Victime ransomware Sodinokibi

[minus87]

Bonjour tout le monde,

Cette semaine j'a été victime du ransomware "Sodinokibi".
Avant ce jour dramatique je connaissais même pas ce genre de virus qui crypte les données.
Il a fait du ménage, 90'000 fichiers cryptés... DD du PC, NAS, Dropbox.
J'ai pu sauver la dropbox en revenant à une date antérieur.
Pour le NAS, je venais de migrer une partie des données je n'avais pas encore activés les snapshot.

Je viens vers vous afin de savoir si il y a une solution pour décrypter ou des conseils à suivre.
Ce virus est-il assez connu pour espérer obtenir un programme de décryptage dans un laps de temps pas trop long ?
Est-ce que je fais bien d'espérer qu'il y a des experts qui bossent sur ce virus ?!
Y'a t'il une chance de retrouver un jour mes données?

Dans le fichier Readme, la clé qu'il met, puis-je la partager sans crainte sur des forums ?

Je suis preneur de toutes informations et vous en remercie d'avance.

Je vous souhaite une bonne journée.
Cordialement.

[Parisien_entraide]

Bonjour,

A ce jour il n'y a pas de décryptor

Cette variante de GandCrab https://www.malekal.com/gandcrab-ransomware/ et viewtopic.php?f=11&t=60816 est apparue courant avril.
Voir la fiche Ransomware Sodinokibi

Cela exploite les failles des serveurs Oracle Web logic (bas de données Oracle dont le patch a pourtant été fourni au 26 avril
https://www.oracle.com/technetwork/secu ... 66295.html

En Allemagne (mais pas vu en France) il y a eu une campagne de phishing avec en PJ des documents Word vérolés (macro VBA)
Il exploite également les failles RDP https://www.malekal.com/piratage-serveu ... al-server/

Tu ne dis pas sous quel windows tu es, mais depuis fin mai des scans ont été menés sur Internet pour rechercher des systèmes Windows vulnérables à BlueKeep (CVE-2019-0708). Cette faille concerne le service RDP (Remote Desktop Protocol) pour les versions suivantes de Windows : XP, 7, Server 2003 et Server 2008
Microsoft à sorti un patch https://portal.msrc.microsoft.com/en-US ... -2019-0708

https://www.lemondeinformatique.fr/actu ... 75565.html


Tous les articles au sujet des ransomwares https://www.malekal.com/tag/ransomware/

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer viewtopic.php?t=46739&start=

Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares viewtopic.php?f=98&t=57145

Quant à la clé elle est unique et correspond à tes fichiers, et le décrypteur envoyé après paiement correspond à cette clé
Un seul décrypteur Sodinokibi possède la clé privée de la victime et décrypte tous ses identifiants

[minus87]

Bonjour Parisien_entraide.

Merci beaucoup pour ces infos.

J'ai essayé avec shadow explorer, mais il n'y plus aucun point de restauration pour tous les disques dur.
Avec un logiciel de récupération est-il possible de remettre la main sur les points de restauration ?

J'ai réussi à retrouver le fichier qui m'a infecté, c'était un document .JS, sur un forum de développement on a réussi à retracer le code qu'il contient.
Ci-dessous le lien du post.
https://www.developpez.net/forums/d1981 ... st10994686

Vous remarquerez dans le code qu'il y a 3 sites web.
Pensez vous qu'obtenir ce genre d'information peut servir d'une quelconque manière.
Devons nous partager ces informations avec des personnes successibles de monter les traces ???
La prochaine étape serait de comprendre ce que fait ce code et de récupérer les pages php des 3 sites en questions.

++

[Parisien_entraide]

En cherchant un peu j'ai vu que l'analyse a déjà été faite : https://www.certego.net/en/news/malware ... odinokibi/

J'ai regardé un peu ce qui a été dit dans le lien qui a été posté.. En fait il faut bien faire la différence entre Payload et Dropper
viewtopic.php?t=9561

sachant que certaines infections se camouflent en changeant plusieurs fois d'enveloppe pour tromper les AV, analyse etc (à une époque cela pouvait aller jusqu'à 1 500 par heure) que d'autres se neutralisent dès lors qu'ils savent qu'ils sont analysés dans une VM, que les sites indiqués pour aller chercher la vérole peuvent être temporaires (sites hackes, etc) mais aussi être des leurres etc

Dans le lien certego, lis bien la partie "C2" concernant les serveurs idem ici https://www.tesorion.nl/aconnection-bet ... -families/

Actuellement il y a plus 1000 noms de domaines liés à Sodinokibi (tu en vois 3 mais c'est un leurre si il s'agit de cette infection)

Il est dit déjà que Sodinokibi est protégé par un packer personnalisé, différent pour chaque échantillon
Que pour générer le module, cela se fait à à partir du nom du processeur, du numéro de série du volume extrait à l'aide d'un appel d'API “ GetVolumeInformationW, et pas que (il y a d'autres paramètres pris en considération comme le nom d'utilisateur, d'hôte, etc et même la langue utllisée via le clavier

Bref pour résumer chaque infection est unique. Le fonctionnement est similaire à GandCrab, et il faut espérer que vu qu'il s'agit de premières moutures une faille existe (mais les concepteurs ont bien appris de GandCrab)

En complément :

On voit bien maintenant que ce ransomware est détecté par une majorité d'antivirus (analyse effectuée par un expert en sécu lié qui fait partie de la team de https://malwarehunterteam.com/

https://www.virustotal.com/gui/file/8b1 ... /detection

2019-06-16_133519.png

Si tu as conservé l'échantillon tu peux par curiosité regarder ici https://www.hybrid-analysis.com/

[Parisien_entraide]

Tu as une autre analyse par TALOS https://blog.talosintelligence.com/2019 ... logic.html (ceux qui sont derrière la découverte du CCleaner infecté) mais cela n'en dit pas plus

A noter qu'actuellement Windows defender détecte ce ransomware
https://www.microsoft.com/en-us/wdsi/th ... 2147735617

Evidemment cela ne répond pas à ta question : QUAND un décryptor verra le jour ? parce que pour l'instant il n'y a pas de réponse

Si on suit la dernière version de GandCrab, cela fait pratiquement 6 mois qu'il n'y a pas de décryptor... Juste un exemple, car suivant la nature du ransomware, les méthodes utilisées etc il peut ne pas y avoir de programme pour déchiffrer
Tout repose sur une faille, des arrestations et saisies des serveurs (code source par ex) etc

[Malekal_morte]

C'est pas le ransomware sodinokibi si l'on regarde ce lien : https://blog.talosintelligence.com/2019 ... logic.html
Ca n'a complètement rien à voir.

En plus tu parles de fichiers téléchargés, donc c'est toi qui l'a amené sur ton ordinateur et non une attaque directe de ton NAS via une vulnérabilité.
Il a dû toucher les données du NAS à travers les partages, j'imagine.

[Parisien_entraide]

Donc reste à savoir COMMENT il a déterminé qu'il s'agissait du Sodinokibi :-)

Pour rappel :

Pour l'analyse

https://id-ransomware.malwarehunterteam.com/

Idem ici

https://www.nomoreransom.org/crypto-sheriff.php?lang=fr

Pour chercher un decryptor (si il existe)
https://www.nomoreransom.org/fr/decryption-tools.html

[minus87]

Bonjour messieurs

Quand j'ai été infecté j'ai fait une recherche google en tapant le nom de l'extension des fichiers cryptés.
Google a trouvé 0 résultat. A force de recherche j'ai vu que j'avais les mêmes particularités que Sodinokibi, même message de rançon au mot près, fond d'écran bleu avec deux ligne de textes en haut au mot près, et l'extension de fichier aléatoire.
Par la suite j'ai trouvé le site de nomoreransom, celui-ci me donne aucun nom de ransomware mais me dit qu'il peut rien faire pour moi.
Après j'ai trouvé le site ID Ransomware, celui-ci m'a confirmé que c'est bien Sodinokibi.

Malekal, tu as raison, il a affecté mon NAS grâce au mappage des dossiers sur le PC.

J'ignore si le document JS que j'ai dans le collimateur est vraiment la source du problème.
Le jour de mon infection j'ai essayé de retracé mon parcours sur le net afin d'identifier où j'ai pu choper cette merde.
J'avais deux fichiers suspects, un pdf qui ne fonctionnait pas avec un poids de 2bytes, et le fameux fichier .JS qui contenait un code un peu particulier.

Peut être que ce n'est pas lui le responsable, ça serait un manque de bol de tomber le même jour sur le virus Sodinokibi et un document JS fortement louche, qui après analyse des sites vers lesquels il dirige, ne font sans doute pas de bien.

J'ai fait un mail aux 3 sites présents dans le JS afin de leur demander de m'envoyer le document PHP en question.
On verra si j'ai une réponse, avec le doc PHP je pourrai savoir un peu plus vers quoi ce document JS nous emmène.

Je vous remercie pour vos informations très instructif.
J'espère que Sodinokibi n'est pas une version supérieure de GandCrab, j'ai vu que les décrypteurs s'arrêtent à la version 5.1 alors que, sauf erreur, la dernière version est 5.3.
J'ai lu que GandCrab était le leader des ransomware et qu'ils prenaient leur retraite, est-ce réel tel est la question.

J'espère qu'il y aura une solution pour Sodinokibi.

++

[Malekal_morte]

il a droit à sa fiche Ransomware Sodinokibi

[djanin]

Bonjour

Même problème chez moi à cause d'un javascript exécuté par Madame. J'ai éteint le pc mais trop tard, l'essentiel du mal était fait. La majorité des fichiers est cryptée (fini les photos de vacances et les fichiers de travail de Madame sur sa clé). En revanche je n'ai pas eu le fond d'écran qui est décrit par plusieurs articles et a priori avant donc la communication vers un serveur C2.

Dans la fiche ici, il est dit que le virus n'est pas résident. J'ai essayé de scanner avec Malwarebytes Anti-Malware (MBAM) et aussi spyhunter que plein de sites sponsorisent dans leurs articles sur sodinokibi. Windows defender ne trouve rien non plus. Il se peut vraiment qu'il n'y ait plus rien sur le pc? Faut-il faire une restauration de windows malgré tout?

Dernière question un peu bête: y a-t-il un risque à stocker des fichiers déjà cryptés ? J'ai pas 36 DD externes pour archiver les photos cryptées en attendant un miracle. Sauf que le D que j'ai a déjà mes archives photos et que je voudrais pas les perdre aussi.

[Parisien_entraide]

Bonsoir,

Tu ne risques rien à stocker les fichiers cryptés
Vu le fonctionnement, et l'analyse MBAM etc si il n 'y a rien de trouvé, c'est qu'il n'y a rien

https://www.malekal.com/ransomware-sodinokibi/

Extrait :

"Le ransomware n’est pas résident.
C’est à dire qu’il va chiffrer les documents et se fermer.
Ainsi l’ordinateur n’est plus infecté."

Tu le dis toi même en plus....

comme il est dit sur la fiche de Malekal : Changez vos mots de passe WEB. Le malware peut aussi voler les identifiants.

Pour l'archivage... Les photos cela ne prend pas de place et si on y tient il faut multiplier les supports

Clé USB (le support le moins fiable mais qui dépanne) en prenant des marques "connues" comme Sandisk, Kingston, ..
https://www.amazon.fr/s?k=Cl%C3%A9+USB& ... ef=sr_hi_2

DIsque dur externe (pour du 1 TO) https://www.amazon.fr/Informatique-stoc ... =430407031

[djanin]

Merci pour la réponse.

J'étais surpris de trouver vraiment rien. Par principe, je vais de toute façon formater le pc, il est tout neuf, il n'y avait pas encore gros chose dessus à part les photos qu'on avait mises là le week-end précédent et que j'avais pas encore pris le temps d'archiver. Dommage...

Je vais juste stocker les fichiers cryptés en attendant un hypothétique decryptor et changer les mots de passe (même si je les stocke jamais)

[Parisien_entraide]

Par contre je reviens sur la cause : "à cause d'un javascript exécuté par Madame. " et pour éviter que cela se reproduise

Une page générale :

https://www.malekal.com/tag/ransomware/


Comment s'en protéger

https://www.malekal.com/ransomwares/