ransomware [email protected]

[ssaito1]

Bonjour,


j'ai été contaminé par un ransomware et je suis désespéré :(
id-3EE64D1B.[[email protected]]
id-5A6E1381.[[email protected]]

j'ai scanné avec eset online et supprimé ce qu'il a détecté mais à part ca je ne sais pas quoi faire pour décrypter mes documents.
une aide svp/

merci

[ssaito1]

voila les doc FRST etc

https://pjjoint.malekal.com/files.php?i ... 10i15i7o15
https://pjjoint.malekal.com/files.php?i ... 11y14u12p5
https://pjjoint.malekal.com/files.php?i ... 5o10l15t11

[Malekal_morte]

Salut,

Rapports corrects.
Comme il s'agit d'un Windows Serveur :

Windows Server 2012 Standard

C'est probablement lié à un piratage RDP : PIratage serveur Windows et terminal server.
Si l'accès est possible depuis internet :

• Vérifier les mots de passe et interdire les mots de passe faible
• Mettre en place des filtrages

[ssaito1]

Merci,

y a t il moyen de décrypter mes data?? mon backup est down...

merci

[Malekal_morte]

En général non.

Tente de récupérer les fichiers avec Shadow Explorer - versions précédentes
sinon il faudra attendre une solution donnée sur le page : Decrypt Tools pour les ransomwares

[ssaito1]

oh shit!! je suis dans la mer...

merci je vais check

[ssaito1]

Et si je paie la rançon?

[ValS0_518Test&Review(ValS0_518)]

Et si je paie la rançon?

SURTOUT PAS !
1- Il te rendront pas les fichier
2- Arnaque

[ssaito1]

ok merci.

je fais quoi alors? j'ai besoin d'aides.


je vous envoie un fichier crypté, est ce que cela peut vous aider?

[ValS0_518Test&Review(ValS0_518)]

ok merci.

je fais quoi alors? j'ai besoin d'aides.


je vous envoie un fichier crypté, est ce que cela peut vous aider?

A part attendre , espérer que tes saves revienne, réfléchir le pourquoi du comment c'est arrivée ... Pas grands chose...
Tien question c... Ton serveur a un antivirus ?

[ssaito1]

oui mais... je devais réinstaller win 2012, lorsque ceci fait je ne l'ai pas réinstallé et il a fallu moins de 12 h pour qu'il soit contaminé. Et j'ai dû me connecter à distance et c'est là je pense que cela a foiré.

mes collègues reviennent dans 15 jours...

[ValS0_518Test&Review(ValS0_518)]

oui mais... je devais réinstaller win 2012, lorsque ceci fait je ne l'ai pas réinstallé et il a fallu moins de 12 h pour qu'il soit contaminé. Et j'ai dû me connecter à distance et c'est là je pense que cela a foiré.

mes collègues reviennent dans 15 jours...

Réinstalle-le (en poste isolée / Réseau local) -> Fait les mise a jours (Si tu as un autre serveur passe par WSUS ou sinon il doit bien y avoirs moyen de les faire en les téléchargent depuis le site de Microsoft) -> Sécurise le Serveur (AV,Mdp Complex,Pare-feu PERFORMANT,Cool-down sur les autre RDP en cas de brute force) -> Scan tes fichier de save on ne sais jamais -> Relis internet -> Verifie encore les mise a jours. Regarde sur le site de l'ANSII il y a un guide de sécurisation ^^

[ssaito1]

merci, y a rien d'autre a faire que de chercher.
merci

[ssaito1]

Bon, voilà, 90% des données récupérées à partir de backup ( fonctionne finalement). oui backup backup !! thx

[Malekal_morte]

Bien =)
Sécurise ton serveur notamment sur l'accès à distance.