Jump to content

Recommended Posts

Bonjour à tous,

 

J'attire votre attention sur cet article que je viens de réaliser :

http://www.tech2tech.fr/supercrypt-le-ransomware-gagne-la-france/

 

Cette attaque n'a pas pour le moment pas solution autre que de payer la rançon.

Il est possible de récupérer ses données, mais j'espère qu'une solution sera bientôt trouvée pour le faire par ses propres moyens.

 

Pour l'instant je vous encourage vivement à consulter l'article, qui présente les failles utilisées, et ainsi sécuriser les serveurs de vos clients, et toutes les machines accessibles par RDP.

 

Principales failles:

  • RDP directement publié sur 3389 (port natif)
  • RDP accessible en IP publique (sans VPN)
  • Mot de passe de session faible (attaque certainement par dictionnaire)
  • Sauvegarde accessible depuis le serveur (pas de sauvegarde hors ligne)

 

Si vous rencontrez ce problème, et que vous n'êtes pas sur de vous, n'hésitez pas à faire appel à moi. J'ai en effet géré le problème pour deux clients qui ont subits l'attaque vendredi et dimanche dernier (mon mail est disponible dans la fin de l'article).

Share this post


Link to post
Share on other sites

C'est lu.

T'as pas pu garder un environnement vérolé qu'on puisse faire des tests sans risque ?

J'ai gardé des fichiers cryptés, et le soft correspondant qui permet de décrypter.

Si t'as des idées pour tentative de décryptage, je suis évidemment preneur, même si j'ai essayé pas mal de choses.

 

A tous ceux qui auraient des idées (sérieuses) :

Je vous propose de m'adresser vos idées par mail (samuel.monier  -at-  tech2tech.fr)

Ceci afin de ne pas exposer tout un tas d'idées qui pourraient poser problème à quelqu'un subissant l'attaque et qui passera par là, pensant que ce serait la solution.

Je vous rappel que les attaques cibles les entreprises, et qu'il s'agit donc pour les cibles de données vitales.

 

J'effectuerais les tests, et vous donnerais le résultat...

 

Merci à tout ceux qui voudront participer en me fournissant leurs idées!! (idées sérieuses svp, si c'est pour me dire d'essayer MBAM ou ADWCleaner, ca va aller!! :D )

Share this post


Link to post
Share on other sites

J'ai trouvé des similitudes avec "Dirty Decrypt", attaque qui sévissait en 2013.

Et selon Malekal, voilà la réponse des équipes de Kaspersky, qui ont étudié cette méthode de cryptage :
"The encrypting algorithm in the program is quite tricky it stores key
used for files encryption in encrypted way. And the key can be decrypted
back only at the server side in case if user has already paid.
Encryption algorithm RC4 + RSA1024 can't be cr*cked."

 

Donc, il n'y a pas d'alternative, aucune solution à envisager à priori.
J'attire donc votre attention sur la nécessité absolue de prendre toutes les mesures préventives précisées dans mon article, pour ne pas avoir à subir cette attaque, et passer par la case paiement (et prendre le risque de perdre une partie de ses données!).

Si vous avez subit l'attaque, ou que vous souhaitez en savoir plus dans les précautions à prendre afin de s'en prémunir, n'hésitez pas à me contacter par mail (mail donnée dans la fin de l'article).

Share this post


Link to post
Share on other sites

Par contre le Payer la rançon

 

J'y crois pas trop ou alors pour te faire réinfecter ta machine par dessus.  :)

Il y a toujours un risque potentiel. Malheureusement, pour une société par exemple, si c'est la dernière option pour récupérer ses données, alors c'est la seule chose à faire!

J'ai eu quatre sociétés qui n'avaient que des backups connectés sur la machine, et donc cryptés aussi.

Il a fallu payer la rançon.

 

Mais effectivement, il faut absolument corriger les failles de sécurité utilisées pour prendre l'accès à la machine (dans le cas de Supercrypt le cryptage s'effectue manuellement, ce n'est pas une infection par mail ou autre, comme je le précise plus haut).

Pour ma part, le soft envoyé pour décrypté les fichiers ne con tenait aucune autre trace d'infection, à ce que j'ai pu tester (en VM au préalable).

Share this post


Link to post
Share on other sites

Bonjour, 

 

En plus de SuperCrypt, j'ai un client qui c'est récemment fait attaquer par CBT-Locker, pour le coup pas de paiement de rançon mais remonté de sauvegarde (2 heures de perdu) je viens d'ailleurs de recevoir un Mail de F-Secure sur la situtation au 6 février 2015 et la recrudescences de ce type d'attaque sur le territoire français, si le document intéresse qqun je peux le mettre à disposition.

Share this post


Link to post
Share on other sites

Bonjour, 

 

En plus de SuperCrypt, j'ai un client qui c'est récemment fait attaquer par CBT-Locker, pour le coup pas de paiement de rançon mais remonté de sauvegarde (2 heures de perdu) je viens d'ailleurs de recevoir un Mail de F-Secure sur la situtation au 6 février 2015 et la recrudescences de ce type d'attaque sur le territoire français, si le document intéresse qqun je peux le mettre à disposition.

Oui, je suis intéressé.

Une chance que ton client ai une sauvegarde exploitable.

Malheureusement en PME, c'est pas toujours le cas. Une entreprise m'a contactée, en découvrant suite à une tentative de restauration d'un backup que les sauvegardes ne se faisaient pas correctement depuis 2011...

Share this post


Link to post
Share on other sites

Re,

 

pour le téléchargement c'est ici. C'est le lien direct fourni par F-secure.

 

Pour la sauvegarde par chance tout c'est bien déroulé, on passe par une sauvegarde sous format disque par Arc Serve D2D 4 fois par jour et le stockage c'est sur NAS donc on a jamais de connexions ouvertes vers ce NAS nécessaire pour ce genre de virus qui crypte tous dossiers accessibles (réseau et usb) , maintenant c'est UDP je ne peux que vous conseillez la version Free mais elles ne fonctionnent que pour les postes de travail pour les serveurs c'est payants.

 

La personne chez qui j'ai mis la solution en place veille au grain, surtout que depuis la mise en place de son serveur en 2010, on a essuyé qq platres avec cette solution. Lors de la mise en place de son serveur (Hyper-V avec 4 VM), je lui ai fais une formation sur l'installation d'ArcServe D2D et l'utilisation, la sauvegarde et la restauration bare-metal, et lors d'un test de resto bare metal baam !!! erreur windows ne démarre pas. On a détecté par la suite qu'en cas de mise à jour windows nécessitant un redémarrage, il y avait un risque d'erreur lors de la restauration, depuis la solution gère sa toute seule. Comme quoi on ne peut pas se fier à un écran qui nous indique que tout va bien ! Bon est encore les documents n'était pas perdu puisque seul l'os était impacté.

 

 

Chez mon client l'attaque (sur un TSE 2003 après ouverture d'un mail) c'est cantonné au profil et fichiers de l'utilisateur et au dossier public, mais par précaution on a restauré tout le système plutôt que passer 3 heures à supprimer la menace, et se demander si y pas un truc caché qui traîne...

 

J'ai oublié, il y a un site qui propose la récupération si possible gratuite de vos données ce site est mis en place par Fireeye et FOXIT, j'était tombé dessus lorsque je me suis intéressé au fonctionnement de virus :

le lien https://www.decryptcryptolocker.com/,

Je viens de tomber sur le aussi le post "Pb de clé USB", c'est exactement le problème que mon client a eu.

Share this post


Link to post
Share on other sites

Merci pour le lien!

 

 

J'ai oublié, il y a un site qui propose la récupération si possible gratuite de vos données ce site est mis en place par Fireeye et FOXIT, j'était tombé dessus lorsque je me suis intéressé au fonctionnement de virus :

le lien https://www.decryptcryptolocker.com/,

Je viens de tomber sur le aussi le post "Pb de clé USB", c'est exactement le problème que mon client a eu.

Pour ce site, ca ne fonctionne pas avec les attaques de cryptages récentes, seulement pour Cryptolocker. La méthode de cryptage est complètement différente sur Supercrypt par exemple.

Share this post


Link to post
Share on other sites

à ce propos, j'ai pu lire un article très interessant sur le site de korben (avec pas mal de liens)

http://korben.info/pages/Cryptolocker/Cryptolocker.html

 

le lien pour un outil de protection/"vaccination" (dont une version portable)

http://www.foolishit.com/vb6-projects/cryptoprevent/

il existe une version gratuite (tout en bas de la page: bande bleu) et une payante (15/20€ + 30€ avec installation)

Share this post


Link to post
Share on other sites

à ce propos, j'ai pu lire un article très interessant sur le site de korben (avec pas mal de liens)

http://korben.info/pages/Cryptolocker/Cryptolocker.html

 

le lien pour un outil de protection/"vaccination" (dont une version portable)

http://www.foolishit.com/vb6-projects/cryptoprevent/

il existe une version gratuite (tout en bas de la page: bande bleu) et une payante (15/20€ + 30€ avec installation)

Mikaël m'a informé hier de l'existence de cette page. C'est bien, vous êtes au taquet les gens!!! lol

Malheureusement, ces infos concernent Cryptolocker et ses clones.

SuperCrypt est un autre ransomware, utilisant un autre type de cryptage, et un autre vecteur d'infection.

Pour Cryptolocker par contre, oui, ces infos sont intéressantes!

Share this post


Link to post
Share on other sites

Salut!

Ce sujet traite de Supercrypt, qui est un virus permettant le cryptage de données sur des serveurs.

Si tu veux parler de TrueCrypt, logiciel de cryptage de données, tu peux ouvrir un sujet consacré à celui-ci dans la partie "Logiciels".

Share this post


Link to post
Share on other sites

Hello,

 

Quelques nouvelles ...

 

Bitdefender a développé un vaccin (Cryptowall Immunizer) qui permet d'immuniser les ordinateurs et bloquer toute tentative de chiffrement de fichier, même s'ils sont infectés avec CryptoWall, un des plus puissants clones du malware Cryptolocker.

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

 

A+

Share this post


Link to post
Share on other sites

Hello,

 

Quelques nouvelles ...

 

Bitdefender a développé un vaccin (Cryptowall Immunizer) qui permet d'immuniser les ordinateurs et bloquer toute tentative de chiffrement de fichier, même s'ils sont infectés avec CryptoWall, un des plus puissants clones du malware Cryptolocker.

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

 

A+

C'est une info très intéressante!

Avant de déployer ca à tout va sur les serveurs de mes clients en particulier, j'ai pris contact avec le lab de BitDefender. Je leur ai demandé ce que fait exactement cette solution, et si dans certains cas de figures il est déconseillé de l'utiliser.

Je vous donnerais leur réponse.

Share this post


Link to post
Share on other sites

×
×
  • Create New...