Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
433 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  problème rançonware sur domaine 30 postes | 4 VM.

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

problème rançonware sur domaine 30 postes | 4 VM.

n°3317451
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 23-08-2018 à 19:36:22  profilanswer
 

Salut.  
 
Par avance désolé pour le pavé, mais je préfère bien vous situer le problème. Merci par avance si vous prenez le temps de tout lire.
 
Déjà je vous fait un petit listing pour situer l'installation :
 
1 serveur HyperV avec 4 VM sous du Windows. Sauvegarde NAS via VEEAM.
Réseau avec 30 postes (pas administrateur) tournant sous du Win10 et Win7.
Anti-virus Bitdefender. Firwall StormShield.

 
Le problème :
 
- Lundi :
   - Je remarque sur une VM des fichiers *KRAB*.*  
   - Panique. je coupe tout. Les clichés sont corrompus. En fait ce con de rançonware s'est lancé dimanche vers 13h et a bien travaillé... 2 VM down. Aucun poste client de touché.  
   - Je restaure via le NAS (sueur froide quand au début il ne voit pas les backups) puis un rescan arrange le problème. Je restaure.
   - En parallèle scan Bitdefender et Emsisoft Emergency Kit de tous les postes (déconnecté du reseau) et... rien de probant.  
   - Le lendemain, retour à la normale... tout rentre dans l'ordre.
 
- Jeudi :
   - 15h un agent me demande de venir voir car il a une page web "étrange". En effet, page typique d'attrape con qui clignote de partout. Je "alt-F4" tout ça et lance un scan Bitdefender... et basta.
   - 15h30 un autre agent se plaint de lenteur sur sa machine. Je regarde et là... je vois du *nmcrypt*.* à la racine et dans divers dossiers... en local et en réseau.
   - Panique à bord. Je coupe tout.  
   - Bilan... j'ai les 4/5 des postes qui sont infectés en local... et les VM touchés. Le "propriétaire" de ces fichiers cryptés est "administrateurs"... c'est dingue.
 
Demain je dois embaucher à la première heure et trouver une solution... mais là hormis ré-installer tous les postes et restaurer les VM je ne vois pas de solutions. Pire, comment anticiper un retour du truc ?
 
Avez-vous du recul et des conseils sur ce genre de merde ?


Message édité par Wolfman le 17-09-2018 à 11:50:35

---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !
mood
Publicité
Posté le 23-08-2018 à 19:36:22  profilanswer
 

n°3317459
nnwldx
Posté le 23-08-2018 à 23:39:12  profilanswer
 

Le ransomware doit te créer un fichier texte pour te dire où payer ou avoir l'adresse mail du contact.
Tu regardes dans les propriétés du fichier et dans le nom du propriétaire, tu auras l'auteur de tes problèmes.
A mon avis le poste a peut être été redémarré le ransomware s'est lancé au démarrage à nouveau.

n°3317481
chermositt​o
Posté le 24-08-2018 à 09:47:02  profilanswer
 

bonjour,
C'est l'antivirus pour particulier ?

n°3317485
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 24-08-2018 à 10:04:36  profilanswer
 

Non pro. Gravityzone sur serveur etc.
Au tel avec eux là. Ils commencent à 9h30...


---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !
n°3317486
nebulios
Posté le 24-08-2018 à 10:32:04  profilanswer
 

Il va falloir tout restaurer à partir des backup oui. Et installer un antivirus pro + WSUS (voire AD s'il n'existe pas déjà). Et faire une revue des accès/permissions/versions des softs sur les machines.

n°3317488
nnwldx
Posté le 24-08-2018 à 10:40:20  profilanswer
 

C'est un antivirus pro Gravityzone, c'est la version console cloud de BitDefender.

n°3317492
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 24-08-2018 à 11:31:46  profilanswer
 

Oui je disais non pas particulier, c'est pro. Pas clair désolé. Pour eux c'est un truc brutforce après une url vérolé... qui a casse les pass admin puis go la blague.

 

Restauration des VM check.
Restauration des postes en cours...


---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !
n°3317493
nnwldx
Posté le 24-08-2018 à 11:35:26  profilanswer
 

Si c'est du bruteforce, c'est souvent du RDP ouvert sur l'extérieur.
Tu as regardé le créateur des fichiers ?

n°3317496
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 24-08-2018 à 13:45:36  profilanswer
 

Ce que je cherche.
Oui... Administrateurs (le groupe). :/


---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !
n°3317497
nnwldx
Posté le 24-08-2018 à 13:56:17  profilanswer
 

Regarde les membres du groupe administrateurs pour voir s'il n'y aurait pas de nouveaux comptes à l'intérieur.
Tous les postes sont à jours ?
Tu as accès au routeur ?
Regarde dans ton AD si tu as pas des comptes génériques avec le même login pass genre : test/test, scan/scan.


Message édité par nnwldx le 24-08-2018 à 13:58:37
mood
Publicité
Posté le 24-08-2018 à 13:56:17  profilanswer
 

n°3317523
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 24-08-2018 à 17:58:59  profilanswer
 

Compte supprimé et mdp "simple" trouvé.
Je nettoye l'AD, modifié tous les mdp (+12 carac), supprime etc... et en // réinstallation de 12 postes Win10.
Depuis 6h ce matin et j'ai pas terminé...
Je fais un backup du NAS... me reste encore 4h... avant de pouvoir relancer les VM et premiers tests.

 

Si je tenais les cons qui pondent ces merdes...

 

J'y suis depuis 6h ce matin. :o


Message édité par BillyCorgan le 24-08-2018 à 18:16:05

---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !
n°3319131
cotorep
Posté le 16-09-2018 à 21:57:34  profilanswer
 

Bonjour,
 
as tu avancé ?
rdp ouvert sur l'exterieur ?  
 
tu peux mettre en place :
 
https://www.it-connect.fr/fsrm-prot [...] nsomwares/

n°3319924
BillyCorga​n
★ Look up here, I'm in heaven
Posté le 26-09-2018 à 16:34:25  profilanswer
 

Tout remarche correctement depuis.
 
J'ai monté les niveaux de sécurité du Firewall.
Les RDP étaient ouvert, c'est corrigé. J'ai des règles strictes pour les TV et autres... plus propre.
 
Je viens de voir ton lien, c'est très intéressant et pas con comme méthode ! Je garde sous le coude car j'aimerai tester ça pour voir.
 
Sinon ce n'est pas pour faire de la pub, mais je recommande fortement Veeam Backup !  
Heureusement que j'avais ça en place pour restaurer mes VM directement fonctionnelle et cela rapidement. Super efficace, ça m'a sauvé la vie.  :D


---------------
BOWIESmashing Pumpkins ★▲★ The Outer Worlds - From the original creators of FALLOUT !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  problème rançonware sur domaine 30 postes | 4 VM.

 

Sujets relatifs
[RESOLU] problème mis a jour windows 10Problème avec Teamviewer
Ecran bleu sur pc HP problème E/S winload.efiprobleme lecture fichier audio windows 10 1803
Problème démarrage automatique des apps au lancement de Win 10Problème partitions disques durs Windows 10
Problème Ryzen 7 2700X BiosProblème suite à un dépannage
Plus de sujets relatifs à : problème rançonware sur domaine 30 postes | 4 VM.


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR