Extension OMG! ajouté aux fichiers

[Malekal_morte]

A lire :
Je viens de supprimer un message...

Le prochain qui post un truc du style : "j'ai une solution, et qui donne rien ici et qui réclame qu'on le contacte ailleurs" : c'est ban direct.
Le but ici, c'est d'aider, donc on donne la solution et pas de demande de contact extérieur, parce que les gars qui profitent de la situation pour arnaquer ou extorquer, hein.

[david.c]

Bonjour,

Voici peut être une solutions pour vous:
http://www.pandasecurity.com/uk/homeuse ... rd?id=1675

Tenez moi au courant si cette solution fonctionne pour vous.

Bonjour,

J'ai eu même intrusion chez un client. J'ai testé cet outils et d'autres de décryptage, je n'en ai pas trouvé qui fonctionne. Malgré l'utilisation de fichier sain et crypté pour essayer de générer la clé de décryptage.

[Malekal_morte]

Sur la page Panda :

Symptoms
My computer has been infected by a virus and now files with extensions such as .exe, .doc or .pdf have been renamed as locked-nameofthefile.ext.xxxx (where xxxx are random characters) and no longer work.

Un sujet relatif à ce cryptor : virus-locked-t37459.html

En gros, c'était le virus gendarmerie matsu, or la première version, les dev se sont ch*és dessus sur la partie chiffrage et il était possible de déchiffrer.
Cela a été corrigé dans les versions d'après.

Là vous avez un autre chiffreur, on a meme pas de sample pour savoir ce qu'il fait, c'est pour cela que depuis le début du topic, j'ai demandé à ce qu'un logiciel de récupération de fichiers soit utilisé pour pouvoir récupérer le dropper.
Mais si les dev ont bien fait leur boulot, y a pas de solution sans la clef de chiffrage.

[GéPerduMesFichiers]

Bonjour,
Voilà mon histoire.

Vu mon pc totalement perdu un matin. Création d'un mail pour cet usage, échange avec le rançonneur.
0,4 btc de rançon payée, fichier de décryptage reçu (avec "notice" d'assistance).
Copie des fichiers codés (pas tous, seuls ceux dont je n'avais pas de sauvegarde) dans une une machine virtuelle avec windows xp (machine virtuelle jetée après coup, on ne sait jamais), double clic, rapide décryptage.
Vérification, dans la limite du raisonnable, de la non dangerosité des fichiers décryptés. OK

Ouf, je vais changer de pseudo, en GéretrouvéMesFichiers ;-)

Ceci dit, ça me plait pas d'avoir payé, et je ne le conseille pas du tout.

[GéPerduMesFichiers]

En passant : vu le lien donné dans le message du rançonneur, il doit y avoir des visiteurs sur ce site, particulièrement sur ce sujet !
L'administrateur du site doit avoir des statistiques quant à la progression de l'infection ...
Chiche qu'il les publie !

[chef]

bonsoir GéPerduMesFichiers,
vous êtes une entreprise ou un particulier ?
ma question c'est quand je regarde les autres poste , sa concernent souvent les entreprises !
merci

[GéPerduMesFichiers]

Bonsoir,

<...> quand je regarde les autres poste , sa concernent souvent les entreprises !
merci

Bof, une machine windows trouée allumée en permanence sur un adsl citadin, c'est une cible trop facile, quel que soit son usage !
Vu le nombre de gamers qui ne savent pas (ou ne veulent pas) protéger un windows, vu le nombre de téléchargeurs sans limite qui utilisent des cracks bien crades, vu le nombre d'entreprises où c'est celui dont ce n'est pas le métier qui gère, il doit y avoir des infections un peu partout...
J'imagine que les particuliers qui perdent leurs photos ne vont pas trop faire de bruit, parce qu'ils vont abandonner devant la difficulté (la monnaie virtuelle n'a pas bonne presse), alors que les professionnels touchés vont chercher à récupérer leurs billes sinon le chiffre d'affaire va baisser ?

Bonsoir chez vous,

[Malekal_morte]

ma question c'est quand je regarde les autres poste , sa concernent souvent les entreprises !

oui, c'est par du bruteforce TSE, accès par des comptes via des mots de passe facile : 123, 12345 etc.
Je pense que c'est assez judicieux de viser les entreprises car elles ne peuvent pas se permettent de perdre des fichiers, surtout dans le cas d'un serveurs de fichiers.
Monsieur tout le monde, même si ça fait mal, il peux perdre ses photos de vacances etc.

[ekodante]

Bonjour à tous,

Je viens de parcourir pas mal les ticket dessus le sujet et ce ticket qui me parait le plus approprié.

Ok je commence par le début :
Arrivé ce matin drôle de surprise que d'avoir un coup de file d'un client qui me dis que son serveur de compta est down et que les fichiers sont renommé en .OMG! avec un joli message à la connexion dessus!!!

voici le message
JOKE
Hello boys and girls! Welcome to our high school "GPCODE"!
If you are reading this text (read this very carefully, if you can read), this means that you have missed a lesson about safety and YOUR PC HACKED !!! Dont worry guys - our school specially for you! The best teachers have the best recommendations in the world! Feedback from our students, you can read here:
1)extention-omg-ajoute-aux-fichiers-t44686.html
2)http://www.forospyware.com/t464048.html
As you see- we trust their training, only we have special equipment(cryptor.exe and decryptor.exe) and only here you will get an unforgettable knowledge!
The lesson costs not expensive. Calculate the time and money you spend on recovery. Time is very expensive, almost priceless.We think that it is cheaper to pay for the lesson and never repeat the mistakes.We guarantee delivery of educational benefits(decryptor.exe). First part(cryptor.exe) you have received :-)
SERIOUSLY
Your important files (photos, videos, documents, archives, databases, backups, etc.) which were crypted with the strongest military cipher RSA1024 and AES.No one can`t help you to restore files without our decoder. Photorec, RannohDecryptor etc repair tools are useless and can destroy your files irreversibly.
If you want to restore files - send e-mail to getback@mailservice2.com with the file "how to get data.txt" and 1-2 encrypted files less than 2 MB. Please use public mail like yahoo or gmail.
You will receive decrypted samples and our conditions how you`ll get the decoder. Follow the instructions to send payment.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you can get a decryptor for free after a month. Just send a request immediately after infection. All data will be restored absolutelly. Your warranty - decrypted samples and positive feedbacks from previous users.


====================
831xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx44
B3Bxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx63D
11Dxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx229
343xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx06
155xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx20

Nombre de serveur : 7
Nombres d'infecté à 9H : 3

Débute de l'infection : 6h41

J'ai donc commencé a regarde ce qui se dis un peu de partout et j'ai attendu pendant une heure sur tout les serveurs à distance quand tout à coup sur mon serveur de fichiers les documents commencé a se renommé 1 à 1.

J'ai donc appelé mon client en exprès pour faire une EXTINCTION URGENTE des serveur restant.
A mon avis le programme d'infection doit être en pleine exécution sur certains serveur, il n'a pas pu finir de s’exécuter: coupé le sifflet à ce batard (fier de moi xD). en ce moment j'ai un collègue qui pars en urgence chez le client. Nous allons passé des outils hors démarrage système Windows pour trouvé une putain de trace du programme qui se lance et infecte les fichiers.

Si on trouve quoi que ce soit on sauvegardera la variante invective et la répliqueront sur plusieurs support vu qu'il se supprime à l’exécution et collerons le compte rendu du fichier ransomware (si trace détecté).

En attends restons ZEN, la situation est sous contrôle (ou presque --')

Wait and See

Let s go to play

[Malekal_morte]

Salut,

interressant, tu pourras l'envoyer sur http://upload.malekal.com

[Jonthegiant]

Bonjour, nous avons été victimes ce matin de ce ransomware.

Nous essayons de decrypter nos fichiers, sans succès.

Par contre nous pensons avoir mis la main sur le fichier qui crypte les fichier.

Mon collègue en arrivant sur son pc, a vu que son PC travaillait, il a été voir dans le gestionnaire des taches et a vu un utilisateur TSE connecté et ce fichier etait en cours d'exécution.
Il a réussi a stopper l'exécution du fichier

Son nom est "+acpr1.exe",je vais l'uploader sur http://upload.malekal.com/,si quelqu'un peut faire quelque chose avec ça ce serait sympa!

Je vous envoie aussi un fichier avant cryptage et sa version après .


JOKE
Hello boys and girls! Welcome to our high school "GPCODE"!
If you are reading this text (read this very carefully, if you can read), this means that you have missed a lesson about safety and YOUR PC HACKED !!! Dont worry guys - our school specially for you! The best teachers have the best recommendations in the world! Feedback from our students, you can read here:
1)extention-omg-ajoute-aux-fichiers-t44686.html
2)http://www.forospyware.com/t464048.html
As you see- we trust their training, only we have special equipment(cryptor.exe and decryptor.exe) and only here you will get an unforgettable knowledge!
The lesson costs not expensive. Calculate the time and money you spend on recovery. Time is very expensive, almost priceless.We think that it is cheaper to pay for the lesson and never repeat the mistakes.We guarantee delivery of educational benefits(decryptor.exe). First part(cryptor.exe) you have received :-)
SERIOUSLY
Your important files (photos, videos, documents, archives, databases, backups, etc.) which were crypted with the strongest military cipher RSA1024 and AES.No one can`t help you to restore files without our decoder. Photorec, RannohDecryptor etc repair tools are useless and can destroy your files irreversibly.
If you want to restore files - send e-mail to getback@mailservice2.com with the file "how to get data.txt" and 1-2 encrypted files less than 2 MB. Please use public mail like yahoo or gmail.
You will receive decrypted samples and our conditions how you`ll get the decoder. Follow the instructions to send payment.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you can get a decryptor for free after a month. Just send a request immediately after infection. All data will be restored absolutelly. Your warranty - decrypted samples and positive feedbacks from previous users.


====================
93D404F7F373C12C4F36F1C6F223E58FA4EFCD1AEAC49CBCD6CD510F17FE55A0
D437E04421925CD318A26C2967319FA717C575798349B92C0C9300CD73CA0895
FEE72FA2982608EBF52D57F359D7D3198CEAD4666699CF62AB76DA29979B5DA4
A5C42374D4CF1213075BB9D7C32C2325D0820D2AF38659C1DF2104DFA33AA597
155E5C5630523226CF38C4628AB830BC523680DAB8D0906E72AD52E41E0A027A
====================

[Malekal_morte]

GG
je file ça aux infos et je vous dis pour le retour.

http://malwaredb.malekal.com/index.php? ... 1e6bf0b6be

https://www.virustotal.com/fr/file/9514 ... 393865024/

SHA256: 95148123a0fe58ae173fc479874d59ec3f61c5a98e425e80dedda9e9f650bac9
Nom du fichier : +acpr1.exe
Ratio de détection : 23 / 50
Date d'analyse : 2014-03-03 16:43:44 UTC (il y a 0 minute)

AVG Ransomer.CIA 20140302
Ad-Aware Gen:Variant.Kazy.169574 20140303
AntiVir TR/Crypt.UPKM.Gen 20140303
Antiy-AVL Trojan/Win32.Tgenic 20140303
Avast Win32:Malware-gen 20140303
BitDefender Gen:Variant.Kazy.169574 20140303
Bkav HW32.CDB.9e60 20140303
ByteHero Virus.Win32.Heur.c 20140303
DrWeb Trojan.Encoder.332 20140303
ESET-NOD32 a variant of Win32/Gpcode.NAI 20140303
Emsisoft Gen:Variant.Kazy.169574 (B) 20140303
F-Secure Gen:Variant.Kazy.169574 20140303
GData Gen:Variant.Kazy.169574 20140303
Ikarus Packed.Win32.Krap 20140303
Kingsoft Win32.Troj.Generic.a.(kcloud) 20140303
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.C 20140303
MicroWorld-eScan Gen:Variant.Kazy.169574 20140303
Panda Trj/CI.A 20140303
Qihoo-360 Malware.QVM18.Gen 20140303
Symantec Downloader 20140303
TrendMicro PAK_Generic.001 20140303
TrendMicro-HouseCall PAK_Generic.001 20140303
VBA32 Hoax.Crypren 20140303

[hackinginterdit]

[ѠOOT]

Bonjour,

Je vous confirme la nature de l'échantillon. ( Mutant: "Oohkotokia!" )

Pour décoder la ressource "cfg"


Ce qui permet d'obtenir,

Code : Tout sélectionner

0000h: 00 01 02 01 12 00 00 00 12 00 00 00 5A 00 00 00  ............Z... 
0010h: 12 00 00 00 12 00 00 00 52 00 00 00 00 00 00 00  ........R....... 
0020h: 00 00 50 00 05 00 00 00 4F 4D 47 21 00 01 00 00  ..P.....OMG!.... 
0030h: 00 01 00 00 00 0C 00 00 00 74 61 73 6B 6D 67 72  .........taskmgr 
0040h: 2E 65 78 65 00 03 00 00 00 14 00 00 00 68 6F 77  .exe.........how 
0050h: 20 74 6F 20 67 65 74 20 64 61 74 61 2E 74 78 74   to get data.txt
etc...  

Et à la fin de la config...

[ekodante]

Bravo, de mon coté après des heures de kav10 d’essai et de scan je n'ai pas trouvé ce fichier (un peu normal vu qu'il n'est pas référencé...)
Par contre 1 seul serveur est resté allumé depuis hier ... Aucune infection en vue Oo (miracle de la vie)

Et en face de ça, j'ai certains postes clients qui commencent à être infecté... donc le réseau du client est pour le moment down... tout les ports RDP sont coupés...

On dirait bien que le type à trouvé une joli faille et y a foutu ses pieds direct...

Bon dans l'attente de trouver une solution pour le décryptage je vais m'occuper.