Ransomware : Fichier lecteur réseaux Raspberry en .mars

[Chucky2401]

Bonjour à tous !

Petite mise en situation rapide.
Je suis admin système dans mon entreprise. J'ai mon PC fixe sous Windows 10, qui me permet de faire du jeux, du montage vidéo, etc. Une raspberry avec un disque externe usb de 6 To, qui me permet d'avoir un VPN, avec un serveur DHCP, DNS et Deluge, je passe les détails, je ne suis pas là pour ça. Cette raspberry est aussi accessible par le Web, sur certains ports (2 seulement) que je puisse l'administrer à distance par SSH et une page web simple pour faire du WoL sur mon fixe.

J'ai vu cette nuit, vers 1h du matin, que j'avais des fichiers texte nommé "!!!MARS_DECRYPT.TXT" qui était partout.
Après un rapide coup d’œil, je vois que tous les fichiers qui sont dessus ont été renommé en .mars. Le dit fichier texte, m'indique que je dois payer une rançon de 300 €.

J'ai cherché rapidement sur le net, je tombe sur des sites qui explique, si on peut dire expliquer, comment se débarrasser du ransomware MARS, et comment récupéré ses données avec des logiciels de recovery comme Stellar Recovery.
Evidemment, sur un disque mappé sur Rapsberry, je ne vois pas comment ça peut fonctionner.

Ma question est : est-ce que seulement ma raspberry est infecté ? Cela c'est produit le 7/11 entre 4h et 8h. C'est la seule nuit où mon fixe est resté allumé pour télécharger la mise à jour Windows 2004 (qui s'est bien déroulé au passage).
Mon fixe a redémarré 5 fois ce weekend pour les mises à jour justement. J'ai analysé mon fixe avec Windows Defender, rien trouvé, et de plus je n'ai subis aucun chiffrement sur mon fixe... Pas de programme bizarre, pas de processus bizarre, rien. J'ai demandé à ma femme et ma belle-fille tout ce qu'elles ont fait en dernier la semaine dernière, rien de suspect. J'essaie aussi de les informer des risques en informatique.

Je pense que c'est ma Raspberry qui a été infecté. Mais comment être sûr que l'infection est toujours présente et la supprimer ? Que cette infection n'est pas sur mon fixe qui n'aurait attaqué que le lecteur réseau mappé ? De plus, ce virus est-il connu ? Est-il possible de décrypter les données ?
L'utilisation fait de ce disque peut être discutable avec ce qui est dit plus haut, mais c'est surtout pour les fichiers qui étaient de l'archivage sur des résultats de santé de ma femme qui est très malade. Evidemment, le service médicale, eux, doivent conserver ces données, mais si c'est possible de les récupérer... Je prends...

Je vous mets un screen des fichiers et le contenu du fichier "!!!MARS_DECRYPT.TXT".

https://pastebin.com/qNFUQbDJ

Merci d'avance pour votre aide.

[Malekal_morte]

Salut,

Compliqué comme question sans avoir accès mais si seul le partage est touché alors c'est probablement venu par ton PC.
Pas de RDP, prise à distance ou à la limite un Teamviewer qui tourne avec un mot de passe fixe ?

Sinon c'est que tu as un vulnérabilité à distance sur ton raspberry.
Tu fais les mises à jour de la distro ?
Y a quoi dans ton serveur WEB ?
As-tu vérifié l'ajout de fichier PHP pour une backdoor PHP dedans ?

Ca semble plutôt attaquer les serveurs WEB :

=> https://id-ransomware.blogspot.com/2020 ... mware.html


L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB de ton PC Windows, fais un scan antivirus ou avec Malwarebytes Anti-Malware (MBAM)
* Inspecte le site WEB sur ton raspberry

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

[Chucky2401]

Bonjour, merci pour ta réponse rapide.

Donc, pas de RDP, juste un Teamviewer avec un mot de passe fixe. J'essaierais de voir, si je vois des logs de connexion dessus dans le doute.

Il est vrai que je ne mets pas à jour souvent ma distri sur la raspberry, comme elle tourne en fond et je ne m'en sers que très peu, c'est une faute, je l'admets.
Sur le serveur WEB, que j'ai viré d'accessible sur internet, il n'y avait qu'une page qui demande de sélectionner un PC et avec une passphrase, de faire du WoL ou de le mettre en veille.
Je suis au boulot actuellement, je vérifierais des fichiers PHP étrange, je n'y ai pas pensé.

J'avais pas trouvé sur le site pour trouver le Ransomware, mais j'ai du mal suivre la procédure, je tenterais de nouveau.
Je changerais tout les mots de passe possible pour accéder à la Raspberry et mon PC.

Hier soir j'ai lancé un scan avec Windows Defender de Windows 10. Mais je ferais un scan avec Malwarebytes au complet dans le doute, j'avais prévu.

Je te tiens informé rapidement.
Merci beaucoup.

[Chucky2401]

Désolé pour le double post, il me paraissait plus simple ainsi.

Donc, le serveur web de la raspberry est comme avant, pas de fichier corrompu, ajouté ou autre.
Après recherche sur les sites, pas de solutions aujourd'hui, ce virus (MARS) est encore à l'étude, donc pas de solution pour décrypter.



J'ai quand même changé les mots de passe, dans le doute. Mon PC n'est pas accessible sur le Web, juste la raspberry.

Et là j'ai un scan Malwarebyte en cours, précédé d'un scan complet par Windows Defender.
Mais ce qui est sûr, c'est que mon PC n'est pas touché, je n'ai rien de chiffrer. Pas de nouveau logiciel installé depuis lurette.

[Malekal_morte]

Tu n'as pas répondu à la question.
C'est que les fichiers du partage PC <> NAS qui sont touchés ou plutôt les fichiers du site ?

Toute façon, faut attendre généralement 6 mois quand un ransomware sort pour avoir une chance d'avoir un décrypteur.

[Chucky2401]

J'avais pas compris ça.
C'est les fichiers du partage PC <> NAS qui sont touchés seulement.

[Malekal_morte]

Alors j'aurai tendance à dire qu'ils sont passés par le PC pour ensuite lancer le ransomware.
Tu n'as pas des fichiers locaux de ton PC qui ont été touchés ?
Le partage de fichiers n'est pas accessibles depuis internet ?

[Chucky2401]

Aucun fichier sur mon PC n'a été touché. J'ai regardé sur toutes les disques que j'ai, rien.
Le partage de fichier n'est accessible que sur mon LAN, en utilisant samba.

Pour info, le scan Malwarebytes Anti-Malware (MBAM) a finis.
Ce n'est que du faux positif, car c'est des logiciels que j'ai développé avec Qt.

Code : Tout sélectionner

Malwarebytes
www.malwarebytes.com
 
-Détails du journal-
Date de l'analyse: 10/11/2020
Durée d'analyse: 12:43
Fichier journal: e8771f90-2349-11eb-b4ff-b42e99c5bad9.json
 
-Informations du logiciel-
Version: 4.2.3.96
Version de composants: 1.0.1104
Version de pack de mise à jour: 1.0.32698
Licence: Essai
 
-Informations système-
Système d'exploitation: Windows 10 (Build 19041.572)
Processeur: x64
Système de fichiers: NTFS
Utilisateur: ZOUKZOUK\The Black Wizard
 
-Résumé de l'analyse-
Type d'analyse: Analyse personnalisée
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 2205365
Menaces détectées: 23
Menaces mises en quarantaine: 4
Temps écoulé: 8 h, 22 min, 45 s
 
-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Détection
PUM: Détection
 
-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)
 
Module: 0
(Aucun élément malveillant détecté)
 
Clé du registre: 0
(Aucun élément malveillant détecté)
 
Valeur du registre: 0
(Aucun élément malveillant détecté)
 
Données du registre: 0
(Aucun élément malveillant détecté)
 
Flux de données: 0
(Aucun élément malveillant détecté)
 
Dossier: 0
(Aucun élément malveillant détecté)
 
Fichier: 19
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY\#ARCHIVES\PACKAGES\COM.BLACKWIZARD.ADVANCEMENTS\DATA\MINECRAFT-ADVANCEMENTS.EXE, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 254A66735041180BC9F772BDE866FB54, 30C856551DBE6B18F43AB1F43F97883DDCCCA12E417E38FF362CA39E77562AA3
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY\PACKAGES\COM.BLACKWIZARD.ADVANCEMENTS\DATA\MINECRAFT-ADVANCEMENTS.EXE, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , EE30578304FFEC5A1214BA2FB778B2D2, 3ED4EC795A2F3B248FCBF2559E0F3DB2B2B99AF957C287519E5985F4ACF653B3
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY\REPOSITORY-1.0.0\COM.BLACKWIZARD.ADVANCEMENTS\1.0.0CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , A866222C2F4B8AB47C137E0C759EE213, 53F9070B17F7FA7882672E921E7F099686CC01F2D0FD781B2DC16AFA3429F917
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.4.1\COM.BLACKWIZARD.ADVANCEMENTS\0.2.4.1CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , B347A10253870AC8081B5DA45FA9F600, 81EFB7B7AF0531BCD9F1F326CD595167E0A66E929541E02211620DB9B3F91C40
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY\REPOSITORY-2.0.4\COM.BLACKWIZARD.ADVANCEMENTS\2.0.4CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 7A4DED872F4FEB2F72DBFFAC08F32C92, 0614815B61808C99379DA16C2032956AA91E650D1ED4D70850D175979749346B
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.3\COM.BLACKWIZARD.ADVANCEMENTS\0.2.3CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 27FE318C1F909D6E9F1D41E779A46EAD, 192C1014EEFFCC262CF27A051DCFF12BCA987BF38852D3967FCF238E1028535C
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\PACKAGES\COM.BLACKWIZARD.ADVANCEMENTS\DATA\MINECRAFT-ADVANCEMENTS.EXE, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 996C328D7A8C6E11914F373AE710F709, 1445A81B5D66871D00F63D66A0FB771DAF905884D3A27210420CF782884AE471
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.5.1\COM.BLACKWIZARD.ADVANCEMENTS\0.2.5.1CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , B2E8E1109977688E2838E10A77012729, C3C38647EDE0BAF1FE44B448DED69CDEF3007763615B1B8541393F537AFD042E
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.5\COM.BLACKWIZARD.ADVANCEMENTS\0.2.5CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 4676340E16DA0B22CA19EB1517BBBD5E, 1BDF6FC8B50F74BF3F4CF796E96EDA55A2D5E342D0A3B1FA7BDE93C3F1BD22A1
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.4\COM.BLACKWIZARD.ADVANCEMENTS\0.2.4CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 62FBDCAAB036A5936B6CA6F9F0951759, 533A3776C24971D6E33444B3278FB71183F25B42B687F0AB4F495166BEE7DEA3
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\RELEASE\MINECRAFT-ADVANCEMENTS.EXE, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 996C328D7A8C6E11914F373AE710F709, 1445A81B5D66871D00F63D66A0FB771DAF905884D3A27210420CF782884AE471
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.5.2\COM.BLACKWIZARD.ADVANCEMENTS\0.2.5.2CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , A724CA20BE89CDD203520FFAF50E9738, 5F2F769D3D8216DDB0AF7EF465A254DBDEE1E76236DA372D01FD79BE077C8623
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.5.3\COM.BLACKWIZARD.ADVANCEMENTS\0.2.5.3CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 8B3E4C9EC248232F6707264C2082B3CD, 0F17320B4391B09767B9D596AF40706BEFC46DDA70750FA3AE0AAAD3EEDAE233
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-0.2.5.4\COM.BLACKWIZARD.ADVANCEMENTS\0.2.5.4CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 387F0FF79F9E2C97128A6120B0937B80, 3FB8C11B237AA39970365573AF0435E14DDC2B89B3163A409B697AFEC949F7FF
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-2.0.0.0\COM.BLACKWIZARD.ADVANCEMENTS\2.0CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 4D6B587FC1FA848AEEA40F62948C3284, 82CAD3BA24918447B22F0DF0C273DD9541FEF43C4E77E6F4E1C15EAAB41D9460
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-2.0.1\COM.BLACKWIZARD.ADVANCEMENTS\2.0.1CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , F2E0A35457B8D99BF676BA202DEC2925, A10AF33BBA893AC5FD327F56BCE501C1BD4915CC4EA1EF30A36A367D2809AF91
MachineLearning/Anomalous.95%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-2.0.2\COM.BLACKWIZARD.ADVANCEMENTS\2.0.2CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , D79D996984E5F377399BD4523E58E4B1, 05A1DF8669487BD0431EB7906A939EF01C3095CC563EC2F048B8D710458C04B7
MachineLearning/Anomalous.96%, D:\PROJETS_QT\MINECRAFT-ADVANCEMENTS\BUILD\DEPLOY-B\REPOSITORY-2.1.0.1\COM.BLACKWIZARD.ADVANCEMENTS\2.1.0.1CONTENT.7Z, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 6092C9416F0488780DCE383A7D2D8FDB, 578FF7EDBDFDDD90E129EDDAF3BE3A86F0E079E68A5CA5F163EA35201E01BFFC
MachineLearning/Anomalous.100%, D:\UTILISATEURS\THEBLACKWIZARD\LOGICIELS\[DEVELOPPEMENT]\QT\BUILD-SIMS_NONO\RELEASE\SIMS_NONO.EXE, Aucune action de l'utilisateur, 0, 392687, 1.0.32698, , shuriken, , 511B42E215011A9AE612B0F189FAB5FA, 9D09D2EE7F90ECF7AFF3AD09BBD74BACA09787DF88D277772ACD359FBC0FE7FB
 
Secteur physique: 0
(Aucun élément malveillant détecté)
 
WMI: 0
(Aucun élément malveillant détecté)
 
 
(end)

[Malekal_morte]

ok je vois pas trop la logique, quoiqu'il en soit à minima :
- changer tous les mots de passe
- vérifier si une backdoor PHP est présente sur le site
- tout mettre à jour, NAS et PC.

[Chucky2401]

Moi non plus

- Tout les mots de passe ont été changé.
- Pas vu de backdoor quoi qu'elle soit
- Tout a été mis à jour

J'ai par ailleurs :
- limité le smb à mon réseaux local
- désinstaller vnc-server

Pourquoi ? Car j'ai vu des connexions à ces deux choses en dehors de mon réseau alors que je n'ai jamais ouvert à l'extérieur (faille ?) et que même moi cela faisait plus d'un mois que je n'e l'avais pas utilisé. La raspberry tourne pour le DHCP/DNS maintenant.

Voici ce que j'ai trouvé :
Log avec vnc-server : https://pastebin.com/yF62weUv
Log smb :


Et une des IP qui s'est connecté :


On voit qu'il y a des adresses IP externes.
Je continue de fouiller.

[Malekal_morte]

VNC faut pas le mettre accessible directement par internet.
C'est ultra scanné avec des attaques bruteforce.
A minima, ne pas le faire tourner sur le port par défaut.
Le mieux étant de faire un forward SSH dessus : Comment configurer le tunnel SSH (redirection de port)

Si tu as un mot de passe faible dessus, ça peut être une entrée de piratage.

[Chucky2401]

Je n'ai jamais touché la config de VNC, c'est le pire à faire je pense.
Là il est désinstallé avec la commande

Code : Tout sélectionner

apt purge realvnc-*

.

Sinon, j'ai vu aussi pleins de tentatives d'accès sur mon apache2, que j'ai désactivé en attendant. J'ai isolé ma raspberry à mon réseau local pour l'instant.
Je vais continuer de surveiller si je vois d'autres choses bizarre.

J'ai vu des choses sur BIND, je vais aller checker sa config.

[Malekal_morte]

C'est pas BIND.
Apache2 y a eu des vulnérabilités à distance récemment mais je doute que ce soit ça.
VNC me semble pas en avoir vu non plus, par contre, si le mot de passe est facile à deviner...
Sinon autre chose =)