Jump to content

Recommended Posts

Bonjour,

 

je me permets de venir poster un message ici, car un de mes clients a eu le virus CBT locker... et le moins qu'on puisse dire c'est violent ! En gros, les antivirus et antimalwares ne détectent plus rien, les codes et exécutables nocifs ont certainement été éradiqués.

Cependant, le mal est fait et beaucoup de fichiers sont cryptés. Et inutilisables.

Et par dessus le marché, les points de restauration windows sont absents... il n'y en a plus de disponible.

 

Mon client est ennuyé, beaucoup de données professionnelles sont perdues.

Pour ma part, je sèche, je n'ai pas trouvé d'outil ou d'info pour son cas.

 

Avez-vous déjà eu affaire avec ce RansomWare ? Un solution ?

 

merci par avance pour votre lecture et aide

 

Ordi Expert

Share this post


Link to post
Share on other sites

Pyrithe confirmera ou infirmera mais il me semble que la seule solution aujourd'hui est de payer la rançon et croiser les doigts pour qu'il te fournisse la clé de cryptage :(

 

à moins que ton client ait une sauvegarde externe....

 

il s'est fait attaquer comment (mail, réseau, autre...)?

Share this post


Link to post
Share on other sites

Salut,

 

Actuellement avec CTB Locker les seules chances de récupérer les données sont :

  • Restauration d'un backup
  • Utilisation des clichés instantanés
  • ... tenter de payer la rançon

Pour ce dernier point, pas la peine de me dire que c'est moche de conseiller ca. QUand on perd des données pro, et que l'ampleur est telle que ca peut menacer la pérennité de celle ci, alors on explore toutes les pistes. Et les hackers donnent un soft de décryptage, donc si c'est la dernière chance...

 

J'ai aussi imaginé que vu le fonctionnement du truc, il est possible (mais c'est seulement une idée, je n'ai pas pu testé) qu'avec un logiciel de récupération de données, on puisse récupérer une partie des fichiers. En effet, il est probable que la phase de cryptage passe par la génération d'une copie cryptée d'un fichier, puis supprime l'originale. Donc, avec des outisl adéquats, il est peut être possible de les retrouver s'ils s'agit d'une simple suppression.

Je n'ai cependant pas pu le tester, et ca implique d'avoir arrêté la machine immédiatement après le cryptage, sinon c'est très certainement foutu...

 

Ensuite, penser à sécuriser l'environnement en identifiant le vecteur de l'infection (pour cette variante, certainement un mail avec une PJ présentée comme un fax, ou une URL véreuse consultée mais c'est plus rare). Il faut absolument trouver le mail par exemple, le détruire, vérifier toutes les BàL, et s'occuper de sécuriser tout ca...

Share this post


Link to post
Share on other sites

Ça fait flipper quand même, on arrête pas d'en entendre parler... Faut que je trouve un peu de temps pour faire des sauvegardes sur disque dur externe chez quelques clients pros...

Share this post


Link to post
Share on other sites

Ça fait flipper quand même, on arrête pas d'en entendre parler... Faut que je trouve un peu de temps pour faire des sauvegardes sur disque dur externe chez quelques clients pros...

C'est hypertexte flippant ouai.

Il faut les sensibiliser, sécuriser le réseau, sauvegarder sur différents supports hors ligne.

Et commencer par les clients susceptible de mettre les tords sur vous en cas de soucis!!! ;)

Share this post


Link to post
Share on other sites

Bonjour et merci pour vos retours,

 

 

C'est malheureusement ce que je pensais. Je n'aurai plus accès aux données, dans l'immédiat donc je ne pourrais pas tenter le coup avec un soft de récupération de données. Mais c'est une bonne piste, sait-on jamais !?

Quant à l'origine du virus, c'est probablement un email, impossible d'en être certain car à la même époque l'utilisateur a fait plein de mises à jour java, flash etc... qui sait si une "mise à jour" n'était pas en réalité un piège ?

 

encore merci à vous

Share this post


Link to post
Share on other sites

Bonjour et merci pour vos retours,

 

 

C'est malheureusement ce que je pensais. Je n'aurai plus accès aux données, dans l'immédiat donc je ne pourrais pas tenter le coup avec un soft de récupération de données. Mais c'est une bonne piste, sait-on jamais !?

Quant à l'origine du virus, c'est probablement un email, impossible d'en être certain car à la même époque l'utilisateur a fait plein de mises à jour java, flash etc... qui sait si une "mise à jour" n'était pas en réalité un piège ?

 

encore merci à vous

C'est super important de trouver le point de départ. Si c’est un mail par exemple, rien n'exclue qu'il ouvre la même pièce jointe dans quelques temps si le mail n'a pas été supprimé, et relance le truc...D

De plus, il existe des moyens de sécurisation à mettre en oeuvre, et c'est le bon moment pour sensibiliser le client sur l'importance de la sécurisation du réseau/sytème, et de la mise en place d'une solution efficace de backup.

Share this post


Link to post
Share on other sites

Bonsoir, désolé pour le retard de réponse : non pas de plainte

C'était son PC professionnel, et il avait dessus des logiciels spécifiques. Pour ne pas perdre du temps (et d'argent) il a voulu tout réinstaller et de toutes façons il partait en voyage à l'étranger le sur lendemain.

 

Et toi, as tu porté plainte ? Quelle est l'utilité de porter plainte dans ce cas ?

Share this post


Link to post
Share on other sites

Oui j'ai été déposé plainte.

 

Je bosse dans une collectivité territoriale, j'ai eu 2 pc d'infecté. Et comme toi : formatage et réinstallation.

 

Mais si le virus s'était propagé sur d'autres ordi , voir des serveurs , l'activité aurait été bien paralysé (pas d'humour en disant que ça n'aurait pas changé grand chose à un fonctionnaire  :lol: ), le dépôt de plainte aurait permis de justifier des retards ...

 

Et quand tu regardes les procédures sur le site de l'anssi, le dépôt de plainte est une des étapes.

Share this post


Link to post
Share on other sites

le dépôt de plainte aurait permis de justifier des retards ...

J'encourage tous ceux qui ont un soucis de ce type à porter plainte.

Si dans le futur, à cause de cette infection, vous avez des données corrompues, ou perdues, etc, et que vous ne vous en êtes pas rendu compte sur le coup, engendrant des difficultés administratives, vous avez au moins votre dépôt de plainte attestant du problème rencontré.

 

De plus, face à une multiplication des plaintes, on peut imaginer (espérer plutôt) que les autorités mettent les moyens nécessaires en œuvre pour faire tomber quelques filières!!

Share this post


Link to post
Share on other sites

Bonjour,

 

mon premier ransonware  :angry:

 

PC personnel mais avec une appli de travail à distance "ALBUS" car infirmière libérale

 

Son mari a cliqué sur un lien de la poste qui lui disait que son colis n'avait pu être remis en main propre.

Il est sensibilisé mais le mail était tellement bien fait qu'il a eu un doute raisonnable.

 

Ses documents, toutes les photos,etc... ont une extension en ".encrypted"

 

Elle utilise dropbox pour certaines de ses données, je suis allé vérifier et aucun des fichiers en ligne n'est corrompu.

 

Est-ce possible, avec ces ransomware, que ça se propage sur des stockages en ligne ou sur des sauvegardes

de type NAS ??

 

A sa demande, étant pressée, je formate et je réinstalle. Je passe par HDD Guru pour formater bas niveau, sait-on jamais...

 

Des avis sur la propagation et la nécessité du formatage bas niveau?

 

Merci

Vincent

 

Edit : Je lui ai également conseillé de porter plainte mais ne veut pas faire la démarche à cause du ratio gain/perte de temps

Share this post


Link to post
Share on other sites

Tu ne peux rien sauver avec Shadow Explorer ? 

 

 

Pour avoir eu le cas sur 2 pc à ma boîte qui était membre d'un domaine, le virus est resté en local.

 

Pas de propagation à d'autres machines et les lecteurs réseaux n'ont pas été impactés.

Share this post


Link to post
Share on other sites

Je ne connaissais pas shadow explorer... j'ai vu ton message trop tard. Merci quand même pour ta réponse !

 

J'ai appelé le support Albus, le gars m'a confirmé que ça reste en local, donc pas de crainte (a priori) de contamination de domaines.

 

Bon, son portable est nickel, mais ça fait toujours bourrin de réinstaller... quelle saleté ce ransomware  :angry:

Share this post


Link to post
Share on other sites

×
×
  • Create New...