Poste atteint par ransomware GlobeImposter 2.0

[Clad97]

Bonjour tout le monde.

Je m'occupe d'un poste atteint par le ransomware GlobeImposter 2.0.

Je suis à la recherche de solutions pour le désinfecter et trouver par la même occasion un moyen de décrypter les fichiers atteint par le virus.

J'ai suivi la procédure trouvé sur les forums qui consiste à utiliser le scan du logiciel "Malware-bytes anti-malware" sur Windows 10 en mode sans échec mais je ne sais pas si cette technique éradique le virus à 100%.

Au niveau du décryptage des fichiers pour le moment aucune solution malheureusement.

Je vous poste les liens des fichiers FRST:
Addition.txt: https://pjjoint.malekal.com/files.php?i ... f6w12c10d9
FRST.txt: https://pjjoint.malekal.com/files.php?i ... p8k11x8s13
Shortcut.txt: https://pjjoint.malekal.com/files.php?i ... g12m8s13z8

Toute aide sera la bienvenue.

Merci d'avance pour vos réponses et votre aide.

[Parisien_entraide]

Bonsoir,

En attendant que Malekal passe, garde ce lien sous le coude : https://decrypter.emsisoft.com/download/globeimposter
sachant qu'il y a plusieurs variantes le résultat n'est pas garanti
Bien lire la doc AVANT : https://decrypter.emsisoft.com/howtos/e ... poster.pdf

[Clad97]

Merci pour ta réponse Parisien_entraide.

Juste pour savoir, le décrypteur est valable pour le GlobeImposter 1.0 à ce que j'ai compris, tu penses que ça va fonctionner pour le 2.0?

[Parisien_entraide]

Comme je l'ai indiqué il y a plusieurs variantes

J'ai regardé dans mes liens d'archives et en lisant cela je pense qu'il n'y a pas d'espoir (date de juin 2018)

Par contre tu peux essayer https://id-ransomware.malwarehunterteam.com/ histoire de voir ce que cela raconte, mais cela donnera juste quelques infos complémentaires et pas une solution

Par contre ne lance pas le décrypteur A ne pas faire tant qu'une désinfection n'a pas été effectuée

Source : https://support.emsisoft.com/topic/2962 ... poster-20/


--- Traduction à l arrache avec Google translate :

"Il n'y a pas de décrypteur pour GlobeImposter 2.0 (nous en avons un pour Globe2, ainsi que pour GlobeImposter, mais ils ne sont pas identiques à GlobeImposter 2.0). Ce ransomware n'est pas déchiffrable sans obtenir les clés privées des criminels qui ont fabriqué / distribué le ransomware.

Dans le cas de ransomware comme celui-ci, qui utilise un cryptage sécurisé et génère de nouvelles clés publiques / privées pour chaque ordinateur infecté, il est généralement impossible de décrypter les fichiers sans obtenir la clé privée des criminels qui ont fabriqué le ransomware. Vous pouvez essayer un outil tel que ShadowExplorer, cependant les ransomwares comme celui-ci suppriment généralement les clichés instantanés de volume, de sorte que ShadowExplorer ne trouve généralement rien. Même si les clichés instantanés de volume ne sont pas supprimés, les chances de trouver des copies de sauvegarde des fichiers sont plutôt minces, car Windows ne laisse normalement des copies de sauvegarde des fichiers que si vous utilisez le logiciel de sauvegarde de Microsoft pour les sauvegardes de données. (bien que la restauration du système sauvegarde parfois des copies de fichiers dans les clichés instantanés de volume).
http://www.shadowexplorer.com/

Dans les cas où les clichés instantanés de volume sont supprimés, notez que ransomware ne les supprime généralement pas de manière sécurisée. Il est donc possible d'utiliser un utilitaire de suppression de fichiers pour restaurer l'ancienne copie de volumes, puis d'utiliser ShadowExplorer pour récupérer des fichiers. Ce n'est pas nécessairement simple à faire (l'ordinateur devra être exécuté à partir d'un disque amorçable pour avoir un accès en écriture au dossier «System Volume Information» ou le disque dur devra être connecté à un autre ordinateur), et même si Vous pouvez récupérer les anciennes copies Shadow du volume, comme mentionné ci-dessus, les chances que des copies de sauvegarde des fichiers importants soient faibles au départ. Notez que vous devrez peut-être trouver un technicien informatique local qui peut vous aider si vous souhaitez l'essayer.

Voici un lien vers une liste d'outils de récupération de fichiers sur Wikipedia:
https://en.wikipedia.org/wiki/List_of_d ... e_Recovery"
___________________________________

[Clad97]

Aie aie aie.

Non je n'ai pas encore lancé le décrypteur, je voudrais être sur avant qu'il n'y ai plus trace du ransomware.

J'avais déjà essayé https://id-ransomware.malwarehunterteam.com/ et la réponse avait été négative.

Bon je pense qu'il n'y a plus trop d’espoirs du coup.

[Parisien_entraide]

De par son fonctionnement, pas vraiment non...

[Malekal_morte]

Salut,

Apparemment, c'est venu par la session reception1 :

2018-08-20 13:48 - 2018-08-27 10:05 - 000049914 _____ C:\Users\reception1\Documents\LOGEMENT [email protected]_cc
2018-08-20 12:25 - 2018-08-27 10:04 - 000239575 _____ C:\Users\reception1\Downloads\[email protected]_cc
2018-08-20 12:06 - 2018-08-27 10:04 - 000052816 _____ C:\Users\reception1\Downloads\[email protected]_cc

Tu peux scanner ces deus fichiers sur VirusTotal :

C:\ProgramData\alternateshell.bin
C:\ProgramData\alternateshell.exe

Il faudrait supprimer tout cela, je pense :

C:\ProgramData\{55B8B458-6336-436F-BCA9-3DDC36050970}
C:\ProgramData\alternateshell.bin
C:\ProgramData\alternateshell.exe
C:\Users\reception1\AppData\Local\AutoIt v3
C:\ProgramData\alternateshell.exe
C:\ProgramData\removelastfolders.exe
C:\ProgramData\svcr.exe
C:\Users\reception1\AppData\Local\how_to_back_files.html

[Clad97]

Salut,

Apparemment, c'est venu par la session reception1 :

2018-08-20 13:48 - 2018-08-27 10:05 - 000049914 _____ C:\Users\reception1\Documents\LOGEMENT [email protected]_cc
2018-08-20 12:25 - 2018-08-27 10:04 - 000239575 _____ C:\Users\reception1\Downloads\[email protected]_cc
2018-08-20 12:06 - 2018-08-27 10:04 - 000052816 _____ C:\Users\reception1\Downloads\[email protected]_cc

Bonjour Malekal_morte, merci pour ta réponse.

Pour ma connaissance personnel, peux-tu m'expliquer comment tu sais que le virus s'est introduit par ces fichiers stp.

[Malekal_morte]

L'extension a été modifiée avec l'adresse pour payer la rançon, c'est classique.
Voir la fiche GlobeImposter

pour les exe, ils n'ont rien à faire là, les noms ainsi que les dates tentent à dire qu'ils sont liés avec l'attaque.

[Parisien_entraide]

Juste en passant :

Nombre d'adresses pour ce ransomware sont situées en inde (Jakarta pour le cas présent mais l'adresse n'est plus valide) via différents serveurs (exploitations de failles)

OKUMARTA.png

Le matin du 27/08 vers 10h il y a les grosses premières traces qui apparaissent (mais le PC était allumé vers 3h du matin car on note l'installation du programme Destroy Windows Spying, et a priori vers 9hxx on note un fichier KRAB-DECRYPT.txt arrivé à 9h31)

Tu as scanné les fichiers demandés par Malekal ? (vu que le fichier alternate par ex est connu)

[Clad97]

Oui j'ai scanné sur virus total comme précisé mais apparemment il n'y avait rien de particulier. (à part si j'ai mal vérifié les infos)

J'ai supprimer les fichiers indiqué par Malekal_morte.

Je vais tester le décryteur que tu m'as conseillé Parisien_entraide, je te ferai un retour sur le résultat.

[Parisien_entraide]

Normalement il ne devrait pas fonctionner car le ransomware a évolué. C'était juste une piste "en attendant de"

En tous les cas, l'attaquant devait "'s'amuser" avec le ransomware KRAB auparavant (la V4 de juillet par ex) car il n'a même pas fait la mise à jour de son fichier .txt qui explique ce qui arrive (mais ce n'est qu'une supposition)

[bruno.mercier]

Bonjour,
j'ai subi la même attaque hier. Mon PC de bureau est complètement vérolé et j'ai perdu toutes mes données (photos, paperasse, boulot, mail...)

Avez-vous finalement réussi à décrypter vos fichiers ?

J'ai cru lire sur cette page qu'il y aurait peut de chance qu'une solution soit trouvée pour contrer ce virus et le cryptage des fichiers, pourriez-vous m'expliquer pourquoi ?

Merci beaucoup pour vos réponses

[Malekal_morte]

Salut,

Voir les liens donnés plus haut, mais je pense que ça ne fonctionnera pas.
Il est conseillé de faire une analyse Malwarebytes Anti-Malware (MBAM) version gratuite.
D'autre part, il s'agit d'un serveur, sécuriser les accès TSE : Piratage de serveur Windows par Terminal Server.

[bruno.mercier]

Je comptais le faire

J'espérais une éventuelle réponse de Clad97 pour savoir si le décrypteur a fonctionné pour lui.

Par contre, désolé mais je n'ai pas compris cette histoire de serveur ?