Attaque d'un Crypto-Ransomware

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Rheocs

Attaque d'un Crypto-Ransomware

par Rheocs »

Bonjour,
Un de mes serveurs a été victime d'une attaque de type Crypto-Ransomware ayant pour conséquence de chiffrer tout les fiers doc, pub et pdf contenu sur le serveur. (extension en .xblf)
La desinfection a été effectué a l'aide de RogueKiller et Malwares Bytes.
Voici le message contenu dans un README trouvé sur le bureau :

"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
0CD53AF56D6C40D13D97|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
0CD53AF56D6C40D13D97|0
to e-mail address [email protected] or [email protected] .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data."

J'ai fait un scan avec FRST voici les fichiers de log générés :

FRST
Additions
Shortcut

Quelqu'un peut-il m'aider a récupérer les fichiers ?

Merci d'avance et bonne journée
Malekal_morte
Messages : 112137
Inscription : 10 sept. 2005 13:57

Re: Attaque d'un Crypto-Ransomware

par Malekal_morte »

Salut,

Je crois que pour cette version, les versions précédentes fonctionnent : http://forum.malekal.com/windows-versio ... 46739.html

Sinon il n'y a pas d'antivirus installé ?


~~


Je veux bien récupérer ce fichier C:\Program Files\winmaes\cbsrv.Exe via http://upload.malekal.com


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Gestionnaire d'applications Sage.lnk [2008-04-22]
ShortcutTarget: Gestionnaire d'applications Sage.lnk -> C:\Program Files\winmaes\cbsrv.Exe (Sage)
C:\Program Files\winmaes

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



~~


A voir si c'est normal ces fichiers :
2015-06-11 06:55 - 2015-06-11 10:31 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Startup: C:\Documents and Settings\Administrateur.SERVEUR-IBA\Menu Démarrer\Programmes\Démarrage\config.ini [2015-06-11] ()
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Rheocs

Re: Attaque d'un Crypto-Ransomware

par Rheocs »

Bonjour,

Oui il y avait bien un antivirus, Kaspersky Endpoint Security. Mais le serveur presentais déjà des problèmes de stabilités, l'antivirus n'apparaissait pas dans la barre des notifications, l'interface ne se lançais plus. Et ce malgres réinstallation et désinfection au préalable. Nous avions prévu une réinstallation pour cet été, il semble qu'elle va démarrer très prochainement ..
Pas de chance, c'est un Windows serveur 2003 et la récupération via les versions précédentes n'est pas possible

Pour le fichier cbsrv.exe je l'ai upload à l'endroit indiquer, c'est en principe l'.exe du gestionnaire d'applications SAGE (logiciel de compta)

Voici le contenu du fixlog.txt :

Code : Tout sélectionner

Fix result of Farbar Recovery Scan Tool (x86) Version: 08-06-2015
Ran by Administrateur at 2015-06-12 14:49:42 Run:1
Running from C:\Documents and Settings\Administrateur.SERVEUR-IBA\Bureau
Loaded Profiles: xp & Administrateur (Available Profiles: bruno & sandrine & marie & xp & accueil & sauvegarde & STsÈm & Oracles & Guest4 & Administrateur)
Boot Mode: Normal

==============================================

fixlist content:
*****************
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Gestionnaire d'applications Sage.lnk [2008-04-22] 
ShortcutTarget: Gestionnaire d'applications Sage.lnk -> C:\Program Files\winmaes\cbsrv.Exe (Sage) 
C:\Program Files\winmaes
*****************

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Gestionnaire d'applications Sage.lnk => moved successfully.
C:\Program Files\winmaes\cbsrv.Exe => moved successfully.
C:\Program Files\winmaes => moved successfully.

==== End of Fixlog 14:49:42 ====
Pour le config.ini qui se lance au démarrage pas de problème, c'est le fichier de configuration du programme ftp. (ca permet de modifier la conf du ftp avant de redemarrer, le ftp en lui meme ayant une interface un peu capricieuse...)

Je suppose qu'il n'y a donc pas de possibilité de déchiffrer les fichiers contenu sur le serveur ? Le ramsomware à contaminé les disques branchés en USB ainsi que la sauvegarde sur NAS (lecteur réseau connecté au moment de l'attaque).

Même si le process est long et/ou compliquer pour déchiffrer un fichier, cela m’intéresserais de savoir le faire et cela épargnerais pas mal d'heure de travail a mon client ^^. Je sais qu'il y a pas mal de fichiers touchés, mais si on me montre la méthode pour un je m'attaquerai ensuite aux autres.

Merci d'avance et bonne journée
Malekal_morte
Messages : 112137
Inscription : 10 sept. 2005 13:57

Re: Attaque d'un Crypto-Ransomware

par Malekal_morte »

ha merde ok, c'est un logiciel légitime (me suis déjà fait avoir je crois, le nom du dossier fait un peu malware).
Faudrait le remettre.
La quarantaine se trouve là C:\FRST\quarantine.

Sinon rien d'extraordinaire côté malware.
Pour le déchiffrage des documents, non ce n'est pas possible, je pense.
Sauf si erreur de devéloppement sur la partie cryptage et que les antivirus pondent un programme pour déchiffrer.


Histoire de :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »