Extension OMG! ajouté aux fichiers

[Altoids]

BONJOUR J AI LE DECRYPTOR
TOUT SE RESTAURE
OUF !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Merci

Buko

Heureux d'apprendre que pour quelques uns ça peut s'arranger...

[Dan74]

Bonjour

Sans vouloir abuser, serait-il possible de le mettre à disposition ?

Merci d'avance.

[shuyinz]

Bonjour,

Meme question, serait-il possible de nous fournir le decryptor ?

[Altoids]

Bonsoir,

Nous avons déjà tenté d'utiliser le decryptor, sans succes...
Le clé du fichier how to get data est cryptée, et les fichiers sont cryptés au début et à la fin, avec des infos aléatoires, donc probablement clée unique par fichier, elle même cryptée...

Dur dur.

Nous avons enfin eu une réponse du hacker et payé via Ukash.

Dans l'attente de NOTRE decripteur....

[shuyinz]

Ah cela complique la tâche..



ça me ferais ch*er de payer franchement, même si j'ai perdu beaucoup de fichiers trés importants.. cela ne fera que pousser l'utilisation de ce type de virus .. (même si je comprends que certains fichiers ont une importance capitale).. c'est le cas la ou je bosse, mais je préfère tout reprendre a zéro et faire des backup sur un serveur Linux que de payer.

[Altoids]

Je te rassure, ça m'a fait chier de payer...
Mais le hacker fait ce qu'il dit....
Dans son mail, il dit que enverra le decryptor, car sinon, personne ne payerai.... Ha humour quand tu nous tient !
Apparement, il concocte un .exe pour chacun d'entre nous, et le lien pour le téléchargement est toujours sendspace.
Mon lien est différent de celui d'autres.

L'analyse de plusieurs descryptor.exe serait le plus interessant.

Je viens de lancer et ça à l'air de fonctionner comme pour Buko.

[Malekal_morte]

ouais un decryptor par infection, c'est ce que j'ai dit là : http://forum.malekal.com/extention-omg- ... ml#p352293 - classique.
Comme ça vous pouvez pas vous refiler les decryptors.

Et il a pas tort quand il dit que s'ils n'envoient pas, personne ne payera, enfin moins.
Si Buko vous avez dit qu'il avait payé et qu'il avait rien eu, vous n'auriez pas payé...
Là vous allez payer, plus ceux qui lisent sans poster...

C'est triste mais c'est comme ça.

[Altoids]

Entièrement d'accord....
Le choix de payer ou non est un choix difficile.
Nous venons quand même de récupérer 300Go d'info de travail en cours...............
Les 200€ sont valorisés car pour nous, la perte de ces données était une catastrophe.

En même temps, si avec suffisement de .exe on peut craquer tout ça, cela aura été doublement utile.
Je tiens le .exe à dispo de ceux qui le souhaite, en espérant que plus personne n'aura à se faire raqueter!

Si vous avez des sauvegardes non corrompues, ne payez pas !
Si vous n'avez pas besoin des archives touchées, ne payez pas !

Pour tous les autres casn vous êtes seul juge.

Je crains pour ma part que cela ne finance pas les études d'un étudiant brillant... Mais surement quelque chose de plus malsaint, et surtout que d'un 1 moi, 1 an, le hacker puisse me rebraquer... Mais nous n'avions pas d'autre alternative.

[Malekal_morte]

ouaip.
Par contre, ce serait bien de répondre aux questions que j'ai posées, notamment sur le TSE (et la récupération d'un sample avec des logiciels de récupérations de fichiers).
Au moins pour savoir, si c'est venu par là.

Parce que si la semaine prochaine, vous vous faites encore powed, vous êtes reparti pour 200 euros.
A moins que vous mettiez des sauvegardes en place d'ici là.

[Altoids]

D'après nos infos:
- L'attaque se fait sur les serveurs sous windows principalement
- Par le port 3389
- Avec un mot de passe faible, genre Monnom*123 pour la session admin
- Crypte tous les fichiers data et laisse un fichier texte dans chaque repertoire
- la clé est en 128 bits et elle n'est pas conventionnelle (d'ou la difficulté)
- Elle est cryptée et unique pour chaque fichier
- Les fichiers sont modifié au début et à la fin
- Les fichiers contenant des caractères types chinois ou europe de l'est ne sont pas affectés

[Malekal_morte]

ok donc ce serait par du bruteforce RDP.
Si les autres confirment, faudrait mettre imposer la complexité des mots de passe pour ne pas que ça recommencent et changer, au minimum, les mots de passe administrateurs (parce que bon ça se trouve le malware est aussi un stealer...).

[Altoids]

ET FERMER LE PORT 3389 !

[sebd]

bonjour,

pouvez vous me dire a quel adresse vous avez écris ?? moi j'ai un message de retour comme quoi elle n'existe pas ?

c'est [email protected] ??

merci d'avance.

[Buko]

bonjour,

pouvez vous me dire a quel adresse vous avez écris ?? moi j'ai un message de retour comme quoi elle n'existe pas ?

c'est [email protected] ??

merci d'avance.

Bonjour, non c'est bien celle là en espérant qu'ils ne l'ont pas fermé car il est précisé dans le mail qu’après un certain délais ce sera trop tard.


Merci

[Dan74]

Bonjour tout le monde

Le choses avancent, dans la douleur certes, mais avancent.

Donc notre bonhomme demande de lui envoyer le fichier « how to get data.txt » avec 2 fichiers de moins de 1 Mo pour prouver qu'il peut rétablir la situation.

En bas du fichier "how to", il y a un code en hexadécimal, à mon humble avis, ce code doit être différent pour chaque cas et doit lui permettre de retrouver la clé de cryptage. Cela lui évite de tenir une liste des victimes à jour.

Exemple:
====================
48C4C4F4CAAB108DB0B07C924B1CE149720DF7DC05821987D896F0D45579934E
F2EDFFB72B57E6C6E97F1C146693951CB20DDF5BDE5D322F19CD00F4423F2EC8
C142E60A690E95701A19994F1D1DB64DE8E3773179D165017DDCB4D41EB2468D
03883FD4A3D5D7BBEFDDEC86A32B7EEF6D31B4FB42AF93EEF5E01FF21330B1A3
155E5C56305B1E86CC221252421222F28252123292D2B2127272E21212E22242
====================

Si vous vérifiez ce code et que deux cas ont le même (on peut rêver), le décryptor doit pouvoir fonctionner dans les deux cas.

En tous cas, s'il y a moyen de désassembler le décryptor relatif à une clé précise, on peut peut-être arriver à faire quelque chose.

Bon, moi je dis ça, mais j'ai rien dis :-)

Daniel