Extension OMG! ajouté aux fichiers

[Malekal_morte]

Personne pour passer un logiciel de récupération de fichiers pour tenter de récupérer un dropper ?

[Altoids]

Bonjour,

Nous avons été infecté lundi 16 dès l'allumage de l'un des postes.
Le serveur sous 2008 est le seul à être touché, pas de propagation pour le moment.
Le virus n'est plus présent après le "codage", qui ne peut pas être du 1024 car le serveur a été paralysé en 1heure, pour 300Go de données !!! Donc impossible en si peu de temps.

Certains fichiers ou dossiers ne sont pas touchés par le cryptage: tous les fichiers ou dossiers contenant des caractères chinois ou d'Europe de l'est...

Seuls les fichiers de données (.txt .doc .dat etc.......) semblent être touchés, pas les fichiers d'application.

Nous avons contacté l'enf.... je veux dire le hacker ce matin mais pas de réponse...

Concernant les fichiers, a priori peu d'espoir pour le moment, mais ce n'est pas du 1024.

Bon courage à tous.

[Malekal_morte]

Condoléance, 300Go wow \o

Une possibilité d'avoir un dropper ?
pour analyse.

[Altoids]

Difficile, tout à été nettoyé du sol au plafond.
Le dropper peut être une PJ ou un clic sur une page web, donc nous continuons a chercher.
Tout le monde ne réfléchit pas avant de cliquer...
je tiens à ta disposition les logs de Malwarebytes et RogueKyller, Fichiers avant et après le cryptage.

Le moteur semble dater de 2010, le principe n'est pas nouveau mais fonctionne toujours aussi bien.
Plus rapide que les mises à jours de nos antivirus, le dropper semble infecter le serveur via un poste. La bête s'installe sur le serveur et contamine les fichiers données, puis s'auto détruit.

Merci pour tes condoléances, nous préparons l'enterrement des archives... dans la douleur.

Toujours pas de réponse du hacker.

[niterb]

Bonjour

une histoire similaire : http://www.forospyware.com/t462886.html

L'un des gars met à disposition l’exécutable (decryptor.exe) que lui avait envoyer le hackeur, ainsi que le how to get data.txt.

J'ai essayer, mais sans succès !

je pense que le decryptor est compilé en fonction du how to get data.

merci

[Dan74]

Bonjour tout le monde

C'est le gros merdier pour parler poliment.
A votre avis comment cela peut-il se produire ?
Infection par un poste du réseau par les partages ?
Serveur pas à jour ou hacké ?

En général l'utilisateur en entreprise ne touche pas à son serveur enfermé dans un placard alors je me questionne.

Bon courage à ceux touchés par ce fléau.

Dan

[Buko]

Bonjour, les serveurs arrêtés depuis lundi, les sociétés arrêtées aussi depuis lundi, je me suis donc résigné à payer ... Peut être que ce n'est pas et très certainement pour la bonne cause mais d’après les sites US personne n'a trouvé la solution là bas (arrivé là bas depuis le 6 Septembre) ... J'ai envoyé le règlement et toutes les infos demandées. Je n'ai plus qu'à attendre maintenant, en espérant que le hacker soit honnête ....


Merci

Buko

[Buko]

Bonjour, j'ai envoyé les fichiers à une société specialisée dans la recupération de données (meme cryptées) et verdict :

- cryptage fort (de type AES128 a priori) avec une clé de chiffrement non conventionnelle.
- Nous ne pourrons donc rien faire sur ce dossier malheureusement.


Amen ....


Merci

Buko

[niterb]

ok

mais si l'on dispose de son programme pour decrypter (qu'il promet d'envoyer si on paie), on peut surement le désassemblé, puis voir quel type de clef il utilise, ainsi que la méthode de décryptage utilisé !

non ?

Pour info, a priori il entrerai sur les serveur par le port 3389 (TSE) !

[Malekal_morte]

on peut surement le désassemblé, puis voir quel type de clef

Dans les précédents, notamment DirDecrypt et surtout Matsnu.

La clef était spécifique à chaque infection/PC, elle était envoyée au C&C lors de l'installation de l'infection.
Donc si elle n'a pas été récupéré lors de l'envoi, c'était mort (en gros si vous logguez pas les connexions HTTP avec un proxy par exemple)
Pour DirDecrypt, la clef est peut-être différente pour chaque fichier.
En plus je crois dans le cas de DirDecrypt, la clef est chiffrée en plus...

Bref, il est possible que le décrypteur soit compilé en fonction de la clef que vous fournissez.
Donc elle n'est utilisable pas pour tout le monde.

Pour info, a priori il entrerai sur les serveur par le port 3389 (TSE) !

Ben les hacks RDP, y a eu des précédents, c'est pour ça que je demandais si le port était accessible depuis l'extérieur.
Donc comme dit précédemment, si vous avez des mots de passe facile, faut les changer.
Vérifiez aussi que toutes les mises à jour RDP soient corrigées.

[Altoids]

Bonjour,

Nous suivons la situation de près:
- Pas de propagation sur le réseau, mais on continu à être dans l'angoisse...
- Analyse des fichiers n'a rien donnée d'exploitable
- PAS DE REPONSE DU HACKER.... Les mails nous reviennent....

J'espère avoir plus d'info cet après midi.

Buko, comment as-tu contacté cet enfoiré ? La direction semble resignée à payer, mais je n'ai pas de retour...

Altoids.

[Malekal_morte]

@Altoids: vous avez des Terminal serveur accessibles depuis l'extérieur sans filtrage ?

[Buko]

BONJOUR J AI LE DECRYPTOR
TOUT SE RESTAURE
OUF !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Merci

Buko

[Altoids]

@Malekal_morte
Non, serveur 2008, poste en Seven pro

Le hacker ne semble pas vouloir répondre, je suis sur le point de faire la réinstalle... RIP

[scova]

Petite information:

en regardant de plus prés:

3389 ouvert sur le serveur.
J'ai changé le port du TSE et je l'ai reconfiguré dans le FW.
Et la dans la section Nat une ligne y était qui n'y était pas avant avec une redirection du port 59 et 60 en TCP vers le serveur.
Je l'ai supprimé.