[email protected] - nouveau ransomware?

[mbh]

Hello,

je viens de constater que des fichiers ont été renommés sur un poste.

exemple :
ac_accoun.adm.BAK!-=-=-To obtain [email protected]-=-=-.Blo_file19

Je ne suis pas encore sur place, mais quelqu'un a-t-il déjà vu ce type de renommage?

Merci

MBH

[Malekal_morte]

Salut,

Ca semble être le cas, pour voir :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[mbh]

J'ai coupé la machine et je n'ose pas la redémarrer sous windows, de peur que l'encryption continue.

Je scanne actuellement avec bitdefender rescue cd

puis-je exécuter frst en mode sans échec et qu'il soit aussi efficace?

[Malekal_morte]

oui ça devrait aider.
De préférence avec l'utilisateur Windows à l'origine de l'exécution du ransomware / rançongiciel chiffreur de fichiers.

[mbh]

re!

voici les fichiers rapports frst (frst, shortcut, addition)
http://pjjoint.malekal.com/files.php?id ... h9z15h9x11
http://pjjoint.malekal.com/files.php?id ... 10s15o10x6
http://pjjoint.malekal.com/files.php?id ... 13v11e5k15

je ne parviens pas à trouver par où est entrée l'infection, j'ai un fichier exe dans le startup folder (renseigné dans msconfig), dans un dossier c:\users\[username]\appdata\GWX, il est forcément suspect, mais il n'est pas dans le dossier mentionné (GWX)

En tout cas déjà un super merci pour le suivi

MBH

[mbh]

puis-je ouvrir un topic sur bleeping computer pour identifier l'infection ou c'est mieux de n'en avoir qu'un seul ici?

[mbh]

alors,
j'ai exécuté frst sur les 3 autres postes : (dans l'ordre : addition, frst, shortcut)
1
http://pjjoint.malekal.com/files.php?id ... 4k10f15n12
http://pjjoint.malekal.com/files.php?id ... 2l7z5c6e14
http://pjjoint.malekal.com/files.php?id ... 0h7h7b13w5

2
http://pjjoint.malekal.com/files.php?id ... m7l13y5e14
http://pjjoint.malekal.com/files.php?id ... b7x7z5c6h7
http://pjjoint.malekal.com/files.php?id ... h11o8c15k8

3
http://pjjoint.malekal.com/files.php?id ... 6r14n7r5h6
http://pjjoint.malekal.com/files.php?id ... 8s9d9z9o14
http://pjjoint.malekal.com/files.php?id ... 7s9u10h5h5

L'infection a dû se produire entre le 27 à 06h00 et le 30 à 10h00

à ma connaissance, il n'y a que 2 postes infectés (celui dont les fichiers frst sont dans le message précédent et le 3 de celui-ci)

tous les fichiers encryptés ont été renommés en ajoutant : !-=-=-To obtain [email protected]-=-=-.Blo_file19

c'est quel encrypteur, ce bidule?

MBH

[Malekal_morte]

PC-DE-BUREAU3 semble avoir été infecté oui.
EUGENE3 est OK.

Startup: C:\Users\melanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TgdijcdW.lnk [2017-05-27]
ShortcutTarget: TgdijcdW.lnk -> C:\Users\melanie\AppData\Local\GWX\WzgNCjsN.exe (Pas de fichier)

Le dossier est du 28 et le raccourci du 27 :

2017-05-28 09:51 - 2015-06-30 01:14 - 00000000 ____D C:\Users\melanie\AppData\Local\GWX

L'exe a été viré, tu n'as pas d'alerte NOD32 ?

Après ces dossiers sont bizarres, dont le scan qui est en caché :

2017-05-30 10:33 - 2013-12-04 16:34 - 00000000 ___RD C:\scan
2017-05-27 21:39 - 2013-12-04 19:24 - 00000000 ____D C:\install
2017-05-27 21:39 - 2012-11-15 23:21 - 00000000 ____D C:\mfg
2017-05-27 21:37 - 2015-04-22 15:01 - 00000000 ____D C:\bob50gap
2017-05-27 21:35 - 2013-12-23 11:11 - 00000000 ____D C:\bob50

y a quoi là dedans ?

[mbh]

scan : dossier scanner réseau
install : dossier avec les fichiers d'installation de qques outils
mfg : je ne sais pas
bob50gap et bob50 sont des dossiers d'application

et j'ai en effet plusieurs alertes dans les journaux nod32 : win32/Filecoder.RotoCrypt.C pour les dates dont nous parlons

[mbh]

voici la copie du journal nod32

Ce que je trouve inquiétant, c'est que le dossier CEF est horodaté de 2015, cela peut-il être un virus dormant (bien réveillé pour le coup)

Steam n'est pas installé sur le poste

Date et heure;Analyseur;Type d'objet;Objet;Menace;Action;Utilisateur;Informations;Hachage;Dernière détection
28/05/2017 09:51:50;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
28/05/2017 09:51:49;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\GWX\WzgNCjsN.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 22:52:23
27/05/2017 22:53:28;Analyseur au démarrage;fichier;Mémoire vive = C:\Users\melanie\Pictures\Winamb.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:19
27/05/2017 22:52:56;Analyseur au démarrage;inconnu(e);Startup;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;contenait des fichiers infectés;;;;
27/05/2017 22:52:22;Analyseur au démarrage;fichier;C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C cheval de troie;nettoyé par suppression;;;59872046176AB6468B3FF79A893EBC57911AFBE8;27/05/2017 20:10:52
8/05/2017 21:15:43;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 21:15:21;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\Documents\sysscan.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un nouveau fichier créé par l'application : C:\Windows\explorer.exe (84123A3DECDAA217E3588A1DE59FE6CEE1998004).;28276DFC2E6BDC9BFE78B7E6FD534C4F3FF5D46E;8/05/2017 21:15:11
8/05/2017 13:47:38;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\wrsd.exe;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;01DA491D2DDA19CEC22F93A16CD453B036404FB5;8/05/2017 13:47:36
4/05/2017 19:57:09;Protection en temps réel du système de fichiers;fichier;C:\Users\scan\AppData\Local\Temp\CCLEANER.EXE;une variante de Win32/Spy.Delf.QMM cheval de troie;nettoyé par suppression;PC-DE-BUREAU3\scan;Un événement s'est produit sur un fichier modifié par l'application : C:\Windows\System32\cmd.exe (0F3C4FF28F354AEDE202D54E9D1C5529A3BF87D8).;0D7EF11DDD737BF9780A48A1D6D66CBA540230D7;4/05/2017 19:57:03

[mbh]

j'ai aussi eu le logiciel desktop lock express qui s'est ouvert à l'ouverture, mais pas à chaque fois (sur PC-DE-BUREAU3).

J'en suis où au niveau de l'infection, c'est clean?

[Malekal_morte]

ha yes :
C:\Users\melanie\AppData\Local\CEF\rQFSLQxa.exe;une variante de Win32/Filecoder.RotoCrypt.C

NOD32 les a supprimé, je pense, mais trop tard pour les documents.
Supprime les dossiers en question.

Si tu ne sais pas ce que sont les dossiers sur C:\
Supprime les aussi.

Supprime aussi le raccourci dans le dossier démarrage.
Et ça devrait être bon.

[mbh]

ok, merci pour tout.

Les autres postes sont ok?

l'infection est passée malgré la détection?
Nod32 a été mis à jour "trop tard" ?

C'est bizarre, non?

[Malekal_morte]

oui les autres ordis sont bons.
les antivirus ne sont pas infaillibles.

[mbh]

ok

Mille merci pour le suivi.

Bonne journée.

Mbh