accès à des services sensibles que par VPN.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Gérard Bouchard
Messages : 8
Inscription : 28 sept. 2023 01:21

Re: Ransomware !0XXX / checkmate a crypté mes fichiers

par Gérard Bouchard »

Petite question:
Je réinstalle;
Je sécurise; (vpn et parefeu)
Puis récupérer ma key et mon certificat ou vaut il mieux tout refaire?
Autre question : mon parefeu est (maintenant) ufw et je n'ai sécurisé que les ports ouverts (ssh et https). As-tu (ou un participant qui écrit aussi clairement) créé un tuto pour mieux sécuriser son serveur debian?

Merci de votre aide!
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »