Fichiers de mon nas renommés en muhstik par virus
Résolu/Fermé
Maeva
-
Modifié le 7 oct. 2019 à 23:23
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 oct. 2019 à 13:38
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 oct. 2019 à 13:38
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié le 1 oct. 2019 à 09:27
Modifié le 1 oct. 2019 à 09:27
Salut,
Un crypto-ransomware a chiffré les documents du NAS
Il faut voir si ce sont seulement des partages ou tout l'ensenble du NAS.
En effet si ce ne sont que des partages, ton PC a pû être utilisé comme point d'entré.
Sinon c'est une attaque directe sur le NAS s'il est accessible par internet. Vérifiez les mises à jour firmware pour corriger des vulnérabilités.
L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
Un crypto-ransomware a chiffré les documents du NAS
Il faut voir si ce sont seulement des partages ou tout l'ensenble du NAS.
En effet si ce ne sont que des partages, ton PC a pû être utilisé comme point d'entré.
Sinon c'est une attaque directe sur le NAS s'il est accessible par internet. Vérifiez les mises à jour firmware pour corriger des vulnérabilités.
L'attitude à suivre :
- Garde les fichiers touchés par le ransomware.
- Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
- Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.
Plus d'infos : Ransomware : solution pour récupérer les fichiers
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
7 oct. 2019 à 14:14
7 oct. 2019 à 14:14
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
7 oct. 2019 à 23:17
7 oct. 2019 à 23:17
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
8 oct. 2019 à 09:55
8 oct. 2019 à 09:55
Je viens de tester l'outil de decryptage. Ça marche pour nous !!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
Modifié le 8 oct. 2019 à 10:37
Modifié le 8 oct. 2019 à 10:37
Cool :)
Je passe le sujet en résolu !
Par contre, on ne connaît pas trop le vecteur.
Mettez bien à jour le NAS.
Tu as un PHPMyAdmin accessible depuis internet ?
Je passe le sujet en résolu !
Par contre, on ne connaît pas trop le vecteur.
Mettez bien à jour le NAS.
Tu as un PHPMyAdmin accessible depuis internet ?
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
8 oct. 2019 à 12:27
8 oct. 2019 à 12:27
Oui il y avait phpMyAdmin, tous les ports ouverts ssh, ftp etc... Le compte admin du NAS utilisé sur les tous les postes pour le partage smb. Dmz et upnp activé sur la box enfin bref, la passoire par excellence... J'ai tout refermé, créé un compte par utilisateur avec droits specifiques et autorisé que les connexion avec ip locale. L'intranet de la boite était hébergé sur le NAS du coup on à pris un hebergeur en cloud. Maintenant on s'en sert juste pour le partage de fichier local.
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
8 oct. 2019 à 12:31
8 oct. 2019 à 12:31
Je suis arrivé dans l'entreprise 3 jours avant l'attaque. Jai eu des sueurs froides... Heureusement que la solution est sortie rapidement ! En tout cas merci beaucoup pour ton aide !!!
1 oct. 2019 à 11:38
Mon NAS est accessible sur internet, j'ai récemment mis à jour le firmware du NAS.
Je n'arrive plus à accéder à l'interface d'administration du NAS. Quand je tape url d'administration de mon NAS via mon PC, j'ai un message (Apache) comme quoi je n'ai pas la permission (You don't have permission to access / on this server.)
Les connexions actives sur mon pc m'a permis de voir les fichiers et de récupérer les rares fichiers non touchés.
Le site que tu as conseillé a identifié le ransomware : CryPy et il est en cours d'études, donc non décryptable par KeRanger.
J'ai vu dans les répertoires un fichier readme.txt demandant une rançon. Je me suis rendu à leur lien et il y a bien une rancon demandée. Ils ont envoyé un fichier démo, 'un de mes fichiers décryptés.
Je ne sais plus quoi faire
Maëva
1 oct. 2019 à 14:12
Je pense que tu devrais remettre à zéro le NAS, faire les mises à jour et espérer qu'une solution soit trouvée par la suite.
2 oct. 2019 à 11:05
toutes les extensions les plus courantes ont été renommées en .muhstik. il s'agit d'un NAS Qnap.
Pour information, les fichiers dont la première lettre est en majuscule n'ont pas été touchés (ex: .Jpeg, .Pdf...)
Cela peut être un moyen de se protéger...
J'ai copié tout le contenu du NAS sur un disque externe en attendant un décrypteur fonctionnel.
Votre réponse m'a beaucoup aidé. j'ai posté un échantillon sur IDransomware, il s'agit bien de CryPy.
2 oct. 2019 à 11:21
J'imagine que vous avez le même modèle de NAS ?
Ca touche lequel ?
2 oct. 2019 à 11:28