Discussion :

[tinkiot]

Bonjour,

voila j'ai un serveur installé sous win 2012 r2 dans un cabinet comptable et je rencontre depuis quelques jours de gros problemes.

tous les fichiers pdf, mdb se double en créant un 548646556465.id.bitcoinrush@aol.com et le fichier original ne s'ouvre plus en m'indiquant une erreur.

j'ai tout de suite lancé eset filesecurity serveur qui n'a rien trouvé, j'ai dl et scanné avec spyhunter4, emisoft anti malware qui a trouvé quelques traces mais le probleme persiste.

Cela a meme cause des problemes sur la sauvegarde incrementielle.

S'il vous plait aidez moi, je n'y arrive plus, je suis grave dans la .....

Merci par avance

[cerede2000]

Oula !!!!!!!
Ca sens gravement le Locky cette histoire !

Les fichiers se retrouvent cryptés et donc plus lisible sans les avoirs décrypter, je confirme, si c'est bien cela, tu est effectivement gravement dans la m.....
Regarde ici :
http://www.bleepingcomputer.com/foru...om-ransomware/
http://www.bleepingcomputer.com/foru...support-topic/

Identique à ton problème, ça semble bien confirmer le ransomware !

Ton serveur est exposé sur Internet ?
Comment as t'il pu chopper cette cochonnerie ?

[10_GOTO_10]

D'après l'extension des fichiers, ce serait plutôt CryptoWall 3.0 mais le résultat est le même.

Essaye ça : http://sensorstechforum.com/fr/remov...crypted-files/

[tinkiot]

oui effectivement je pense que c'est exactement ce que tu dis

oui le serveur est sur le net

en faite je crois que c'est certainement les collaborateurs qui vont sur facebook et on tendance à ouvrir des mails avec des pieces jointes "bizarre" sachant qu'ils n'utilisent pas outlook mais client mail intégré à la solution quadratus donc aucun filtrage ni scan.

pourquoi l'anti malware et l'antivirus n'ont pas réagi sachant que c'est un virus connu ??????


tu pense que c'est foutu ???????

[cerede2000]

Ah oui pas bon ça !
S'il aucun restriction sur le serveur.......

Ben c'est tout le problème de ces ransomware, les AV ne les détectent pas forcément
Regarde l'autre topic une potentielle solution à été proposé.

Mais selon le cas de ce que tu as choppé, des fois le seul moyen qu'il reste c'est de payer...
Ou alors tu n'as rien d'important sur le serveur et/ou tu as des sauvegardes qui ne sont pas infectées et qui te suffisent et donc tu résinstalle le serveur propre...

[supersnail]

Bonjour,

Le meilleur moyen de se prémunir des cryptolockers reste encore la prévention et la sensibilisation du personnel/des partenaires, faire des sauvegardes régulières et d'interdire (ou limiter) l'accès au serveur/données critiques aux personnes "non qualifiées". Et malheureusement, de plus en plus de cryptolockers ne permettent plus de récupérer les données sans payer la rançon exigée (qu'il faut éviter de payer, le paiement de la rançon encourageant ce genre d'activités malheureusement).

Bref, certains moyens de se prémunir contre les ransomware (et les opérations à effectuer) sont rappelées dans le dernier bulletin du CERT-FR disponible ici, que tout administrateur système devrait suivre au passage

[supersnail]

D'après l'extension des fichiers, ce serait plutôt CryptoWall 3.0 mais le résultat est le même.

Essaye ça : http://sensorstechforum.com/fr/remov...crypted-files/

Pour ma part j'ai une confiance plus que moyenne en sensorstechforum (d'une part parce que les détails "techniques" concernant le cryptolocker Cerber sont incorrects) et j'éviterais leur outil de "désinfection" pour éviter une sur-infection justement.

Sinon il est peut-être possible de rechercher dans les backups ou tenter d'utiliser un outil de récupération de données (photorec par exemple) pour sauver ce qui peut l'être.

[FillPCA]

Bonjour,

Il est préférable de désinstaller spyhunter, anxiogène et pas d'une efficacité absolu. Les crypteurs mutent et changent souvent de signature pour échapper aux solutions de protection.
Ce site pourra t'aider à savoir quelle version a touché ta machine. Il est probable que les fichiers soient irrécupérables. Il faudra que tu puisses restaurer une sauvegarde antérieure à l'infection.
FillPCA