RansomWare qui transforme fichier dwg en .jse

[TMLS]

Bonjour à tous.

Il y a un mois, un de mes clients a reçu un joli cadeau qui a transformé tous les fichiers dwg (fichier de dessin Autocad) en fichiers jse.
La sauvegarde programmée par l'ancien prestataire avec le logiciel Carbonite n'a donné aucun résultat satisfaisant.

J'ai eu de l'espoir le jour-même via la possibilité de "Restaurer la version précédente" du dossier partagé sur lequel tout le monde travaille.
700Go de datas à restaurer par ce moyen, j'ai donc décidé de le lancer le jour même et de laisser tourner le process la nuit.
Le lendemain matin, arrivé à 60% de la restauration, Windows me dit qu'il ne parvient pas à localiser les fichiers nécessaires pour faire la restauration (je ne me souviens plus du message exact). Résultat: pas de fichiers restaurés et plus de versions à restaurer au delà du 26/07.

Impossible de savoir quelle personne a reçu et lancé le virus et par conséquent quel virus a attaqué (J'ai des utilisateurs modèles je pense... #frustration). Les analyses antivirus n'ont rien donné sur les postes.

S'ensuit tout un process pour restaurer une sauvegarde avec Carbonite qui prend 1 semaine et sans obtenir les fichiers attendus, achat et utilisation de programme de recovery de data. Sans succès non plus.

Et me voilà aujourd'hui à poster ici et demander votre aide car j'arrive à courts d'idées.

J'ai regardé un peu comment cela se passait sur ce forum. J'ai déjà lancé FRST sur le serveur où les fichiers sont cryptés et vous poste le résultat en dessous.

Merci d'avance pour votre aide et vos réponses!

FRST:
Addition.txt: https://pjjoint.malekal.com/files.php?i ... u6k14h8p11
FRST.txt : https://pjjoint.malekal.com/files.php?i ... 7r6x11d5g7
Shortcuts.txt : https://pjjoint.malekal.com/files.php?i ... c12s8d8w10

[Malekal_morte]

Salut,

Il s'agit du Ransomware Nemucod, il y avait un décrypteur à la base, mais il ne foctionnait plus sur les dernières versions.

Pour voir si le ransomware est encore actif :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[TMLS]

Bonjour,

j'avais ajouté ces 3 liens le jour-même de mon 1er post (tout en bas de celui-ci).

Je les remets:
Addition : https://pjjoint.malekal.com/files.php?i ... u6k14h8p11
FRST : https://pjjoint.malekal.com/files.php?i ... 7r6x11d5g7
Shortcut: https://pjjoint.malekal.com/files.php?i ... c12s8d8w10

[Malekal_morte]

Salut TMLS,

Le rapport est correcte, toutefois le ransomware JSE se présente sous la forme d'un fichier JavaScript qui se lance depuis une session utilisateur spécifique.
Donc pas forcément visible selon avec quel utilisateur vous lancez FRST Et celle qui est touchée.
Le fichier es présente ainsi :

Startup: C:\Users\<utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fly.jse [2017-08-28] ()
Startup: C:\Users\<utilisateur>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fly.jse [2017-08-28] ()

A supprimer :

2017-08-14 12:03 - 2017-08-14 12:05 - 000000000 ____D C:\ProgramData\ParetoLogic
2017-08-14 12:03 - 2017-08-14 12:05 - 000000000 ____D C:\Program Files (x86)\ParetoLogic
2017-08-14 12:03 - 2017-08-14 12:03 - 002936752 _____ (ParetoLogic) C:\Users\Administrateur.DCA-ARCHI\Downloads\Pareto_DR_Setup_RW.exe

Etant donné qu'il s'agit script, s'en protéger ne serait pas mal à l'avenir.
Windows script Hosting doit pouvoir être désactivé par des GPO.

Voir aussi :
Comment se protéger des scripts malicieux sur Windows
et limiter PowerShell : Les virus Powershell

[TMLS]

Re,

Merci pour les infos je vais voir tout ça.