nico1375 Posté(e) le 14 mars 2019 Partager Posté(e) le 14 mars 2019 Bon ça faisait plusieurs jours que j'entendais mon NAS gratter en permanence, mais 'étais pas inquiet car j'avais installé BLISS pour scanner et analyser la musique... Bref, tout à l'heure je regarde mon dossier vidéo monté en NFS et tous les fichiers sont cryptés et portent l'extention .crypted ... Il y a un fichier dans le répertoire donc je vous livre le contenu ici : What happened to your files ? All of your files were protected by a strong encryption with AES cbc-128 using MegaLocker Virus. What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files. What do I do ? You can buy decryption for $800 for company and 250$ for private person. But before you pay, you can make sure that we can really decrypt any of your files. To do this, send us 1 random encrypted file to alexshkipper@firemail.cc , alexshkipper@mail.ru, a maximum of 5 megabytes, we will decrypt them and we will send you back. Do not forget to send in the letter your unique id: XXX You can check the decryption of more than one file, but no more than 3. To do this, send us two more letters with files, there should be only one file in each letter! If you are a private person, then send your private photo (birthday, holidays, hobbies and so on), this will prove to us that you are a private person and you will pay 250$ for decrypting files. If you are not a private person - Do not try to deceive us!!! Do not complain about these email addresses, because other people will not be able to decrypt their files! After confirming the decryption, you must pay it in bitcoins. We will send you a bitcoin wallet along with the decrypted file. You can pay bitcoins online in many ways: https://buy.blockexplorer.com/ - payment by bank card https://www.buybitcoinworldwide.com/ https://localbitcoins.net About Bitcoins: https://en.wikipedia.org/wiki/Bitcoin If you have any questions, write to us at alexshkipper@firemail.cc , alexshkipper@mail.ru Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 14 mars 2019 Partager Posté(e) le 14 mars 2019 Oui est ? A part te dire que l’un de tes appareils crypte tes données... Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 14 mars 2019 Auteur Partager Posté(e) le 14 mars 2019 Ben si quelqu'un a une idee pour trouver le programme et le detruire avant qu'il ne crypte le reste... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 14 mars 2019 Partager Posté(e) le 14 mars 2019 Ah voilà la fin de ton message x) Tu n’as pas l’air très stressé ^^ Bah stop déjà le partage non ? Cela serait le plus logique que de laissé faire... après voir les logs si tu les activés ou via le moniteur de ressource pour voir le responsable... Après tu ne dois pas avoir 300 ordinateurs chez toi qui accède à ce partage, donc tu devrais vite trouvais le coupable. Lien vers le commentaire Partager sur d’autres sites More sharing options...
dobi13 Posté(e) le 14 mars 2019 Partager Posté(e) le 14 mars 2019 Comment savoir si c'est le Nas lui même qui serait infecté par un malware ou si c'est un PC qui a crypté les données ? Tu avais un ordi allumé ou même qui accédait au NAS en distant pendant que les disques grattaient ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 Il y a 12 heures, dobi13 a dit : Comment savoir si c'est le Nas lui même qui serait infecté par un malware ou si c'est un PC qui a crypté les données ? Tu avais un ordi allumé ou même qui accédait au NAS en distant pendant que les disques grattaient ? Il le dit... un seul dossier partager en NFS... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 C'est tout simplement un cryptolocker. Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données. Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 15 mars 2019 Auteur Partager Posté(e) le 15 mars 2019 Il y a 4 heures, Mic13710 a dit : C'est tout simplement un cryptolocker. Et là, soit il y a des sauvegardes et le fameux alexshkipper peut aller se faire voir ailleurs (il suffit de refaire une install neuve et de restaurer les données), soit vous n'en avez pas, auquel cas, va falloir raquer 250$ pour décrypter les données. Alors j'ai bien compris de quoi il s'agit hein... Et je n'ai pas l'intention de lui verser quoi que ce soit à ce fxxxxxxxte ! Ce qui me préoccupe c'est comment trouver la tâche qui est en train de crypter au prochain démarrage, et comment je la tue. Car oui je vais tout effacer et restaurer. Mais certaines données ne sont pas forcément sauvegardées, et j'aimerais pouvoir redémarrer le nas et sauvegarder les qqs trucs qui me manquent. Par contre je ne veux pas que pendant que je fais ça, cette merde de locker continue de travailler. Donc... comment je le trouve et je le dézingue. J'ai déjà pris mon parti de dire au revoir à ce qui avait été crypté, c'est pas bien grave. Lien vers le commentaire Partager sur d’autres sites More sharing options...
lose Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 il me semble, je ne suis pas sûr, que certains virus étaient lancés par un fichier *.inf, dès que tu ouvrais un répertoires, le virus se lançait. mais, c'est comme rechercher un aguille dans un botte de foin. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro. Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 15 mars 2019 Auteur Partager Posté(e) le 15 mars 2019 Ca, de toute façon je vais reformater... Lien vers le commentaire Partager sur d’autres sites More sharing options...
lose Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 petite question, les virus et autres, ils ne sont pas sauvegardés lors des backup ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 il y a 51 minutes, Mic13710 a dit : la commande pour lister les processus: ps. Reste à identifier le numéro du processus (PID) pour le tuer avec kill PID A mon avis il ne faut pas se poser de questions et refaire une install propre. Tant pis pour les données qui n'auraient pas été sauvegardées. Parce que cette cochonnerie peut se loger partout et le seul moyen pour s'en débarrasser c'est de formater les disques et repartir de zéro. Pas certain que ce soit lié au NAS... Je penche plutôt pour une personne qui est naïve et clique un peu sur tout et n'importe quoi sur un ordinateur qui a le NAS en lecteur réseau via le protocole NFS avec les droits d'écritures et je parierai même qu'il a aussi les droits administrateur... Je pense aussi que ce membre n'a pas activé via File Station les journaux des manipulations de fichiers donc ça peu être difficile de savoir quel appareil à lancer cette merde si il en a plusieurs. Bref, que faire ? Bah comme ça été dit, arrêter le partage NFS même si à mon avis c'est déjà trop tard... Je suppose qu'il y a derrière ce NAS un ordinateur qui rencontre le même soucis et dans ce cas, ça viendrait certainement de lui. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 15 mars 2019 Partager Posté(e) le 15 mars 2019 il y a 29 minutes, lose a dit : petite question, les virus et autres, ils ne sont pas sauvegardés lors des backup ? Si. D'où l'intérêt d'avoir plusieurs sauvegardes périodiques. Normalement avec l'historique d'hyperbackup on devrait pouvoir remonter jusqu'à la dernière sauvegarde propre. @Zeus Tu as peut-être raison sur la source du problème, néanmoins il est indéniable que le virus se retrouve sur le NAS et selon son niveau de pénétration il est possible qu'il ait infecté d'autres dossiers, surtout si comme tu le dis la connexion se fait en mode administrateur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Brunchto Posté(e) le 16 mars 2019 Partager Posté(e) le 16 mars 2019 là, on conjecture pas mal… quelle est la version de DSM? qui accédait au partage NFS? Quels Droits? avant de tout reformater, faudrait savoir ce qui crypte… parce que si c'est pas sur le syno, on pourra toujours restaurer, le cryptage recommencera... partage NFS sur videos, tu n'aurais pas une box avec un player video qqpart? il a l'air assez réçent (le megalocker). Je n'ai pas trouvé trop d'infos. le peu que j'ai trouvé concernait un site web ou un partage sur un syno https://support.emsisoft.com/topic/30706-megalocker-virus/?tab=comments#comment-191273 Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 16 mars 2019 Auteur Partager Posté(e) le 16 mars 2019 Derniere version de DSM. Je sais plus laquelle mais 6.2.xxxx il me semble. Il y a mon laptop (archlinux) qui accède au NAS avec en effet les droits en ecriture car je copie souvent des fichiers du laptop vers le NAS. Il y a egalement une nvidia shield sur le réseau avec kodi qui lit les fichiers présents sur le nas. Il y avait le firewall activé me semble-t-il puisque des ip tentant de se connecter en ssh ont été blacklistées. Par contre fort possible que la faiblesse soit venue du mot de passe. Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 17 mars 2019 Auteur Partager Posté(e) le 17 mars 2019 Bon, le fin mot de l'histoire c'est que les partages SMB etaient apparemment accessibles depuis le WAN (!!!). Et que j'ai trouvé l'IP (en france) de celui qui a fait ça. Quelqu'un connait un outil pour remonter précisément? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Brunchto Posté(e) le 17 mars 2019 Partager Posté(e) le 17 mars 2019 le SMB sur le wan??? tu avais mis le syno en DMZ? a quel moment on ouvre le SMB sur internet? c'est chercher la 💀💀💀💀 Lien vers le commentaire Partager sur d’autres sites More sharing options...
nico1375 Posté(e) le 17 mars 2019 Auteur Partager Posté(e) le 17 mars 2019 Bien évidemment je ne m'en étais pas rendu compte, je suis c... mais pas suicidaire. Je sais vraiment pas comment ça a pu se produire. Donc oui c'etait evidemment chercher la... Lien vers le commentaire Partager sur d’autres sites More sharing options...
lose Posté(e) le 17 mars 2019 Partager Posté(e) le 17 mars 2019 Il y a 5 heures, nico1375 a dit : Bon, le fin mot de l'histoire c'est que les partages SMB etaient apparemment accessibles depuis le WAN (!!!). Et que j'ai trouvé l'IP (en france) de celui qui a fait ça. Quelqu'un connait un outil pour remonter précisément? je ne pense pas que tu trouve un outil pour trouver l'adresse précisément, si tu fait un tracert (sur windows), tu verra que le début des ip sont propres à ton opérateur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 18 mars 2019 Partager Posté(e) le 18 mars 2019 Même si tu avais mit ton LAN sur ton WAN, ça n'explique pas comment et surtout qui a lancé le processus et via quelle machine. Mais comme tu ne réponds pas à toutes les questions, on peut pas tout deviner... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Alm Posté(e) le 22 mars 2019 Partager Posté(e) le 22 mars 2019 Hello! Petite question d'un mec qui a trop vu "The Imitation Game": En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés... on ne peut pas en déduire la clé pour tout décrypter? Cordialement, Un gars qui doit se pencher sur le tuto sécurité... Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 22 mars 2019 Partager Posté(e) le 22 mars 2019 On ne parle pas de cryptage mais de chiffrement 😉 Et n'étant pas un expert en chiffrement, je dirais simplement que c'est chiffré sur le moment avec des données uniques donc non, ça ne doit pas fonctionner. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Einsteinium Posté(e) le 22 mars 2019 Partager Posté(e) le 22 mars 2019 Il y a 8 heures, Alm a dit : Hello! Petite question d'un mec qui a trop vu "The Imitation Game": En admettant que l'on envoie 3 fichiers cryptés et que l'on reçoive les trois mêmes fichiers décryptés... on ne peut pas en déduire la clé pour tout décrypter? Cordialement, Un gars qui doit se pencher sur le tuto sécurité... Le fichier « décrypter », n’est que le fichier d’origine... le « crypter » celui qui a subit la modification, c’est pas comme un raid ou le devine le produit manquant (la clef), car ce n’est pas elle qui modifie les données. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Alm Posté(e) le 23 mars 2019 Partager Posté(e) le 23 mars 2019 Merci @Zeus et @Einsteinium! C'était trop beau pour être vrai... j'ai trop regardé "The Imitation Game" je crois 😂 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.