Aller au contenu

Piraté et dossier crypté...


nico1375

Messages recommandés

Bon ça faisait plusieurs jours que j'entendais mon NAS gratter en permanence, mais 'étais pas inquiet car j'avais installé BLISS pour scanner et analyser la musique...

Bref, tout à l'heure je regarde mon dossier vidéo monté en NFS et tous les fichiers sont cryptés et portent l'extention .crypted ...

Il y a un fichier dans le répertoire donc je vous livre le contenu ici :

What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using MegaLocker Virus.

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, 
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.

What do I do ?
You can buy decryption for $800 for company and 250$ for private person.
But before you pay, you can make sure that we can really decrypt any of your files.

To do this, send us 1 random encrypted file to alexshkipper@firemail.cc , alexshkipper@mail.ru, a maximum of 5 megabytes, we will decrypt them
and we will send you back. Do not forget to send in the letter your unique id: XXX

You can check the decryption of more than one file, but no more than 3. 
To do this, send us two more letters with files, there should be only one file in each letter!

If you are a private person, then send your private photo (birthday, holidays, hobbies and so on), 
this will prove to us that you are a private person and you will pay 250$ for decrypting files. 
If you are not a private person - Do not try to deceive us!!!

Do not complain about these email addresses, because other people will not be able to decrypt their files!

After confirming the decryption, you must pay it in bitcoins. We will send you a bitcoin wallet along with the decrypted file.

You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net

About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin

If you have any questions, write to us at alexshkipper@firemail.cc , alexshkipper@mail.ru

 

Lien vers le commentaire
Partager sur d’autres sites

Ah voilà la fin de ton message x)

Tu n’as pas l’air très stressé ^^

Bah stop déjà le partage non ? Cela serait le plus logique que de laissé faire... après voir les logs si tu les activés ou via le moniteur de ressource pour voir le responsable...

Après tu ne dois pas avoir 300 ordinateurs chez toi qui accède à ce partage, donc tu devrais vite trouvais le coupable.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, dobi13 a dit :

Comment savoir si c'est le Nas lui même qui serait infecté par un malware ou si c'est un PC qui a crypté les données ?

Tu avais un ordi allumé ou même qui accédait au NAS en distant pendant que les disques grattaient ?

Il le dit... un seul dossier partager en NFS... 

Lien vers le commentaire
Partager sur d’autres sites

C'est tout simplement un cryptolocker.

Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Mic13710 a dit :

C'est tout simplement un cryptolocker.

Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données.

Alors j'ai bien compris de quoi il s'agit hein... Et je n'ai pas l'intention de lui verser quoi que ce soit à ce fxxxxxxxte !

Ce qui me préoccupe c'est comment trouver la tâche qui est en train de crypter au prochain démarrage, et comment je la tue.

Car oui je vais tout effacer et restaurer.

Mais certaines données ne sont pas forcément sauvegardées, et j'aimerais pouvoir redémarrer le nas et sauvegarder les qqs trucs qui me manquent.

Par contre je ne veux pas que pendant que je fais ça, cette merde de locker continue de travailler.

Donc... comment je le trouve et je le dézingue.

J'ai déjà pris mon parti de dire au revoir à ce qui avait été crypté, c'est pas bien grave.

 

Lien vers le commentaire
Partager sur d’autres sites

la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID

A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro.

Lien vers le commentaire
Partager sur d’autres sites

il y a 51 minutes, Mic13710 a dit :

la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID

A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro.

Pas certain que ce soit lié au NAS...

Je penche plutôt pour une personne qui est naïve et clique un peu sur tout et n'importe quoi sur un ordinateur qui a le NAS en lecteur réseau via le protocole NFS avec les droits d'écritures et je parierai même qu'il a aussi les droits administrateur...

Je pense aussi que ce membre n'a pas activé via File Station les journaux des manipulations de fichiers donc ça peu être difficile de savoir quel appareil à lancer cette merde si il en a plusieurs.

Bref, que faire ?

Bah comme ça été dit, arrêter le partage NFS même si à mon avis c'est déjà trop tard...

Je suppose qu'il y a derrière ce NAS un ordinateur qui rencontre le même soucis et dans ce cas, ça viendrait certainement de lui.

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, lose a dit :

petite question, les virus et autres, ils ne sont pas sauvegardés lors des backup ?

Si. D'où l'intérêt d'avoir plusieurs sauvegardes périodiques. Normalement avec l'historique d'hyperbackup on devrait pouvoir remonter jusqu'à la dernière sauvegarde propre.

@Zeus Tu as peut-être raison sur la source du problème, néanmoins il est indéniable que le virus se retrouve sur le NAS et selon son niveau de pénétration il est possible qu'il ait infecté d'autres dossiers, surtout si comme tu le dis la connexion se fait en mode administrateur.

Lien vers le commentaire
Partager sur d’autres sites

là, on conjecture pas mal…

  • quelle est la version de DSM?
  • qui accédait au partage NFS? Quels Droits?

avant de tout reformater, faudrait savoir ce qui crypte… parce que si c'est pas sur le syno, on pourra toujours restaurer, le cryptage recommencera...

partage NFS sur videos, tu n'aurais pas une box avec un player video qqpart?

il a l'air assez réçent (le megalocker). Je n'ai pas trouvé trop d'infos. le peu que j'ai trouvé concernait un site web ou un partage sur un syno https://support.emsisoft.com/topic/30706-megalocker-virus/?tab=comments#comment-191273

Lien vers le commentaire
Partager sur d’autres sites

Derniere version de DSM. Je sais plus laquelle mais 6.2.xxxx il me semble.

Il y a mon laptop (archlinux) qui accède au NAS avec en effet les droits en ecriture car je copie souvent des fichiers du laptop vers le NAS.

Il y a egalement une nvidia shield sur le réseau avec kodi qui lit les fichiers présents sur le nas.

Il y avait le firewall activé me semble-t-il puisque des ip tentant de se connecter en ssh ont été blacklistées.

Par contre fort possible que la faiblesse soit venue du mot de passe.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, nico1375 a dit :

Bon, le fin mot de l'histoire c'est que les partages SMB etaient apparemment accessibles depuis le WAN  (!!!).

Et que j'ai trouvé l'IP (en france) de celui qui a fait ça.

Quelqu'un connait un outil pour remonter précisément?

je ne pense pas que tu trouve un outil pour trouver l'adresse précisément, si tu fait un tracert (sur windows), tu verra que le début des ip sont propres à ton opérateur.

Lien vers le commentaire
Partager sur d’autres sites

Hello!

Petite question d'un mec qui a trop vu "The Imitation Game":

En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés...

on ne peut pas en déduire la clé pour tout décrypter?

Cordialement,

Un gars qui doit se pencher sur le tuto sécurité...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 8 heures, Alm a dit :

Hello!

Petite question d'un mec qui a trop vu "The Imitation Game":

En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés...

on ne peut pas en déduire la clé pour tout décrypter?

Cordialement,

Un gars qui doit se pencher sur le tuto sécurité...

Le fichier « décrypter », n’est que le fichier d’origine... le « crypter » celui qui a subit la modification, c’est pas comme un raid ou le devine le produit manquant (la clef), car ce n’est pas elle qui modifie les données.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.