virus P_O_L sur le réseau

[arnaud3240]

Bonjour
J'ai déjà eu recours à vos services pour mon ordinateur personnel. Ce fut parfait
Aujourd'hui dans mon entreprise le réseau et les postes ont été infectés par un virus qui a crypté l'ensemble des fichiers word, excel, ..
Il s'agirait du virus P_O_L.
Le virus a été bloqué sur le serveur par la société qui gère notre serveur à distance(installation de Mariton, ...)
Puis les postes ont été nettoyés par une entreprise locale: lancement d'un ComboFix en démarrage, ...
L'informaticien pense qu'il faut formater tout de même l'ensemble des PC! cela représente une vingtaine de poste!
Auriez-vous un avis sur le sujet
Bien à vous
Arnaud

[angelique]

L'informaticien pense qu'il faut formater tout de même l'ensemble des PC! cela représente une vingtaine de poste!

Bon après, je ne sais pas ce que va te répondre Malekal, mais moi je te dis qu'il a raison, sur un système compromis par une merdouille, nettoyer c'est bien enfin ça aide mais ça ne garantit pas que le système est sain !!, formater/réinstaller est une garantie de réussite qu'il n'y a plus de portes dérobées....surtout dans une entreprise.

[Malekal_morte]

Salut,

Si tu as un des fichiers malicieux, envoie le sur http://upload.malekal.com

Sur un des PC infectés :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[arnaud3240]

Bonjour
Nous avons fait la manipulation sur un ordinateur voici les 3 fichiers rapport
http://pjjoint.malekal.com/files.php?id ... x8g76s13b8
http://pjjoint.malekal.com/files.php?id ... c13e13w7c8
http://pjjoint.malekal.com/files.php?id ... 4v12i13u13
Merci d'avance de ta réponse
Cordialement

[Malekal_morte]

Tu n'as pas donné le mot de passe.

[arnaud3240]

oups !!
viktor3240

[arnaud3240]

décidément
viktor132

[Malekal_morte]

Rien d'anormal sur le rapport.
Tu as le fichier instruction ?
Un exemple de fichier chiffré ?

En général, il suffit d'un poste infecté, il va chiffrer ensuite les lecteurs locaux et réseaux et donc les fichiers d'un serveur de fichiers peuvent être chiffrés.
Là sur ce poste, il est protégé par MSE.... c'est léger.

Tu n'as aucune idée du poste source ?
Aucun utilisateur ne s'est plains que ses fichiers sur le bureau ont été chiffrés ou qu'un fichier avec des instructions de paiement s'est ouvert ?

[arnaud3240]

Bonjour
Effectivement nous avons eu des fichiers cryptés $ extension .jse le 12/2/2017 à 23h16 (fichiers excel, word, pdf uniquement)
Le 1er PC infesté est celui pour lequel nous t'avons envoyé les Rapports
Bonne journée

[Malekal_morte]

ok à lire : Ransomware .JSE.
C'est venu par mail.

Pas de solution pour récupérer les documents actuellement.

Il faut chercher un fichier dans le dossier startup, du type :

Code : Tout sélectionner

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\offc_updr.jse

Il est lancé sur la session infectée...
vcollet est ok.