Signaler

Ransomware .CrySis [Fermé]

Posez votre question zakazak - Dernière réponse le 13 janv. 2017 à 18:42 par Malekal_morte-
Bonjour,

j'ai une installation qui viens de se faire infecter par un crypto inconnu, je ne trouve rien le concernant sur le net.
Tous les fichiers touchés sont renommés en *.CrySiS

avez-vous des info ?

je ne trouve aucun fichier de rançonnage (ex:help_decrypt)

je trace le poste qui a déclenché ce truc mais je ne trouve pas encore.

Help !

je tien a noté que celui là semble crypter n'importe quel fichier (seul certains fichiers en cour d'utilisations sont sauf)

il crypte les fichier de base de donnée quadra et sage.

il crypte les PST et les OST alors qu'il étaient en cour d'utilisation Oo...

le virus semble se propage poste a poste (plusieurs postes local touchés et le cryptage est fait a la même heure, a 1 minute près)
Afficher la suite 
Utile
+0
plus moins
Salut,

Je vais aller à la pêche aux infos.


~~


Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur *** A COMPLÉTER *** et supprime les fichiers trouvés.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Utile
+0
plus moins
Concernant les postes touchés ils seront formaté intégralement par sécurité.

les fichiers des serveurs serons restaurés.

par contre l'aspect multi-poste me fait peur.

De plus les autres du genre ne pouvaient pas crypter les fichiers de Bases De Données, ce qui ne semble pas ennuyer celui là outre mesure.

J'ai déjà trainé sur le net et le nom du virus génère un grand nombre de faux positifs à cause du jeux éponyme. Bref je suis dans la mouise.

Il s'agit plus d'un pavé dans la marre en espérant que le cryptage soit pas trop complexe, histoire de voir si on peut récupérer quelque chose.

Au pire les prochaines victimes de cette saleté aurons un début de référencement.
zakazak- 15 févr. 2016 à 18:14
Ha !

Et plus étrange il n'a générer aucun fichier demandant une quelconque rançon, chose assez singulière pour être noté.
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 15 févr. 2016 à 18:19
Il est nouveau car quelqu'un d'autre m'en a parlé aujourd'hui.
Là sans plus d'informations, c'est difficile à dire.
Pour ce qui est des serveurs etc... la plupart des ransomwares cherchent à chiffrer tout : UNC, lecteurs réseaux etc...
donc dans un réseau d'entreprise, ça fait mal, car ça chiffre toutes les ressources où l'utilisateur a accès.
zakazak- 15 févr. 2016 à 19:04
Si seulement je pouvais mettre la main sur les comiques qui créer ces truc.... j'irais sans doute en prison après.
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 15 févr. 2016 à 20:06
ouaip contrairement aux malwares persistant (bot etc)
les ransomwares, c'est comme les stealers, suffit que ça tourne 5min pour faire mal.
du coup, ça permet de toucher pas mal de machines.
Utile
+0
plus moins
du coup je ne trouve même pas par où il est rentrer.

J'ai passé tous les mails à la loupe, nada.

pas d'historique louche ou d'installation logiciel.
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 16 févr. 2016 à 11:47
Si c'est venu à partir d'un poste client, c'est Mail ou Web ExploitKit.
Si c'est venu par le serveur, c'est souvent par du Bruteforce RDP, par exemple ce groupe visait que des entreprises et chiffraient les serveurs de fichiers : OMG/LOL Crypto-Ranwomware.
Utile
+0
plus moins
Bonjour à tous,

j'ai également eu ce problème de mon côté. le problème est apparu dans la journée de dimanche alors que personne ne pouvait utiliser de machine.

après quelques recherches, je me suis aperçu que le malware est entré par une connexion d'un serveur RDP via un utilisateur qui n'était pas utilisé. j'ai trouvé dans ce profil RDP le message indiquant l'infection.

il semblerait que ce malware ne se soit pas intégré via un email mais via l'IP Fixe.

je n'ai aucune certitude là dessus, c'est uniquement un constat de ma part
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 16 févr. 2016 à 14:41
ok même tactique que OMG/LOL ransomware, c'est peut-être le même groupe, faudrait voir le message contenant les instructions s'il est identique.

Si tu as un sample de disponible => http://upload.malekal.com
zakazak- 16 févr. 2016 à 16:46
c'est ça qui est GENIAL !

il n'y a aucun fichier d'instruction créé.

c'est crypté et c'est tout
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 17 févr. 2016 à 11:08
Surement parce qu'il est pas allé jusqu'au bout, j'imagine.
Utile
+0
plus moins
Rien à voir, mais lui devrait faire mal, comme TeslaCrypt en Décembre, il y a une campagne de Word Malicieux.
=> Ransomware Locky.
Attention aux PJ !
Utile
+0
plus moins
Bonjour,

je confirme le même phénomène samedi 13 Février vers 22 H 30 et de nouveau mercredi soir à la même heure. J'ai beaucoup de chance mes sauvegardes se sont fini 3/4 H avant ...
Je n'ai toujours pas identifié la source, mais je pense que cela provient d'une connexion rdp ...

A+ Stafi200
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription Contributeur sécuritéStatut 23 mars 2017 Dernière intervention - 17 févr. 2016 à 19:00
Si vous avez un sample (bon si c'est le même groupe qu'OMG/LOL Ransomware, souvent, il lance le bordel et laisse rien) ou au moins le message de rançon, je suis preneur =)
zakazak- 18 févr. 2016 à 14:54
et bien au moins je me sent moins seul.

Navré de l'entendre Stafi200
Utile
+0
plus moins
C'est bon, j'ai eu un sample et la personne m'a confirmé que c'est par du RDP.
Par contre, je doute que ce soit le même groupe que OMG/LOL Ransomware, ça fait vraiment N00b, celui là.

=> j'ai mis à jour .Crysis Ransomware

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
fab- 30 mars 2016 à 12:52
pour info , y en a un nouveau sorti hier qui a l'air bien sympa:

http://korben.info/petya-ransomware.html
Répondre
scoudret- 13 janv. 2017 à 11:50
Bonjour, existe t'il depuis une manière de récupérer les données lorsque l'on a été piraté par crysis ?
Répondre
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 23 mars 2017 Dernière intervention - 13 janv. 2017 à 11:55
Salut,

Normalement non, voir La fiche Crysis, tu as des liens à la fin.
Je t'invite aussi à prendre connaissance du premier paragraphe... Si c'est un serveur qui a été piraté, il n'est pas sécurisé.
Répondre
scoudret- 13 janv. 2017 à 14:14
C'est un collègue, c'est en effet le serveur mais si j'ai bien compris l'attaque est entrée par l'imprimante. Ils ont fait ce qu'il fallait depuis avec leur service informatique, mais je trouvais bizarre qu'aucune solution ne soit trouvée pour récupérer les données. Ok merci.
Pensez vous qu'il soit nécessaire de garder les DD, afin qu'un jour ils récupèrent leurs données ou est ce vraiment définitivement fichu ?
Répondre
Malekal_morte- 127700Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 23 mars 2017 Dernière intervention - 13 janv. 2017 à 18:42
Vous n'avez pas de sauvegardes ?
Sinon vous pouvez garder les fichiers oui... 1 an, après je pense qu'il faut oublier pour des solutions.
Répondre

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !