Fichier crypté avec extension .WWW

[info66]

Bonjour,

Je suis saisi d'un cas particulier, le cryptage de fichiers sur un serveur, lesquels sont affublés de l'extension .WWW.

Quelqu'un aurait il des infos récentes à ce sujet ?

Merci !

[Malekal_morte]

Salut,
Surement un piratage TSE, voir : Piratage de serveur par terminal server

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[info66]

Bonsoir,
je n'ai qu'un échantillon de 3 fichiers cryptés suite à l'attaque, zippés sur une clé USB, avant que le serveur n'ait été restauré à une date antérieure, et je n'ai pas le fichier NoteRansom.txt qui nous aurait bien aidé ...
Dois je quand même faire la manip FRST pour envoyer des fichiers ?

Merci !

[Malekal_morte]

Le FRST c'est simplement pour s'assurer que le ransomware n'est plus actif.
Mais comme le serveur a été restauré, je pense pas que ce soit utile.

Après un ransomware en .www ça me dit rien
tu as le fichier de note pour voir à quoi il ressemble ?

[info66]

Justement non ... et je ne suis pas celui qui est intervenu sur le serveur après l'infection .... donc, je ne maitrise pas tout ...

[Malekal_morte]

ok donc je ne pense pas pouvoir te dire quelle variante, il s'agit
en tout cas, tu devrais jeter un oeil sur les comptes admin et les mots de passe, doit y avoir un mot de passe faible qui est présent.

[info66]

Effectivement le mdp était faible et la politique de sécurité du serveur a été revu à la hausse depuis !
Je te remercie quand même !

[Malekal_morte]

de rien =)