Bonjour tout le monde,
 
J'ai un serveur d'un de mes clients qui a choppé un virus qui renomme les fichiers ( extension .omg ) qui crypte les fichiers et qui crée des fichiers txt HOW TO GET DATA avec une clé etc .
 
Impossible de le supprimer on a déjà essayé : malwarebytes, mlb decrytor afin d'essayer de décrypter les fichiers, spy hunter , roguekiller ..  
 
Avez-vous déjà eu cette saloperie ?
 
Merci

bonjour,
 
j'ai exactement le même problème chez un de mes clients, serveur tse , a la suite d'un email il a cliqué sur la pj et voila le résultat...
je cherche aussi mais ça me parait pas évident, si vous trouvez la solution je suis preneur !  
bon courage

Je vous conseillerais à tous les deux de faire un scan hors Windows, c'est possible que ce genre de virus empêche vos logiciels de désinfection de correctement fonctionner. Essayez de vous créer un DVD ou une clef USB de Kaspersky Rescue Disk (gratuit) puis d'analyser vos disques avec.
 
Pour le déchiffrage des fichiers, je pense que c'est mort cependant.

Me semble que sur le forum de Malekal on peut trouver un utilitaire qui permet de retrouver la clé de cryptage en comparant un backup sain et sa version cryptée.

Un serveur ?

Pour ces infections soit il y a une faille de sécurisation, soit une faille logicielle exploitée, problème d'administration, bref, une possible intrusion (si le serveur n'est pas relié à un poste client et qu'il fasse passerelle vers l'extérieur c est à dire internet)

Dans la version "normale" liés à ces infections (on y trouve les ransonware type gendarmerie etc) c'est lié à l'accès à un site "douteux", un téléchargement de cracks etc donc à un accès internet via un browser, une pj dans un courrier (hotmail est à bannir)
(là on suppose que le serveur à un accès internet pour sa gestion et/ou qu'il fasse passerelle)

Pour le coté crypté je te conseille la lecture de cela :

http://www.malekal.com/2012/04/12/ [...] documents/

Mais il y a pire qui n'est pas évoqué dans ce lien, : dirtydecrypt, qui maintenant dans sa version depuis quelques temps, ne permet pas le décryptage, car le programme stocke des clefs différentes pour chaque fichier de manière cryptée
C'est impossible à cracker pour restaurer le fichier d'origine

Kasperky avait dit :

   "The encrypting algorithm in the program is quite tricky it stores key used for files encryption in encrypted way. And the key can be decrypted back only at the server side in case if user has already paid.
    Encryption algorithm RC4 + RSA1024 can't be cr*cked."

http://www.malekal.com/2013/07/09/ [...] interieur/

Essaie cela si il s'agit d'un ransonware "classique" :

http://www.malwareremovalguides.in [...] rasom-exe/

Par contre cela ne sert à rien de décrypter si l'infection est toujours présente

Pour se faire désinfecter :

http://forum.malekal.com/virus-aid [...] ijack.html

Sinon il serait bien se sécuriser le serveur (une liste de hosts à bannir par ex est le minimum)

IMPORTANT : Lors d'une infection ou supposée infection, il faut éviter de passer tout un tas de programme, espérant d'un coup de baguette magique éradiquer le problème. Cela peut apporter plus de problèmes
                    Il est important AVANT de procéder à une analyse (OTL par ex), meme si la plupart des infections mineures (les plus nombreuses) sont éradiquées par ces programmes

MalwareBytes ne voit pas toutes les infections, tout comme les Adwcleaner etc  (idem certains progrs d'analyse comme HijackThis) et d'autres programmes s'utilisent après une analyse car si appliqués sur une mauvaise infection, le redemarrage du PC infecté se soldera par un BSOD

 
Un mail de ce genre je suppose :  
 
http://www.malekal.com/2012/07/10/ [...] e-windows/
 
Sinon procédure donnée en réponse au post initial

Merci pour vos réponses Sinon, la problème est survenu lorsqu'un employé à accéder sur le serveur et elle a du faire une manipulation foireuse et voilà
 
Sur ce lien : http://www.malekal.com/2012/04/12/ [...] documents/
 
Le fichier HOW TO DECRYPT Files qui correspond le plus est le tout dernier edit du 16 septembre  
 
Cela ne sent pas bon

Et bien expose déja le pb sur le site Malekal pour virer l'infection (normalement c'est un serveur avec une politique de sauvegarde, donc en cas extreme il suffit de restaurer)
Ensuite pour les fichiers, c'est la roulette russe

Le lien que j'ai donné

http://www.malwareremovalguides.in [...] rasom-exe/

est celui qui ,actuellement, suit au plus près les décryptages de fichiers donc si son prog ne fonctionne pas, c'est mal parti... (surtout avec la nouvelle mouture de dirtydecript que l'on trouve avec les ransomcrypt dont j'ai donné le descriptif un peu plus haut)

Par contre il est dommage d'avoir appliqué tout un tas de programmes (qui ont PEUT ETRE viré l'infection) car il aurait été bien d'avoir la source de l'infection pour analyse (ce qui aurait pu aider pour solutionner le problème)

Ensuite voir ce qu'a fait l'employé exactement (pour éviter de fururs problèmes)

Salut,
 
Une intrusion :  
 
Y'a bien un truc qui me gave sérieusement !
 

 
C'est par là qu'il faut commencer. Trouver la source de l'infection !!
 
Les outils qui ont été utilisés laisses des rapports derrière eux, il vous suffit des les demander, des backups sont possibles, ces outils ont des quarantaines. Vous m'avez dit que vous intervenez chez malekal, donnez moi votre pseudo que je rigole un peu ! (je n'arrive pas à la cheville de Malelal et de son staff, mais je sais de quoi je parle)
 
Facile de donner des liens vers le site de Malekal que tout le monde peut trouver avec son moteur de recherche préféré. Mais sont ils adaptés à la situation puisque l'on a pas la nature même de l'infection !!
 
La seule chose que je retiens dans vos posts  : ouvrir un compte chez Malekal et se faire désinfecter le serveur incriminé. J'ajoute pour vous administrateurs trouvez les failles de sécurité et les combler par les mises à jour.
 
Fin de l'intrusion, je sors. Désolé d'avoir quelque peu trollé ce post, mais parfois il vaut être un tantinet sérieux surtout en termes de véroles.

Et bien relis avant de t'énerver

Dans le post initial il est dit :

"on a déjà essayé : malwarebytes, mlb decrytor afin d'essayer de décrypter les fichiers, spy hunter , roguekiller ..  "

Dans ce que j'ai écris j'ai bien rappelé qu'avant toute intervention il fallait analyser et non utiliser tout un tas de programmes en espérant virer l'infection

Ensuite dans le post initial il est dit que l'usage des outils n'a rien viré, donc tout est à faire non ?

Si j'indique le lien Malekal c'est pour une bonne raison

Les post de logs sont interdits
Le forum hadware.fr n'est pas un site lié à la désinfection
Malekal est un site sérieux, et de plus a de la lecture pour prendre conscience des risques encourus
Tu dis qu'il est facile de donner le lien Malekal, mais si les gens viennent ici et exposent leur problème c'est... qu'ils ne connaissent pas. (normal,  la majorité des gens commencent à s'inquiéter que le jour où ils ont une infection et arrivent ici en majorité)
Ensuite si tu relis, les premiers liens donnés sont informatifs pour indiquer à quoi s'attendre (le plus gros pb n'est pas l'infection mais le cryptage des fichiers)

Tu es un des rares à savoir utiliser les rapports ZHP, mais tu oublies que contrairement à un site spécialisé, un thread est ouvert à tout le monde et justement TOUT LE MONDE peut y mettre son grain de sel en conseillant d'utiliser tel ou tel outil, alors qu'aucune analyse n'a été faite

Edit (pour le rapport ZHP):

Dans le thread chez Malekal tu trouveras des rapports exploitables ZHP  (ou OTL si tu as la version helpeur)

http://forum.malekal.com/extention [...] 44686.html

Ensuite tu noteras que Malekal ne dit rien de plus que ce que j'ai indiqué

- Intrusion   (windows server)
- Nettoyage effectué ce qui est génant pour retrouver la source (Ransonware évidemment mais il y en a des multiples qui peuvent s'appuyer sur ce qui est appelé "virus gendarmerie/police/hadopi , ou Botnets Là sans analyse il est évident qu'il s'agit d'un trojan de la famille Trojan-Ransom)
Confirmé du reste via l'analyse puisqu'on y trouve pour l'un d'eux un "xoristdecryptor.zip"

Bref, tout cela pour ne rien dire et surtout ne pas faire avancer le topic.
 
Rendez vous avec Amiga Only sur Malekal les gars, là au moins vous aurez de l'aide sérieuse pour le cas qui vous préoccupe.  
 
Et au fait, on doit être plusieurs centaines voir de milliers dans le monde à savoir lire et interpréter les rapports ZHPDiag, OTL, DDS et autre (je préfère ZHPDiag, c'est Français   ). Pour info OTL n'est plus pris en charge par ZHP.
 
Pour conclure : Perso, je ne préfère pas toucher aux serveurs des pro, je reste à mon petit niveau avec mes maigres compétences que je tente de mettre au service du forum virus/spyware "non dédié aux véroles" de Hardware.fr (voilà qui va faire plaisir aux admins....)
 
Encore désolé messieurs pour cet ultime intrusion, que voulez vous ! Je sais que le staff de Malekal se fera le plaisir de vous aider avec tout leur sérieux et leurs compétences.
 
++

Ben qu'est ce que tu aurais fais de plus avec un rapport ZHP ?

Quelle solution aurais tu apporté aux vues de l'infection et du cryptage ?

Chacun ses outils de prédilection...

Rien ne t'empeches d'aider et ton aide est appréciée par ceux dont tu t'occupes

Du coup c'est toi là qui se fend d'un " tout cela pour ne rien dire"

@romz08 et sebdem :
 
Pour faire avancer votre topic et en réalité y mettre un terme, je me suis tout de même penché sur le problème.
 
Quelques recherches et voici "une" des multiples conclusions sur ce sujet qui est sans appel : (j'ai pris soin de cibler chez mon confrère Malekal_morte allez savoir pourquoi !   , romain08 = romz08 ?  )
 
Sujet sur l'infection
 
En gros, c'est mort, il n'existe pas de solution pour récupérer les fichiers.
 
Ce topic est donc dead !
 
Désolé pour vous et surtout pour vos clients.  
 
A retenir pour l'avenir : conserver au format .zip les samples de fichiers suspects pour éventuelles analyses. Vérifier vos mots de passe, et surtout faites vos mises à jour sans attendre.
 
++

 
 
T'as pété un plomb ou ce sont tes nettoyages qvp6 qui te montent à la tête ?
 
 
Un topic est fermé lorsque celui qui l'a initié l'a décidé (ou un modo)
 
 
Ton avis est comme le mien, celui qui a initié le post le lit, en tient compte ou pas. Tu n'es qu'un intervenant, tout comme moi et ceux qui répondent et tu n'as aucun droit sur un topic
 
 
 
 
Tu n'a pas été bien loin effectivement, puisque le lien figurait déjà au dessus.  
Normal le topic ouvert chez Malekal a été initié par eux
 
 
 
 
 
Bravo Maitre malwarebleach.  
 
En l'état actuel tu n'en sais rien, meme si les sauvegardes sont affectées. Parce qu'il existe encore une solution
Comme tu t'inspires des lectures de Malekal que tu conchies mais que tu envies pour tes désinfections tu y verras de quoi il en retourne  
 
 
 
Bis repetita
 
Curieux, celui de Malekal se poursuit au moment où j'écris.
 
Du reste celui qui a initié le post, si il trouve une solution, peut avoir l'envie dans un souci d'information et d'entraide, d indiquer la marche à suivre, pour aider de futurs internautes confrontés au meme problème

 
Ah ben zut non, il ne peut pas, puisque Maître malwarebleach à décrété que le topic et fermé et "dead", suis-je bête
 
 
 
 
Admin système c'est un métier et pour info,  l'intrusion système n'est malheureusement pas limitée qu'à des mots de passe et des mises à jour (du reste c'est ingénierie sociale qui est le plus utilisée, car facile à mettre en oeuvre, et ciblant l'humain, qui, présentant des faiblesses ne se patche pas)

bonjour, désolé de relancé ce post mais il semble que je soit infecter par cette saleté  
 
mon serveur est infecter j'ai un fond d'ecran qui me dit que mes fichier sont encrypted en rsa 1024 et que j'ai 2 jour pour résoudre le problème sinon les fichiers seront supprimer.  
le 3/4 de mes fichier sont en .cbf  
il sont tous nommer comme suit :
 
email-calipso.god@aol.com.VER-CL 1.2.0.0 id-fafk etc..... randomname-etc.....
es que depuis ca sorti il y a des evolution de cette merdouille et si oui es ce qu'une solution peu resoudre ce probleme ??
merci de vos reponse

Bonjour,
 
Malheureusement, il n'y a pas de solution pour l'instant pour décrypter les fichiers, les clés de chiffrement des récents ranso-cryptowares étant trop sophistiquées. Tout ce que l'on peut faire c'est supprimer le malware et de nettoyer ses messages dans Windows.
 
Si besoin d'aide, faire passer des rapports de FRST.  

ok merci pour la réponse  
donc la seule solution qu'il y est a l'heure actuelle c'est un formatage c'est cela ??

Non, ce que l'on peut faire, c'est supprimer le malware et de nettoyer ses messages dans Windows avec FRST ou ZHPDiag par exemple.

 
Tiens en passant (j'avais oublié d'en parler à l'époque), Jadacyrus (chercheur en sécu) avait mis sur son site un outil à télécharger (pas préventif mais curatif) pour quelques souches communes cela peut fonctionner, pour les dernières j'en doute fortement vu la sophistication
 
 https://bitbucket.org/jadacyrus/
 
 Il s'agit d'un kit de suppression et de sauvetage dédié aux victimes de ransomwares  
 
Ensuite je fais un copier coller via traduction
 
"Le kit de suppression de ransomwares embarque des outils de déchiffrement pour différentes souches et variantes de ransomwares ainsi que des instructions sur la façon d’effectuer les tâches nécessaires à la désinfection.
 
 
Le kit d’intervention anti-ransomware est livré avec des outils de suppression et de lutte contre les variantes suivantes des souches de logiciels malveillants :
 
    CryptoLocker
    CryptoLockerDecrypt
    TrendMicro_Ransomware_RemovalTool
    FBIRansomWare
    CoinVault
    TeslaCrypt
 
 
Edit : A tester en préventif (il s'agit toujours d'une beta mais fonctionnelle)    https://malwarebytes.app.box.com/s/ [...] 7yr8lp6d8g
 
Derriere c'est l'auteur du bien connu Cryptomonitor  http://www.bleepingcomputer.com/fo [...] ta/page-25
 
et que l'on retrouve dans le forum http://www.bleepingcomputer.com/fo [...] iscussion/
 

merci mais c'est trop tard. du coup je cherche une version linux a installer a la place 2003 server mais ca semble galère j’espère que cette saleté m'a pas bouffer mes disque scsi par la même occasion.
encore heureux que j'ai une sauvegarde sur un nas parce que quand on voi 2to de donner transformer calipso.god là on ce dit soit je suis une grosse brèle soit le virus et vraiment hard

 
ça changera rien.
 
A moins que tu aies utilisé ton serveur pour surfer sur le web ou ouvrir des pieces jointes mails, l'infection vient d'un client, pas du serveur lui-même. Voir http://forum.hardware.fr/forum2.ph [...] 0#t3223162

cela est tout a fait possible parce que mon serveur ne fait rien d'autre que serveur de fichier, serveur web, et pool imprimante.
du coup j'ai fait un scan au démarrage de toutes mes machines et celle de ma petite étais blinder de merdouille (30aine)
après cela peu être une machine des client que je dépanne chez moi, je me doute bien qu'un jour cela devais arriver mais je vais faire en sorte de faire le scan des machines client chez eux avant de le prendre chez moi
enfin merci de vos reponse j'espere ne plus tomber sur une salete pareille que j'ai eu de la chance d'avoir un nas qui a toutes les sauvegarde mais si cela arrive a une entreprise et qu'il n'ont pas de sauvegarde il sont cuit !