Jump to content
nico76

PB clef USB

Recommended Posts

Bonjour,

 

Avez vous déjà rencontré le problème ci-dessous avec une clef usb :

 

J'ai un colègue qui bossait sur des fichiers word directement sur sa clef :rolleyes:  et quand il a voulu retourner sur ces fichiers, ils ont tous été renomé avec une double extension (ex : xxx.docx.jwqyjpa)

 

- J'ai passé un scandisk sur la clef : pas d'erreur

 

- Supprimer l'extension .jwqyjpa et ouverture du fichier dans word : impossible d'ouvrir le fichier, fichier corrompu.

 

- Essayer une récupération avec Recuva : idem, fichier corrrompu.

 

- Ouverture du fichier sous word avec le choix "récupérer du texte de n'importe quel fichier (*.*) : plein de caractères indéchiffrables.

 

621016Capture.jpg

Je pense que ces documents sont irrécupérables mais si quelqu'un a une idée de ce qui a pu se passer ...

 

 

 

Share this post


Link to post
Share on other sites

tu as essayé d'afficher les dossiers/fichiers cachés de Windows? dans le cas d'une infection ils sont masqués.

Heuuu.. c'est une affirmation bien large!! :)

Certaines infections peut-être, mais c'est loin d'être une généralité!

 

Moi je ne pencherais pas pour une infection, mais honnêtement je n'ai pas d'idée sur ce qui a pu se passer (le commentaire inutile!!)

Share this post


Link to post
Share on other sites

Merci pour vos réponses

 

Je connaissais pas usbfix, merci pour l'info.

 

Par mesure de précaution, je vais aller lancer un scan antivirus sur la machine qui a posé problème. La machine est sur un site isolé hors domaine  :)

Share this post


Link to post
Share on other sites

Ce matin, appel de mon collègue : J'ai une fenêtre bizarre sur l'écran qui me demande de payer dans les 96h et tout mes fichiers sont inaccessibles.

 

--> Un joli ransonware  :(

 

J'avais pas assez de taf comme ça !!!  :angry:

 

Le pc a été débranché du réseau. Un mail a été envoyé à tous les secrétariats pour ne plus utiliser les clef usb. Et cet am, je vais aller porter plainte.

Share this post


Link to post
Share on other sites

Ok, donc c'est bien ce qui a modifié tes fichiers sur la clé.

Toutes les infos sur ce Ransomware ici :

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

 

La seule solution, si tu n'as pas de backup de ces données, c'est d'utiliser le snapshot de fichiers pour les restaurer.

Sinon, tu n'as plus qu'à payer si les fichiers sont vraiment importants... :(

Share this post


Link to post
Share on other sites

Question : Est ce que tu fais partie des personnes qui m'ont envoyé un mail ce matin concernant l'infection SuperCrypt?

 

Non ce n'est pas moi.

 

 

Par contre à la gendarmerie, j'ai un peu halluciné !! 

Au départ, ils ne voulaient pas prendre ma plainte et me disait qu'un coup d'antivirus et ça repart !  :rolleyes:

 

Quand je leur ai dit qu'avant de venir, j'ai contacté l' OCLCTIC (Office Centrale de Lutte Contre la Criminalité lié aux Technologies de l'Information et de la Communication) et que le dépot de plainte faisait partie de la procédure, ça a un peu changé de discours. Mais par contre, ils ne savaient pas du tout comment enregistrer ce type de plainte !! 

 

Bref les hackers peuvent dormir tranquille  B)

Share this post


Link to post
Share on other sites

Non ce n'est pas moi.

 

 

Par contre à la gendarmerie, j'ai un peu halluciné !! 

Au départ, ils ne voulaient pas prendre ma plainte et me disait qu'un coup d'antivirus et ça repart !  :rolleyes:

 

Quand je leur ai dit qu'avant de venir, j'ai contacté l' OCLCTIC (Office Centrale de Lutte Contre la Criminalité lié aux Technologies de l'Information et de la Communication) et que le dépot de plainte faisait partie de la procédure, ça a un peu changé de discours. Mais par contre, ils ne savaient pas du tout comment enregistrer ce type de plainte !! 

 

Bref les hackers peuvent dormir tranquille  B)

Ouai, pareil de mon côté. Ils cherchaient dans leur bouquin une appellation qui colle à peu prêt au préjudice pour la plainte! lol

Et même l'OCLCTIC, honnêtement... voilà quoi! ^^ Ca ira pas bien loin!!

Mais au moins tu as une preuve que ca t'es arrivé. Si tu as des retards dans des obligations légales, tu peux ainsi prouver que tu n'avais plus accès à tes données, etc.

T'en es où du problème?

Share this post


Link to post
Share on other sites

Patricia aura sans doute une idée ....

En fait Patricia elle a cherché elle a fait tous les forum même en anglais mais je n'avais rien trouvé et je n'ai pas osé l'écrire mais j'avais pensé à un cryptage à cause du nombre de lettres derrière l'extension et l'extension était conservée, par contre je n'avais pas imaginé que c'était à ce point !

 

Les gendarmeries vont devoir tout de même se mettre à jour avec la cybercriminalité parce que je trouve qu'en ce moment cela produit souvent !! Et j'ai bien peur que cela ne soit pas près de se terminer !

Et si le ransonware reste totalement impuni, il risque de se développer sacrément ....

 

Par contre j'aimerais bien avoir une information complémentaire : tailles en salariés des entreprises touchées ?? Grosses, moyennes, petites ?

Share this post


Link to post
Share on other sites

Cointvault, CryptoTorLocker, CTB-Locker, Supercrypt...
Autant de Ransomwares sérieux, et qui ont pour beaucoup de cas en seule solution la restauration d'une sauvegarde, ou malheureusement le paiement de la rançon.

 

Ca devient très sérieux. Moi ce qui me fait peur en tant que pro, c'est lorsque tu administres le parc d'un client. Lorsque ce genre de soucis arrive, si le client est un peu remonté, ca peut vite devenir la guerre!! Et en cas de pertes de données, si le client se retourne contre le pro, j'imagine même pas la galère que ca peut être!!

 

On a intérêt, maintenant, à ne pas prendre l'aspect sécurité et sauvegarde à la légère...

Share this post


Link to post
Share on other sites

Je pense même qu'il faudrait intégrer votre non responsabilité en cas de ransonware des les CGV afin de vous protéger...

C'est mon avis !

oui, et attention aux sauvegardes mappées sur le réseau, apparemment de ce que j'ai lu et compris (mon anglais n'est pas parfait) ça risque aussi d'être crypté.

Share this post


Link to post
Share on other sites

oui, et attention aux sauvegardes mappées sur le réseau, apparemment de ce que j'ai lu et compris (mon anglais n'est pas parfait) ça risque aussi d'être crypté.

C'est ce qui est arrivé chez un de mes clients oui. Tout ce qui est accessible en lecteur mappé, et même pour un autre client sur un pc accessible par le voisinage réseau, peut-être crypté.

Donc les seules sauvegardes qui sont exploitables dans ce cas de figure sont les sauvegardes hors ligne. Physiquement hors ligne.

Sinon il est super important de sécuriser les accès par la mise en place d'un vrai firewall, avec la mise en place de règles cohérentes. Parfois on a tendance à lâcher du mou sur les règles de pare-feu, parce que "ca bloque tout" comme on entend souvent.

Sauf qu'un pare-feu efficace, c'est un pare-feu qui a en dernière règle un block-all, et dont les règles d'ouverture de flux réseau sont bien maitrisées.

Share this post


Link to post
Share on other sites

 

c'est un pare-feu qui a en dernière règle un block-all, et dont les règles d'ouverture de flux réseau sont bien maitrisées.

c'est rigolo, ça fait 2 fois que je lis cette règle venant de toi et a chaque fois je me fais la réflexion suivante:

 

"on m'a appris à faire dans l'autre sens" genre on bloque tout et on ouvre ce dont on a besoin :)

ça revient exactement au même cela dit

Share this post


Link to post
Share on other sites

Ouai, pareil de mon côté. Ils cherchaient dans leur bouquin une appellation qui colle à peu prêt au préjudice pour la plainte! lol

Et même l'OCLCTIC, honnêtement... voilà quoi! ^^ Ca ira pas bien loin!!

Mais au moins tu as une preuve que ca t'es arrivé. Si tu as des retards dans des obligations légales, tu peux ainsi prouver que tu n'avais plus accès à tes données, etc.

T'en es où du problème?

 

- Les 2 pc sont isolés.

- Je suis en train de récupérer les documents avec ShadowExlorer et ensuite les 2 pc seront formatés.

- J'ai allumé un cierge afin que d'autres machines ne soient pas infectées :rolleyes:  

 

Par contre connaissez vous un outils, accessible à l'utilisateur lambda pour qu'il puisse vérifier sa clef usb ? 

Share this post


Link to post
Share on other sites

Des petites nouvelles : 

 

Dans la procédure de l'anssi , il était bien indiqué qu'en cas d'incident, il fallait aller porter plainte.

 

Comme expliqué dans un précédent message dans ce post, ma gendarmerie n'avait pas voulu enregistré une plainte pour ce type de problème.

 

J'avais donc envoyé un mail à l'ANSSI.

 

Mon mail a été envoyé à la Division de Lutte contre la Cybercriminalité qui a contacté ma gendarmerie pour leur expliquer qu'une plainte pour ce genre d'affaire est tout à fait recevable.

 

Donc ma gendarmerie a pris contact avec moi pour convenir d'un rdv et aujourd'hui ma plainte a été enregistré sous le motif 1658 - Modification de donnée résultant d'un accès frauduleux à un système de traitement automatise.

Share this post


Link to post
Share on other sites

×
×
  • Create New...