This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

nico1375

Piraté et dossier crypté...

Messages recommandés

Bon ça faisait plusieurs jours que j'entendais mon NAS gratter en permanence, mais 'étais pas inquiet car j'avais installé BLISS pour scanner et analyser la musique...

Bref, tout à l'heure je regarde mon dossier vidéo monté en NFS et tous les fichiers sont cryptés et portent l'extention .crypted ...

Il y a un fichier dans le répertoire donc je vous livre le contenu ici :

What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using MegaLocker Virus.

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, 
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.

What do I do ?
You can buy decryption for $800 for company and 250$ for private person.
But before you pay, you can make sure that we can really decrypt any of your files.

To do this, send us 1 random encrypted file to alexshkipper@firemail.cc , alexshkipper@mail.ru, a maximum of 5 megabytes, we will decrypt them
and we will send you back. Do not forget to send in the letter your unique id: XXX

You can check the decryption of more than one file, but no more than 3. 
To do this, send us two more letters with files, there should be only one file in each letter!

If you are a private person, then send your private photo (birthday, holidays, hobbies and so on), 
this will prove to us that you are a private person and you will pay 250$ for decrypting files. 
If you are not a private person - Do not try to deceive us!!!

Do not complain about these email addresses, because other people will not be able to decrypt their files!

After confirming the decryption, you must pay it in bitcoins. We will send you a bitcoin wallet along with the decrypted file.

You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net

About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin

If you have any questions, write to us at alexshkipper@firemail.cc , alexshkipper@mail.ru

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah voilà la fin de ton message x)

Tu n’as pas l’air très stressé ^^

Bah stop déjà le partage non ? Cela serait le plus logique que de laissé faire... après voir les logs si tu les activés ou via le moniteur de ressource pour voir le responsable...

Après tu ne dois pas avoir 300 ordinateurs chez toi qui accède à ce partage, donc tu devrais vite trouvais le coupable.

Partager ce message


Lien à poster
Partager sur d’autres sites

Comment savoir si c'est le Nas lui même qui serait infecté par un malware ou si c'est un PC qui a crypté les données ?

Tu avais un ordi allumé ou même qui accédait au NAS en distant pendant que les disques grattaient ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 12 heures, dobi13 a dit :

Comment savoir si c'est le Nas lui même qui serait infecté par un malware ou si c'est un PC qui a crypté les données ?

Tu avais un ordi allumé ou même qui accédait au NAS en distant pendant que les disques grattaient ?

Il le dit... un seul dossier partager en NFS... 

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est tout simplement un cryptolocker.

Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, Mic13710 a dit :

C'est tout simplement un cryptolocker.

Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données.

Alors j'ai bien compris de quoi il s'agit hein... Et je n'ai pas l'intention de lui verser quoi que ce soit à ce fxxxxxxxte !

Ce qui me préoccupe c'est comment trouver la tâche qui est en train de crypter au prochain démarrage, et comment je la tue.

Car oui je vais tout effacer et restaurer.

Mais certaines données ne sont pas forcément sauvegardées, et j'aimerais pouvoir redémarrer le nas et sauvegarder les qqs trucs qui me manquent.

Par contre je ne veux pas que pendant que je fais ça, cette merde de locker continue de travailler.

Donc... comment je le trouve et je le dézingue.

J'ai déjà pris mon parti de dire au revoir à ce qui avait été crypté, c'est pas bien grave.

 

Modifié par Mic13710
language inapproprié

Partager ce message


Lien à poster
Partager sur d’autres sites

il me semble, je ne suis pas sûr, que certains virus étaient lancés par un fichier *.inf, dès que tu ouvrais un répertoires, le virus se lançait. mais, c'est comme rechercher un aguille dans un botte de foin.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID

A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 51 minutes, Mic13710 a dit :

la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID

A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro.

Pas certain que ce soit lié au NAS...

Je penche plutôt pour une personne qui est naïve et clique un peu sur tout et n'importe quoi sur un ordinateur qui a le NAS en lecteur réseau via le protocole NFS avec les droits d'écritures et je parierai même qu'il a aussi les droits administrateur...

Je pense aussi que ce membre n'a pas activé via File Station les journaux des manipulations de fichiers donc ça peu être difficile de savoir quel appareil à lancer cette merde si il en a plusieurs.

Bref, que faire ?

Bah comme ça été dit, arrêter le partage NFS même si à mon avis c'est déjà trop tard...

Je suppose qu'il y a derrière ce NAS un ordinateur qui rencontre le même soucis et dans ce cas, ça viendrait certainement de lui.

 

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 29 minutes, lose a dit :

petite question, les virus et autres, ils ne sont pas sauvegardés lors des backup ?

Si. D'où l'intérêt d'avoir plusieurs sauvegardes périodiques. Normalement avec l'historique d'hyperbackup on devrait pouvoir remonter jusqu'à la dernière sauvegarde propre.

@Zeus Tu as peut-être raison sur la source du problème, néanmoins il est indéniable que le virus se retrouve sur le NAS et selon son niveau de pénétration il est possible qu'il ait infecté d'autres dossiers, surtout si comme tu le dis la connexion se fait en mode administrateur.

Partager ce message


Lien à poster
Partager sur d’autres sites

là, on conjecture pas mal…

  • quelle est la version de DSM?
  • qui accédait au partage NFS? Quels Droits?

avant de tout reformater, faudrait savoir ce qui crypte… parce que si c'est pas sur le syno, on pourra toujours restaurer, le cryptage recommencera...

partage NFS sur videos, tu n'aurais pas une box avec un player video qqpart?

il a l'air assez réçent (le megalocker). Je n'ai pas trouvé trop d'infos. le peu que j'ai trouvé concernait un site web ou un partage sur un syno https://support.emsisoft.com/topic/30706-megalocker-virus/?tab=comments#comment-191273

Modifié par Brunchto
suppression espaces

Partager ce message


Lien à poster
Partager sur d’autres sites

Derniere version de DSM. Je sais plus laquelle mais 6.2.xxxx il me semble.

Il y a mon laptop (archlinux) qui accède au NAS avec en effet les droits en ecriture car je copie souvent des fichiers du laptop vers le NAS.

Il y a egalement une nvidia shield sur le réseau avec kodi qui lit les fichiers présents sur le nas.

Il y avait le firewall activé me semble-t-il puisque des ip tentant de se connecter en ssh ont été blacklistées.

Par contre fort possible que la faiblesse soit venue du mot de passe.

Modifié par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon, le fin mot de l'histoire c'est que les partages SMB etaient apparemment accessibles depuis le WAN  (!!!).

Et que j'ai trouvé l'IP (en france) de celui qui a fait ça.

Quelqu'un connait un outil pour remonter précisément?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bien évidemment je ne m'en étais pas rendu compte, je suis c... mais pas suicidaire.

Je sais vraiment pas comment ça a pu se produire.

Donc oui c'etait evidemment chercher la...

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 5 heures, nico1375 a dit :

Bon, le fin mot de l'histoire c'est que les partages SMB etaient apparemment accessibles depuis le WAN  (!!!).

Et que j'ai trouvé l'IP (en france) de celui qui a fait ça.

Quelqu'un connait un outil pour remonter précisément?

je ne pense pas que tu trouve un outil pour trouver l'adresse précisément, si tu fait un tracert (sur windows), tu verra que le début des ip sont propres à ton opérateur.

Partager ce message


Lien à poster
Partager sur d’autres sites

Même si tu avais mit ton LAN sur ton WAN, ça n'explique pas comment et surtout qui a lancé le processus et via quelle machine.

Mais comme tu ne réponds pas à toutes les questions, on peut pas tout deviner...

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello!

Petite question d'un mec qui a trop vu "The Imitation Game":

En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés...

on ne peut pas en déduire la clé pour tout décrypter?

Cordialement,

Un gars qui doit se pencher sur le tuto sécurité...

Partager ce message


Lien à poster
Partager sur d’autres sites

On ne parle pas de cryptage mais de chiffrement 😉

Et n'étant pas un expert en chiffrement, je dirais simplement que c'est chiffré sur le moment avec des données uniques donc non, ça ne doit pas fonctionner.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 8 heures, Alm a dit :

Hello!

Petite question d'un mec qui a trop vu "The Imitation Game":

En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés...

on ne peut pas en déduire la clé pour tout décrypter?

Cordialement,

Un gars qui doit se pencher sur le tuto sécurité...

Le fichier « décrypter », n’est que le fichier d’origine... le « crypter » celui qui a subit la modification, c’est pas comme un raid ou le devine le produit manquant (la clef), car ce n’est pas elle qui modifie les données.

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement