Fichiers de mon nas renommés en muhstik par virus [Résolu]

-
Bonjour,  je rencontre un problème avec mon NAS ,cette nuit, il a visiblement  été touché  par un virus ( apparemment  muhstik) qui a renommé pas mal de fichiers que j'avais , comment faire pour les récupérer avec leur nom d'origine et pouvoir les ouvrir normalement ? 

Merci beaucoup 

Maeva 
Afficher la suite 

2 réponses

Meilleure réponse
Messages postés
170937
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 octobre 2019
17589
1
Merci
Salut,

Un crypto-ransomware a chiffré les documents du NAS
Il faut voir si ce sont seulement des partages ou tout l'ensenble du NAS.

En effet si ce ne sont que des partages, ton PC a pû être utilisé comme point d'entré.

Sinon c'est une attaque directe sur le NAS s'il est accessible par internet. Vérifiez les mises à jour firmware pour corriger des vulnérabilités.

L'attitude à suivre :
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
  • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


Plus d'infos : Ransomware : solution pour récupérer les fichiers


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 62376 internautes nous ont dit merci ce mois-ci

j'ai tenté une récupération avec ECh0raixDecoder trouvé sur bleepingcomputer.com
en mode recherche de clé avec 2 fichiers cryptés, il ne reconnait pas les fichiers cryptés, impossible de lancer la recherche...
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
J'ai du nouveau! c'est Steve, je me suis inscrit pour essayé de faire avancer les choses.
Je me suis rendu sur le lien du readme.txt, le pirate propose d'uploader un fichier crypté et renvoie un lien de fichier démo décrypté.dans le code de la page j'ai trouvé l'url à laquelle le fichier est envoyé sur son site, bien sur on tombe sur une page blanche mais en remontant d'un dossier dans l'url je suis tombé sur dossier non protégé avec des scripts php et..... un fichier python qui me semble etre le script de décryptage. je test ça et donne des nouvelles
Malekal_morte-
Messages postés
170937
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 octobre 2019
17589 > fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Oui mais le script ne fait pas tout, il faut surtout la clé de déchiffrement qui doit être stockée ailleurs.
> fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Bonne trouvaille Steve....tiens nous au jus...
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
J'ai essayé de voir ce qu'il y a dans le fichier python avec wing mais il est illisible à 90%. Il me sort une erreur d'encodage à l'ouverture. "Could not convert all characters when reading it as a cp1252 encoded file"
Je connais pas assez python pour le moment. Si quelqu'un à une piste je prends. Pour le décryptage, si son site est capable de le faire, la clé doit pas être loin. Je suis à deux doigts de sortir KALI du tiroir...
Commenter la réponse de Malekal_morte-
Messages postés
170937
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 octobre 2019
17589
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Je viens de tester l'outil de decryptage. Ça marche pour nous !!
Malekal_morte-
Messages postés
170937
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 octobre 2019
17589 > fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Cool :)
Je passe le sujet en résolu !

Par contre, on ne connaît pas trop le vecteur.
Mettez bien à jour le NAS.
Tu as un PHPMyAdmin accessible depuis internet ?
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Oui il y avait phpMyAdmin, tous les ports ouverts ssh, ftp etc... Le compte admin du NAS utilisé sur les tous les postes pour le partage smb. Dmz et upnp activé sur la box enfin bref, la passoire par excellence... J'ai tout refermé, créé un compte par utilisateur avec droits specifiques et autorisé que les connexion avec ip locale. L'intranet de la boite était hébergé sur le NAS du coup on à pris un hebergeur en cloud. Maintenant on s'en sert juste pour le partage de fichier local.
fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
Je suis arrivé dans l'entreprise 3 jours avant l'attaque. Jai eu des sueurs froides... Heureusement que la solution est sortie rapidement ! En tout cas merci beaucoup pour ton aide !!!
Malekal_morte-
Messages postés
170937
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
13 octobre 2019
17589 > fakir974
Messages postés
5
Date d'inscription
mercredi 2 octobre 2019
Statut
Membre
Dernière intervention
8 octobre 2019
-
ha ouais la vache SMB carremment ok.
Ben de rien. =)
Vous avez eu bcp de chance quand même, car les outils de déchiffrement sont rares surtout à cette vitesse.
Commenter la réponse de Malekal_morte-