Aller au contenu
djnetsab

[Résolu]Dossiers/Fichiers étranges et cryptés

Messages recommandés

Salut les gars,

Depuis quelques temps, il se passe des choses étranges sur mon PC de boulot.

A la racine de chacune de mes partitions j'ai des dossiers qui se créent tout seul, et qui reviennent quelques temps après surpression.

La structure est toujours la même : un au début et un à la fin de l'arboresence.

Par exemple sur ma partition C: j 'ai un dossier "Acmirror121" et un autre "Xtransfer229".

A l’intérieur on trouve un peu de tout, du .doc, du .jpg, du .txt, du .sql, du .mdb, etc.

Mais ils sont tous impossible à ouvrir, cryptés je pense.

J'ai tenté de trouver la cause avec mes outils habituels :

adwcleaner, rogue killer, malwaresbytes, avast, stiger, tdsskiller, gmer mais rien de chez rien.

J'ai dû installer un truc qui a transformé mon PC en zone de stock pour pirate ou un truc dans le genre.

Ça me gène pas vraiment, mais c'est quand même louche ...

 

Ça vous parle ?

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai un syncback qui me sauvegarde un dossier sur un serveur local. Mais je vois pas trop le rapport... 

Le trucs c sur les fichiers ont des noms plutôt  "clairs", en anglais, mais compréhensible en tout cas. C pour ca que ça fait vraiment penser à un pirate qui stock sur mon PC

Je vous joints 2 captures faites à distance via TeamViewer (je rentre chez moi le midi ;-) 

Screenshot_20170804-140619.png

Screenshot_20170804-140636.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Je suis pas très calé la dessus. Pour l'instant j'utilise Process Hacker, mais je vois rien de bizarre d'après moi.

(Ca va se finir en formatage c't'histoire).

Y aurait un moyen d'être alerté lors de la création d'un dossier à un emplacement précis et éventuellement de récupérer des infos la dessus ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Chelou !

Il semblerait que ce soit Cybereason RansmwareFree qui cause ce genre de problème... J'ai cru comprendre ça ici

Et effectivement quand je l'ai désinstallé, les dossiers ont disparu.

ransomefree.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonne investigation!

Ransomware Free utiliserait une technique "Honey Pot" pour leurrer les ransomwares, en créant des répertoires et fichiers bidons, mais j'ai du mal à comprendre comment il fonctionne, puisqu'à priori il en créerait souvent?

A creuser...

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok ceci expliquerait cela. Je vais peut-être le réinstaller alors. 

Une à deux fois par jour je dirais. 

Quand je les supprimais à chaque fois ils se recréaient vers 11h. 

Par contre avec process monitor j'avais l'impression qu'il y accédait toutes les minutes.  

Bonjour les accès disque pour rien... 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×