Menu

Ransomware [restore ***@***].java [Résolu]

fruitdelame - 12 mars 2018 à 10:18 - Dernière réponse : hichamaziz 22 Messages postés lundi 27 avril 2015Date d'inscription 15 mars 2018 Dernière intervention
- 15 mars 2018 à 22:28
Bonjour à tous,

J'ai mon serveur qui a été infecté par un ransomware du type "[restore ***@***].java", donc tous mes fichiers sont cryptés avec cette extension. Je trouve bizare que topic sur le net à ce sujet soit récent.

J'ai pu me débarrasser du ransomware avec l'aide de l'outil gratuit "remove" de sophos et du logiciel spyhunder que la majorité des tropics conseillé.

quelqu'un peut m'aider à descrypter mes fichier, je ne suis pas rentré en contact avec les ravisseurs, je tente tout seul. Merci si quelqu'un a une idée.

Cordialement.
Afficher la suite 

Votre réponse

11 réponses

Meilleure réponse
Malekal_morte- 151984 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 6 juin 2018 Dernière intervention - 12 mars 2018 à 10:36
1
Merci
Salt,

C'est trop tard pour tes fichiers, le mal a été fait.

SpyHunter n'a aucun intérêt, tu es tombé sur un faux site de désinfection bidon pour te le faire installer.
A lire : https://forum.malekal.com/viewtopic.php?t=12847&start=

En ce qui concerne la sécurité de ton serveur, je te conseille de lire ce dossier: https://www.malekal.com/piratage-serveur-windows-terminal-server/

Si tu veux vérifier ton ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Merci Malekal_morte- 1

Avec quelques mots c'est encore mieux Ajouter un commentaire

CCM a aidé 24709 internautes ce mois-ci

fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 12 mars 2018 à 13:49
J'ai envoyé les fichiers comme indiqué.

Merci.
Commenter la réponse de Malekal_morte-
bazfile 11286 Messages postés samedi 29 décembre 2012Date d'inscriptionContributeur sécuritéStatut 6 juin 2018 Dernière intervention - Modifié par bazfile le 12/03/2018 à 10:56
0
Merci
Bonjour,
Fait ce qui est indiqué juste au-dessus et essaie de décrypter avec RakhniDecryptor.



bazfile contributeur sécurité.
fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 12 mars 2018 à 13:48
Je tente maintenant avec le rakhnidecryptor et vous tiens informer.

Merci
fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 12 mars 2018 à 14:07
Ca n'a rien donné, il ne connait pas ce genre de fichier.

Merci pour votre intention. Le problème est que je n'ai aucune sauvegarde de ce serveur.

Merci encore
Commenter la réponse de bazfile
fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 12 mars 2018 à 13:33
Commenter la réponse de fruitdelame
Malekal_morte- 151984 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 6 juin 2018 Dernière intervention - Modifié par Malekal_morte- le 12/03/2018 à 13:49
0
Merci
C:\Users\Administrateur\AppData\Local\resmon.resmoncfg.id-DA14639E.[restorehelp@qq.com].java


Dharma ransomware.
Tu peux tenter le lien de bazfile pour récupérer les fichiers.
Mais en général, quand un programme qui permet de décrypter est mis en ligne, le ransomware est corrigé par la suite.
Tente aussi les versions précédentes avec shadow explorer : https://www.malekal.com/versions-precedentes-de-fichiers-windows/
Mais là aussi le ransomware les supprime.

J'imagine que ça ouvre les instructions de paiements ?

Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()


il y a des restes de RegClean qui est un utilitaire très limite.
SpyHunter sert à rien.

histoire de nettoyer les restes, ce script fait redémarrer le serveur.
Ensuite, vérifie les comptes utilisateurs qui ont un accès TSE.

Peut-être aussi vérifier la configuration IIS, vu qu'un des scripts tourne sur cet utilitaire.
Des services réseaux sont accessibles depuis internet ?

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



Commenter la réponse de Malekal_morte-
fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 12 mars 2018 à 18:56
0
Merci
Malekal_morte-

Voici le contenu du log après le fix.

Merci encore pour votre aide. Je dois faire le restauration du système via un DVD, car il y'a certains fichiers systèmes tel que le fichier du management du serveur qui ont été crypté par notre ami le ravisseur. Et ensuite procéder aux installations des applications utiles.

Encore un grand merci.


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.03.2018 01
Exécuté par Administrateur (12-03-2018 17:04:55) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop\fixFRST
Profils chargés: Administrateur (Profils disponibles: IIS & Administrateur & MSSQL$ARADIAL_WIFLY & MSSQLFDLauncher$ARADIAL_WIFLY & SQLAgent$ARADIAL_WIFLY & Classic .NET AppPool & .NET v4.5 & .NET v2.0 & .NET v4.5 Classic & .NET v2.0 Classic)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"C:\Program Files (x86)\RCP" => non trouvé(e)
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_UPDATES => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2038A4A3-3E31-40A9-96C5-7471A3037366}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{500C1435-9F4E-4D3D-833E-2F17778F9E6A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D580D423-C8C8-40F3-B880-85258F11805B}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9961980 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21033564 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1564831 B
Edge => 0 B
Chrome => 20728148 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
IIS => 66344 B
Administrateur => 603015 B
MSSQL$ARADIAL_WIFLY => 0 B
MSSQLFDLauncher$ARADIAL_WIFLY => 0 B
SQLAgent$ARADIAL_WIFLY => 0 B
Classic .NET AppPool => 0 B
.NET v4.5 => 0 B
.NET v2.0 => 0 B
.NET v4.5 Classic => 0 B
.NET v2.0 Classic => 0 B

RecycleBin => 11044278 B
EmptyTemp: => 62 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 17:04:58

Malekal_morte- 151984 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 6 juin 2018 Dernière intervention - 12 mars 2018 à 19:15
ok, sécurise bien les accès aux services réseaux car sinon ça va revenir tôt ou tard.
fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 13 mars 2018 à 14:25
Merci beaucoup
hichamaziz 22 Messages postés lundi 27 avril 2015Date d'inscription 15 mars 2018 Dernière intervention > fruitdelame 6 Messages postés lundi 12 mars 2018Date d'inscription 13 mars 2018 Dernière intervention - 15 mars 2018 à 22:28
merci
Commenter la réponse de fruitdelame