Virus : fly.jse - fichier excel en .jse

[karmaroms]

Bonsoir,
Mes anciens collègues mon appelé à la rescousse, mais je me trouve fort démuni.

L'un d'entre eux à ouvert une pièce jointe en .zip d'un mail douteux.
Désormais, tous les fichiers excel du NAS qui héberge les fichiers de l'association son en .jse et les ordinateurs windows 10 du réseau ont un comportement douteux (ralentissement).

Windows defender détecte un trojan:win32/Fuery.A!cl en boucle.
Malwarebyte ne détecte rien.

J'ai désactivé un fly.jse du démarrage automatique du PC depuis lequel j'écris. Mais je me demande s'il reste des choses.
De plus que faire pour les fichier excel dont l'extension a été modifiée ?

Pouvez vous m'aider s'il vous plait ?

[Malekal_morte]

Salut,

Il s'agit probablement d'une variante du ransomware Nemucod

Pour vérifier :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[karmaroms]

Bonsoir et merci.
Voici les liens :
Fichier FRST : https://pjjoint.malekal.com/files.php?i ... p11f9k8k13
Fichier Addition : https://pjjoint.malekal.com/files.php?i ... 6f10s13s12
Fichier Shortcut : https://pjjoint.malekal.com/files.php?i ... 5q12h7j6p8

Tous les fichiers pdf, word refusent de s'ouvrir et impossible de renommer des fichiers dans l'explorateur... :(

[Malekal_morte]

Ca semble correct.

Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares

[karmaroms]

Ok merci. Mais la quasi totalité des fichiers lockés sont sur un NAS synologie. Shadowexplorer ne me permet pas de choisir un répertoire distant :/

[Malekal_morte]

Dans ce cas, il n'y a pas de solution, tente les outils des éditeurs d'antivirus.

[ysun]

Bonjour et merci.
Voici les liens :
Fichier FRST : https://pjjoint.malekal.com/files.php?i ... 10p13b8d13
Fichier Addition : https://pjjoint.malekal.com/files.php?i ... 14g11i13k7
https://pjjoint.malekal.com/files.php?i ... x12l6k12u8

Tous les fichiers pdf, word refusent de s'ouvrir et impossible de renommer des fichiers dans l'explorateur...

[Malekal_morte]

Salut ysun,

Cet ordinateur est complètement infesté par des adwares (Tencent, SpyHunter, etc).
Le ransomware est encore actif :

Startup: C:\Users\Administrateur.MIRADA-DC1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fly.jse [2017-08-28] ()
Startup: C:\Users\Administrateur.MIRADA-DC1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fly.jse [2017-08-28] ()

Windows 8 n'est pas à jour (pas en version 8.1)

Compte tenu de tous les merdouiles, il vaut mieux réinitialiser Windows 8 ou le réinstaller complètement :
- Comment réinitialiser Windows 8
- Comment installer Windows 8

Etant donné qu'il s'agit script, s'en protéger ne serait pas mal à l'avenir.
Windows script Hosting doit pouvoir être désactivé par des GPO.

Voir aussi :
Comment se protéger des scripts malicieux sur Windows
et limiter PowerShell : Les virus Powershell