Mars Ramsonware [résolu]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Mars Ramsonware [résolu]

par Chipounettef »

Bonsoir, je me suis rendu compte par hasard cet après midi qu'un dossier de vidéos d'un des disques dur de mon pc avaient perdu leur extension originale et s'étaient transformés en .mars

Dans ce dossier se trouve également un fichier desktop.ini.mars ainsi qu'une fichier text "!!!MARS_DECRYPT.TXT" précisant que mes fichiers ont été encryptés et que je dois payer une rançon à ce cher [email protected] afin de recevoir une clé de décryptage.

Je me suis également rendu compte que mon petit disque dur externe qui comporte une sauvegarde de ces fichiers est lui aussi tout encrypté.

Sur mon PC, j'ai plusieurs disques dur et seulement ces deux répertoires sont touchés (fort heureusement)

Je suis sous windows 10 avec Windows defender qui n'a pas bronché.

Les fichiers "mars" datent du 02/02 en soirée. Je ne me souviens pas avoir fait quoi que ce soit à ce moment là (ni ouvert une pièce jointe d'un mail, ni téléchargé quoi que ce soit)

Mon PC fonctionne correctement. Pas de ralentissement suspect. J'ai évidemment lancé un scan antivirus qui n'a rien décelé. J'ai besoin de votre aide pour me débarrasser du virus. J'ai bien peur de devoir faire une croix sur mes fichiers vu que j n'ai pas de version précédente, ni, de sauvegarde autre et qu'à priori, aucune clé de décryptage n'a été trouvée pour ce foutu virus à ce jour.

J'ai surtout peur que le virus se réactive et infecte mes autres disques durs. J'aimerai donc bien identifier sa provenance et l’éradiquer.

Merci d'avance pour votre aide.
Malekal_morte
Messages : 112089
Inscription : 10 sept. 2005 13:57

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Ah oui, j'ai oublié de préciser : j'ai essayé d'envoyer un fichier crypté dans l'après midi pour identifier le rançongiciel, mais c'est malheureusement impossible car il y a des limites de taille or mes fichiers cryptés sont des fichiers qui pèsent entre 100 et 250mo, donc impossible à uploader...

Edit : J'ai finalement trouvé un petit fichier text que j'avais raté qui a aussi été crypté au fin fond d'un dossier, je lance donc le processus d'analyse !
Avatar de l’utilisateur
Parisien_entraide
Messages : 12029
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Parisien_entraide »

Bonjour,

Pour l'identification, sauf nouvelle version il s'agit du ransomware "MARS" qui est apparu en octobre/novembre 2020
A priori tu as l'ancienne version car la nouvelle (depuis décembre) colle une extension .vyb

Particularité : Le montant de la rançon est calculé en fonction du nombre de fichiers cryptés

Il n'y a pas de décrypteur, car chaque clé est unique par utilisateur

L'attaque arrive par le biais d'un windows pas ou mal configuré (attaque RDP et son port 3389)

"Remote Desktop Protocol). Ce protocole propriétaire, développé par Microsoft, est intégré nativement aux systèmes d’exploitation Windows et permet les connexions à distance vers d’autres machines. RDP attend les connexions sur le port TCP 3389. Il est utilisé de longue date pour l’administration de machines à distance."
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Bonjour Parisien_entraide...
Es-tu en train de me dire que je n'ai rien fait de particulier (surfé sur un "mauvais" site ou téléchargé un truc foireux, mais que j'ai subi une attaque random à cause d'un port non protégé ?

J'ai regardé en gros à quelle heure était apparus ces fichiers mars, et ils datent tous du 02/02 entre 21h et 23h... Or, à ce moment là, j'étais confortablement installée devant la tv devant un match de foot, et personne n'était sur mon pc que j'avais laissé allumé car il synchronisait des fichiers photos que j'avais récupéré en journée vers mon google drive. N'ayant qu'une petite connexion adsl, l'upload est super long !

Comment puis-je protéger ce port ? Sachant que je n'ai aucun logiciel de prise à distance de mon pc installé ?
De plus je possède une livebox ET un routeur sagem... Ne sont ils pas sensé bloquer ce port ?

Ce soir là après vérification, j'ai aussi eu des mises à jour du pack office notamment et de Google chrome, mais ces mises à jour se font en silencieux, je ne les ai pas initialisées.
Je n'ai pas installé de nouveaux logiciels depuis longtemps si ce n'est les drivers de ma nouvelle imprimante epson le 28/01.

Du coup, est ce que ça veut dire que le virus n'est plus actif sur mon pc et que je ne vais pas voir d'autres fichiers s'encrypter ?

Merci d'avance pour ces pécisions
Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Dois-je bloquer tout ceci, y compris les ports 3387 et 3389 ? Est ce que cela ne va pas bloquer mon réseau local ?
service-bureau-distance.JPG
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 112089
Inscription : 10 sept. 2005 13:57

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Malekal_morte »

Ton PC est surement derrière un routeur, donc le bureau à distance n'est pas accessible.
Et puis il n'est pas activé par défaut.
voir : https://www.malekal.com/assistance-a-di ... e-windows/

Sinon les rapports ont l'air corrects.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Super, merci pour les réponses, mais du coup, comment expliques-tu mon infection si je n'ai plus de traces sur mon PC (j'ai tout de même fait un malwarebytes hier aprem...)
Malekal_morte
Messages : 112089
Inscription : 10 sept. 2005 13:57

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Malekal_morte »

Un fichier ouvert par mail
Un téléchargement de crack ...
Difficile à dire.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Chipounettef
Messages : 10
Inscription : 10 mai 2020 16:00

Re: Mars Ramsonware ! J'ai besoin d'aide !

par Chipounettef »

Merci beaucoup Malekal_morte, c'est très instructif comme articles.
Je rage car des cracks, ça fait des années que je n'en ai pas mis un sur ma machine. Je n'ai pas souvenir d'un mail en particulier mardi, j'en supprime 90% sans les ouvrir.
Cette infection restera un mystère et c'est dommage car connaitre la source m'aiderait à identifier le problème.

Dans l'article "comment protéger son pc", j'utilise windows defender, le pare feu windows. Je vais modifier quelques réglages comme indiqué, notamment le script VBS/JS, et configurer au mieux mon pare feu (que 'javais laissé par défaut). Heureusement, ma protection ransomware était activée sur les dossiers système (j'ai rajouté mes autres dossiers).
J'ai revérifié sur Orange mes mails du 02/02, je n'ai aucune pièce jointes, beaucoup de mails estampillés spams, mais en les regardant, je ne me rappelle pas en avoir ouvert un (et ceux qui ne sont pas spams sont soit des newsletetrs officielles que je n'ai même pas lu, soit des mails légitimes. Mes mails sont gérés par thunderbird qui ne télécharge rien de lui même et ma corbeille est vidée tous les soirs lorsque j'éteins mon ordi...

Je vais être encore plus vigilante !

En tout cas merci encore pour votre aide et vos conseils !
Malekal_morte
Messages : 112089
Inscription : 10 sept. 2005 13:57

Re: Mars Ramsonware [résolu]

par Malekal_morte »

C'est bizarre que tu n'identifies pas la source.. En général, vous ous souvenez d'avoir un fichier "suspicieux" !
De rien pour les conseils !
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »