Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Ransomware .jse (Nemucod)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Ransomware .jse (Nemucod)

Message par yoz »

Salut,

J'ai une machine de mon réseau qui s'est mis à remplacer tous les documents Doc, Xls et Pdf par un fichier Jse. Quand j'ai remarqué le problème le script avait déjà remplacé 16000 fichiers mais que sur un lecteur réseau et sur un dossier bien précis. En local à priori pas de dégâts. J'ai coupé le réseau et éteint la machine le temps de faire un diagnostic.

J'ai redémarré le PC offline, au démarrage un WSH tourne.

Malwarebytes Anti-Malware (MBAM ) et RogueKiller ne trouve rien en MSE. Eset a trouvé un virus mais 2 heures après l'infection (Win32/GenKryptik.UAY).

J'ai lancé FRST, au démarrage une tache lance toujours le script offc_updr.jse

Par contre comment vous envoyer les logs sans risquer de véroler les autres machines ?

Merci pour votre aide.

A+

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection script office

Message par Malekal_morte »

Salut,

Il s'agit du Ransomware JSE Nemucod.
Il se lance par une clé Startup lié au profil, donc faut identifier le profil touché.

Donne le rapport ESET puis :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Infection script office

Message par yoz »

Salut,

Voici les logs FRST :

FRST : http://pjjoint.malekal.com/files.php?re ... 5v6f15b7x5

FRST (MSE) : http://pjjoint.malekal.com/files.php?id ... 3s14c12w14

Addition : http://pjjoint.malekal.com/files.php?id ... 11q8k11e14

Shortcuts : http://pjjoint.malekal.com/files.php?id ... 12y14c13s8

et le log Eset : http://pjjoint.malekal.com/files.php?id ... 1k8e913q15

Pour info j'ai rapidement isolé ce fichier : Startup: C:\Users\Remy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\offc_updr.jse [2017-02-12] ()

Merci de ton aide.

A+

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection script office

Message par Malekal_morte »

Pas bon :
13/02/2017 11:58:55;Protection en temps r‚el du systŠme de fichiers;fichier;C:\Users\Remy\AppData\Local\Temp\62.exe;une variante de Win32/GenKryptik.UAY cheval de troie;nettoy‚ par suppression;CEMAP\Remy;Un ‚v‚nement s'est produit sur un nouveau fichier cr‚‚ par l'application : C:\Windows\SysWOW64\certutil.exe (658250DD97E3A1E3966EA02ED402A3105830ABAE).;A286BA60E100F5128AECEA4D817D90C53D40B323;13/02/2017 11:58:54
Envoie C:\Windows\system32\gpupdate.exe sur http://upload.malekal.com
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

c'est bon j'ai envoyé le fichier demandé !

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

Qu'entends tu par "pas bon" ?

J'ai la main sur le serveur qui héberge les données si besoin. Eset su rle serveur vient de détecter ca :

Date et heure;Analyseur;Type d'objet;Objet;Menace;Action;Utilisateur;Informations;Hachage;Dernière détection
13/02/2017 15:35:47;Protection en temps réel du système de fichiers;fichier;E:\TRAVAUX\3253\3253_1.jse;JS/TrojanDownloader.Nemucod.CFW cheval de troie;nettoyé par suppression;xxxxx\Administrateur;Un événement s'est produit pendant une tentative d'accès au fichier par l'application : C:\Windows\explorer.exe (A9470C0B475995525E65AD8EC046C646D5FA25CB).;BEA118A4E5325697EE714601BF90CEA0959E5E0E;13/02/2017 10:27:01

A+

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .jse (Nemucod)

Message par Malekal_morte »

ok le fichier que tu as envoyé est bon.

C'est ce ransomware : Ransomware Nemucod.

Je pense qu'il doit être possible de décrypter les fichiers, du moins, c'était le cas dans les premières versions.

Prends le décryptor Nemucod, tout à la fin de cette page : https://www.nomoreransom.org/decryption-tools.html

Si tu as des backups, c'est tant mieux.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

La machine est-elle encore infectée d'après FRST ? Un risque pour les autres PC du réseau et mon serveur ?

J'ai des backups, mais comment être sur l'infection est terminée ?

Comment tracer l'origine de l'infection ?

PS : j'ai trouvé le coupable, un collègue qui a ouvert un joli mail en Français avec une facture en RAR.... et qui a tout refermé :(

Quelques questions complémentaires :

- Quels autres dégâts fait Nemucod ? Faut-il reformater le PC ?
- Un intérêt à passer FRST sur mon serveur et les autres machines ?
- Je peux décrypter ou si il est préférable de récupérer les sauvegardes sur Crashplan ?

Merci de ton aide !
Dernière modification par yoz le 13 févr. 2017 16:27, modifié 1 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .jse (Nemucod)

Message par Malekal_morte »

Non pas infecté, je pense.
C'est facile, tu laisses un .doc et tu verras s'il est modifié.

Tu devrais utiliser Marmiton :

Comment se protéger des scripts malicieux sur Windows
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

J'avais installé Marmiton..... mais pas sur cette machine récente W10 :(

Aucun document de la machine (en local) n'a été crypté, uniquement les fichiers office et pdf sur un seul lecteur réseau et gros dossier bien précis... ?

C'est quand même étrange que lors du scan MBAM ne n'ait rien vu non ?

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .jse (Nemucod)

Message par Malekal_morte »

Malwarebytes Anti-Malware (MBAM ) ne doit pas détecter les scripts VBS.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

J'ai fait un full scan Eset, RAS.

Comment être certain qu'il ne reste pas une backdoor ou des fragments de Nemucod sur la machine ou dans le registre ?

Faut-il changer les mots de passe ? et si oui lesquels ?

Merci

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .jse (Nemucod)

Message par Malekal_morte »

Rien sur FRST.
Rien sur ESET.
Donc c'est bon.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

yoz
Intermédiaire Expert
Intermédiaire Expert
Messages : 253
Inscription : 20 juil. 2010 16:47

Re: Ransomware .jse (Nemucod)

Message par yoz »

Salut,

Encore merci pour ton aide. Je lance encore un scan de DrWeb et ensuite que je considère la machine comme saine. Je n'ai pas de points de restauration (il est souvent conseillé de les désactiver sur les SSD).

Sinon pour que je comprenne bien : comment la machine a pu être infectée alors que Eset a réagit tout de suite à l'ouverture de la PJ ? J'ai l'impression que le trojan a été détecté/supprimé mais que le script jse a réussi à se lancer.

Idem sur mon serveur, le script a remplacé/renommé tous mes fichiers office par un fichier jse de 84ko sans que l'AV Eset File Security ne bronche. Ce n'est qu'après quand j'ai essayé de consulter les propriétés d'un fichier jse que Eset a réagi avec la signature Nemucod.

Merci de tes éclaircissements. Il faut que j'améliore l'étanchéité...., avec Marmiton et quoi d'autre ?

ps : pour info j'ai récupéré mes 16000 fichiers depuis Crashplan :)

Bonne journée !

Yoz

Malekal_morte
Site Admin
Site Admin
Messages : 101971
Inscription : 10 sept. 2005 13:57
Contact :

Re: Ransomware .jse (Nemucod)

Message par Malekal_morte »

Parce que les antivirus ne protègent pas à 100%.
Si tu parles de la détection donnée plus haut, c'est pas le script en lui même.. mais plutôt la conséquence.
Sinon tu mets un Anti-Ransomware sur le serveur en espérant qu'il ne fasse pas trop de Faux positif ou problèmes collatéraux.

Tu as un collègue mais lui n'a pas l'air d'avoir de sauvegarde malheureusement :/ Documents Office .JSE
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »