[VIRUS|RANSOMWARE] sodinokibi/revil

[Walter59]

Hey !

Quelqu'un aurais tt-il une solution pour décrypter des documents; psd; pdf etc.. pour se virus.. JE ne trouve pas de solution, celà fait plusieurs jours que je recherches sans aucune solution..;
Je peux également vous mettre en PJ le fichier qui me demande la rançon

Amicalement,
Walter59

[Parisien_entraide]

Bonsoir

Il n'y a pas de solutions pour l'instant https://www.malekal.com/ransomware-sodinokibi/

Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer viewtopic.php?t=46739&start=

Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares viewtopic.php?f=98&t=57145


Pour info ce ransomware est détecté meme par WIndows defender depuis fin juin


Pour résumer (tiré du premier lien)

_______________________________________________________
Voici donc les recommandations à suivre :

Replacez vos sauvegardes si vous en avez. Si ce n’est pas cas, à l’avenir, pensez à en mettre en place : sauvegarde Windows.

Gardez les fichiers chiffrés pour une solution à l’avenir. Soyez patient, parfois il faut attendre plusieurs mois.

Changez vos mots de passe WEB. Le malware peut aussi voler les identifiants.

[Walter59]

Hey,

Merci pour vos réponses... Je vais patienter alors..

[brina91]

Salut ! Y'a des bruits de couloirs qui disent que ce virus est un peu le successeur du ransomware Gandcrab. Les hackers de Gandcrab ont annoncé prendre leur retraite en juin mais je pense que Sodinobiki vient d'eux...

Garde tes fichiers précieusement avec la note de rançon. Moi j'ai été attaquée par Gandcrab en avril et Bitdefender a sorti en juin un outil de decryptage. J'ai récupéré mes fichiers y'a quelques jours. Donc y'a de l'espoir. Bon courage en tout cas et si j'étais toi j'installerai Bitdefender parce qu'ils sont bien à jour sur les cryptomalwares.

[Walter59]

Salut ! Y'a des bruits de couloirs qui disent que ce virus est un peu le successeur du ransomware Gandcrab. Les hackers de Gandcrab ont annoncé prendre leur retraite en juin mais je pense que Sodinobiki vient d'eux...

Garde tes fichiers précieusement avec la note de rançon. Moi j'ai été attaquée par Gandcrab en avril et Bitdefender a sorti en juin un outil de decryptage. J'ai récupéré mes fichiers y'a quelques jours. Donc y'a de l'espoir. Bon courage en tout cas et si j'étais toi j'installerai Bitdefender parce qu'ils sont bien à jour sur les cryptomalwares.

On espère d'avoir une solution d'ici quelque temps..

[Atvtv]

Bonjour.

Je suis équipé d’un PC portable sous Vista. Il y a quelques jours, à la suite d’un blocage total de « Firefox « (ver 52.9.0 portable), se traduisant par un beep à chaque clic, j’ai tué cette tâche non sans difficulté. J’ai ensuite terminé le processus « Explorer » et je l’ai rechargé. Bien sûr mon fond d’écran a disparu et les icônes du Bureau se sont gracieusement alignées en colonne sur la gauche de l’écran, comme souvent.

C’est en les replaçant au contour de l’écran que j’ai constaté une longueur anormale du nom d’un raccourci déplacé. Puis la découverte d’autres fichiers atteints du même symptôme, à savoir l’ajout d’un nouveau suffixe modifiant l’extension en « .c6x94gt3j ».

Après avoir constaté que mes 4 navigateurs (Firefox, Chrome, Opéra, SlimJet) n’étaient plus fonctionnels, que de nombreux autres programmes ne s’exécutaient plus, ou avec des messages d’erreurs comme l’absence de fichier « Langue », j’ai analysé le disque avec « EveryThing ». Le résultat fut brutal, j’étais soudainement à la tête de 111272 fichiers (jpg, png, pdf, mp4, avi, xlsx, docx, txt…) affublés pour la plupart du fameux nouveau suffixe, ou d’une mouture en forme de préfixe pour les autres. Ces fichiers étant inexploitables. « Rstrui.exe » ne fonctionne pas, sans doute parce que le dossier des fichiers de restauration est bien sûr vide. Cela dit, les fichiers de données sont essentiellement sur le disque D qui n’est pas paramétrer pour la sauvegarde donc, pas de version précédente. J’arrête là pour le constat.

Je n’ai ni reçu, ni vu s’afficher de message durant l’infection, pas plus que depuis sachant que l’incident date d’une semaine. Par contre j’ai trouvé 7230 fichiers, tous nommés « c6x94gt3j-readme.txt », de même date et de même taille dont je joins un exemplaire, okazou ! Il s’agit de la demande de rançon.

J’ai aussi exécuté « ESET Online Scanner » (téléchargé via Linux vu que Vista était bancal), Eset qui n’avançait plus après une quinzaine d’heures. Le résultat du travail qu’il a tout de même effectué est le suivant :
6 fichiers affectés par des variantes diverses : IObit.E, Toolbar, Catalina, Systweak…
Tous les autres portent comme nom de détection : Win32/Filecoder.Sodinokibi cheval de troie

Je n’ai aucune certitude quant à la source de l’évènement. J’avais, de souvenir, précédemment téléchargé quelques feuilles Excel de type « Compta/Bilan » et aussi procédé à quelques désinscriptions de listes de diffusion à partir des liens inclus dans les mails en question. Je suis sous « Avira gratuit » qui n’a rien vu passer et c’est réveillé pendant l’analyse de « ESET ».

Je suis retraité et mon activité professionnelle s’est déroulée en majeure partie dans ou autour du monde de l’informatique. Et pour amuser un peu la galerie car, comme tout bon cordonnier…, je n’ai aucune sauvegarde de tout çà (photos/vidéos de mes petites filles, etc…).

Je stoppe là ma litanie et replonge dans l’écœurement. J’ai bien évidemment beaucoup lu sur le Net au sujet des « Ransomwares », et ne fonde pas de grands espoirs de solution, mais on ne sait jamais.

Voilou pour mon témoignage. Merci de m’avoir lu et peut-être à bientôt.

Cordialement

c6x94gt3j-readme.txt

[Malekal_morte]

Salut Atvtv,

Merci du retour.
Ca sent l'attaque Drive By Download - Web Exploit.
Tu dois avoir des plugins non à jour.

Malheureusement, il n'y a pas de solutions pour le moment avec ce ransomware sodinokibi.
Garde les fichiers touchés et suis l'actualité pour éventuellement solution.
Nous manquerons pas de mettre à jour ce topic au cas où.

Par sécurité, tu devrais changer les mots de passe des sites stockés dans Firefox.

[Atvtv]

Merci "Malekal_morte" pour cette réaction.

Les nombreuses applications en ma possession (souvent en version portable) sont forcément d'anciennes moutures, seules capables d'apporter une compatibilité avec Vista. Certaines sont additionnées de plugins divers et variés. Le tout ayant été stoppé dans le temps au niveau des mises à jour par les concepteurs eux-mêmes.

Quant aux MdP, en principe, ils ne sont pas mémorisés sous Firefox.
Ils le sont, par contre, dans ThunderBird ! Je dois donc me pencher sur la question.
Pour le reste, je n'ai effectivement d'autre choix que de patienter.
Cordialement.

[Malekal_morte]

Merci pour le complément, bon courage !

[Fran.39]

salut
pas difficile a deviner, je viens aussi de me faire piéger (05-11-19) par un crypteur semblerai que ce soit Sodinokibi

j'ai stopper et isoler la machine le temps de trouver quelques infos . et j'evite de la faire tourner fautes d'infos complémentaires

a l'origine : certainement le téléchargement d'un fichier rechercher pour être des exemple de pièces en DAO pour Freecad . a noter que sans le mettre directement en cause, il possède en interne un navigateur WEB ???

le fichier : un .zip qui ne semblai contenir qu'un fichier .js (pas au format de la DAO bien sur ) mais ça je l'ai vu trop tard

l'extention ajoutée est une suite alphanumérique dans mon cas .b6661re4 accompagné dans chaque répertoire d'un fichier d'instruction similaire a ci dessus


il semblerai ?????? (sans affirmation absolue) que j'ai réussi a stopper en cour son travail ; car j'ai quelques fichiers dans certaine zones (reculées) des disques qui n'ont que peu été atteintes et que certains fichiers déjà renommés avec l'extension n'étaient pas encore crypter . ça va être long a faire le tri

autre chose peut être intéressante , a la racine du disque C: j'ai découvert un fichier rnd.b6661re4 contenant une suite alphanumérique lui aussi

pas encore fait mais j'ai cru lire quelque part que certains fichier serait en fait effacer et remplaces par leur copies cryptés ?? d'autre infos sur ce point

c'est grave docteur ?

[Malekal_morte]

Salut,

Voir les messages plus haut.
Tes fichiers sont chiffrés par un ransomware / rançongiciel chiffreur de fichiers.
donc si tu n'as pas de sauvegardes, ils sont perdus.

Suis ce topic afin d'être prévenus si une solution est trouvée dans quelques mois.

Enfin fais un nettoyage avec Malwarebytes Anti-Malware (MBAM).

[Mandelph]

Bonjour.. j'ai été rançonné par ce malware . Alors que je faisais une recherche sur " rhétorique note diplomatique" et j'ai ouvert un 7zip , comme il m'arrive souvent de le faire ... j'y ai perdu 5 mois de travail (400 pages d'un bouquin en cours d'écriture) en plus du reste et de la sauvegarde que je venais de brancher .
j'ai archivé un grand nombre des fichiers cryptés dans une autre clé USb en attente au cas où, puis fait un nettoyage par malwarebyte et une restauration à deux jours précédent l'attaque.
Actuellement je fais le point de fichiers vierges épargnés sur un autre disque dur , des .doc, .odt, .jpeg ou .pdf qui pourraient servir pour ce j’appellerai l'effet "Champollion" .
j'ai espoir qu'un jour nous puissions trouver une clé de décryptage .. je croise les doigts !

[Parisien_entraide]

Bonsoir,

J'ai essayé de faire une recherche identique, mais à part du format .txt et du .pdf je n'ai pas trouvé le site en question avec des 7zip (mais il y en a beaucoup)
Tu aurais le lien à tout hasard ?
Et désolé de la petite (je relativise mais 400 pages quand même) catastrophe arrivée...
En général c'est là qu'on prend conscience du fait de l'intérêt de la sauvegarde, mais il est trop tard

[Mandelph]

Merci du coup de main.
je viens donc de faire un retour sur l'historique des recherches
un lien me semble suspect : hxxps://www.cairn.info/load_pdf.php?download=1&ID_ARTICLE=APHI_782_0323

j'aurai aimé poser ici une capture d'écran de la liste des recherches mais je ne sais pas faire ici.

[Mandelph]

En revanche j'ai fait une recherche image à partir du fond d'écran qui s'est affiché avec le doc text "read me" ..

Il semble que ce ransomware soit identifié Sodinokibi .
Hélas les sites référencés comme "no more ransom" ne semblent pas à jour

Par ailleurs j'ai mis de coté un paquet de mes fichiers cryptés (les plus importants) sur une clé à part .. j'ai fait ensuite un nettoyage avec malwarebytes, puis une restauration à une version précédent l'attaque . Les fichiers sont toujours cryptés et n'ont pas de versions précédentes .

Actuellement j’essaie de retrouver des doc envoyés par mail en pièce jointe ( photos textes mp3 ) qui pourraient servir de référence à leur double crypté .
J'ai bon espoir qu'il existe en ce monde des esprits solides parmi les hackers pour qu'un jour on puisse trouver une parade .

Merci de votre bienveillance