Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
399 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Ransomware Sodikonibi

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Ransomware Sodikonibi

n°3347378
johnwayne1​412
Posté le 04-07-2019 à 23:08:13  profilanswer
 

Bonsoir à tous,
une amie a son PC crypté par un ransomware qui a rajouté l'extension .3o6x8 à tous ses fichiers.
 
Ca parle à quelqu'un?
Il existe une solution de décryptage?
 
PS :j'ai aussi commencé un nettoyage du PC avec avast antivirus + MalwaresBytes. Vous me conseillez quoi d'autre?


Message édité par Wolfman le 05-07-2019 à 23:17:59
mood
Publicité
Posté le 04-07-2019 à 23:08:13  profilanswer
 

n°3347385
Z_cool
Oups !
Posté le 05-07-2019 à 07:29:06  profilanswer
 

Format C:
puis restorer son dernier backup de ses documents.


---------------
On a deux vies, et la deuxième commence quand on se rend compte qu’on n’en a qu’une. ( Confucius )
n°3347391
nex84
Dura lex, sed lex
Posté le 05-07-2019 à 08:57:19  profilanswer
 

Tu peux tenter de trouver un utilitaire de déchiffrement sur le site créé par Europol : https://www.nomoreransom.org/fr/decryption-tools.html  
 
Sinon c'est foutu et il faut réinstaller comme le dit Z_cool.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Quand on ne sait pas, on ne fait pas ou on ne se plaint pas !
n°3347397
mosco
Posté le 05-07-2019 à 10:50:05  profilanswer
 

Bonjour,
Par quelle cause ce ransomware est-il parvenu à infecter le PC?

n°3347399
johnwayne1​412
Posté le 05-07-2019 à 11:27:19  profilanswer
 

Le pb c'est qu'elle ne sait pas... C'est une personne d'un certain age (55 ans), pas tres à l'aise avec l'informatique.
 
Sa clef USB de sauvegarde a été cryptée également...(oui je sais ce n'est pas un moyen de sauvegarde suffisant)

n°3347400
nnwldx
Posté le 05-07-2019 à 12:17:33  profilanswer
 

C'est un Windows 7 ?

n°3347420
johnwayne1​412
Posté le 05-07-2019 à 18:05:58  profilanswer
 

ci dessous le message contenu dans les fichiers txt à la base de chaque repertoire :  
 
---=== Welcome. Again. ===---
 
[+] Whats Happen? [+]
 
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion 3o6x8.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
 
[+] What guarantees? [+]
 
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
 
[+] How to get access on website? [+]
 
You have two ways:
 
1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: https://torproject.org/
  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zc [...] B6DCD88635
 
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor.top/5BB5DDB6DCD88635
 
Warning: secondary website can be blocked, thats why first variant much better and more available.
 
When you open our website, put the following data in the input form:
Key:
 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 
 
 
Extension name:
 
3o6x8
 
-----------------------------------------------------------------------------------------
 
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

n°3347421
johnwayne1​412
Posté le 05-07-2019 à 18:08:24  profilanswer
 

A priori, le ransomware s'appelle SODINOKIBI
 
https://www.bleepingcomputer.com/ne [...] c-servers/


Message édité par johnwayne1412 le 05-07-2019 à 18:13:58
n°3347425
nnwldx
Posté le 05-07-2019 à 18:47:32  profilanswer
 

il y a l'air d'y avoir des similitudes avec GrandCrab
https://www.zdnet.com/article/sodin [...] -zero-day/
 
Pour l'instant, pas de solution, mais il y a une petite chance qu'il soit déchiffrer par la suite.

n°3347428
AmigaOnly
Posté le 05-07-2019 à 20:46:50  profilanswer
 

nnwldx a écrit :

il y a l'air d'y avoir des similitudes avec GrandCrab
https://www.zdnet.com/article/sodin [...] -zero-day/
 
Pour l'instant, pas de solution, mais il y a une petite chance qu'il soit déchiffrer par la suite.


 
L'article Zdnet est en date du 4 juillet, mais peut être qu'il commence à franchir l'atlantique
 
 
Déja croisé au 15 juin https://forum.malekal.com/viewtopic.php?f=3&t=62985
 
Sinon en FR https://www.malekal.com/ransomware-sodinokibi/


---------------
Only Amiga is... Heu.. was possible :-)
mood
Publicité
Posté le 05-07-2019 à 20:46:50  profilanswer
 

n°3347669
johnwayne1​412
Posté le 09-07-2019 à 09:31:13  profilanswer
 

un nouvel article sur THE ransomware de l'année...
https://www.undernews.fr/malwares-v [...] ndows.html
 
Un espoir de décrypteur à venir :  

Citation :

Mais la découverte la plus intéressante a été la découverte d’une « clé maîtresse » dans le code de Sodinokibi, qui sert de porte dérobée au processus de chiffrement, et permettant au créateur de Sodinokibi de déchiffrer n’importe quel fichier victime du malware, quelles que soient les clés de chiffrement publiques et privées utilisées pour le verrouillage des données d’une victime !



Message édité par johnwayne1412 le 09-07-2019 à 09:32:07

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  Ransomware Sodikonibi

 

Sujets relatifs
Ransomware et cryptage de fichiersdésinfection ransomware
ransomware inconnuransomware grandcrab
MAJ RDP victime du ransomware BlackoutRansomware, que faire avant de remettre des données saines ?
tout mes docs crypté par le virus ceber Ransomwareransomware Locky
Ransomware RSA 4096je suis tombé sur une page ransomware
Plus de sujets relatifs à : Ransomware Sodikonibi


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR