problème rançonware sur domaine 30 postes | 4 VM. - Virus/Spywares - Windows & Software
Marsh Posté le 23-08-2018 à 23:39:12
Le ransomware doit te créer un fichier texte pour te dire où payer ou avoir l'adresse mail du contact.
Tu regardes dans les propriétés du fichier et dans le nom du propriétaire, tu auras l'auteur de tes problèmes.
A mon avis le poste a peut être été redémarré le ransomware s'est lancé au démarrage à nouveau.
Marsh Posté le 24-08-2018 à 10:04:36
Non pro. Gravityzone sur serveur etc.
Au tel avec eux là. Ils commencent à 9h30...
Marsh Posté le 24-08-2018 à 10:32:04
Il va falloir tout restaurer à partir des backup oui. Et installer un antivirus pro + WSUS (voire AD s'il n'existe pas déjà). Et faire une revue des accès/permissions/versions des softs sur les machines.
Marsh Posté le 24-08-2018 à 10:40:20
C'est un antivirus pro Gravityzone, c'est la version console cloud de BitDefender.
Marsh Posté le 24-08-2018 à 11:31:46
Oui je disais non pas particulier, c'est pro. Pas clair désolé. Pour eux c'est un truc brutforce après une url vérolé... qui a casse les pass admin puis go la blague.
Restauration des VM check.
Restauration des postes en cours...
Marsh Posté le 24-08-2018 à 11:35:26
Si c'est du bruteforce, c'est souvent du RDP ouvert sur l'extérieur.
Tu as regardé le créateur des fichiers ?
Marsh Posté le 24-08-2018 à 13:45:36
Ce que je cherche.
Oui... Administrateurs (le groupe).
Marsh Posté le 24-08-2018 à 13:56:17
Regarde les membres du groupe administrateurs pour voir s'il n'y aurait pas de nouveaux comptes à l'intérieur.
Tous les postes sont à jours ?
Tu as accès au routeur ?
Regarde dans ton AD si tu as pas des comptes génériques avec le même login pass genre : test/test, scan/scan.
Marsh Posté le 24-08-2018 à 17:58:59
Compte supprimé et mdp "simple" trouvé.
Je nettoye l'AD, modifié tous les mdp (+12 carac), supprime etc... et en // réinstallation de 12 postes Win10.
Depuis 6h ce matin et j'ai pas terminé...
Je fais un backup du NAS... me reste encore 4h... avant de pouvoir relancer les VM et premiers tests.
Si je tenais les cons qui pondent ces merdes...
J'y suis depuis 6h ce matin.
Marsh Posté le 16-09-2018 à 21:57:34
Bonjour,
as tu avancé ?
rdp ouvert sur l'exterieur ?
tu peux mettre en place :
https://www.it-connect.fr/fsrm-prot [...] nsomwares/
Marsh Posté le 26-09-2018 à 16:34:25
Tout remarche correctement depuis.
J'ai monté les niveaux de sécurité du Firewall.
Les RDP étaient ouvert, c'est corrigé. J'ai des règles strictes pour les TV et autres... plus propre.
Je viens de voir ton lien, c'est très intéressant et pas con comme méthode ! Je garde sous le coude car j'aimerai tester ça pour voir.
Sinon ce n'est pas pour faire de la pub, mais je recommande fortement Veeam Backup !
Heureusement que j'avais ça en place pour restaurer mes VM directement fonctionnelle et cela rapidement. Super efficace, ça m'a sauvé la vie.
Marsh Posté le 23-08-2018 à 19:36:22
Salut.
Par avance désolé pour le pavé, mais je préfère bien vous situer le problème. Merci par avance si vous prenez le temps de tout lire.
Déjà je vous fait un petit listing pour situer l'installation :
1 serveur HyperV avec 4 VM sous du Windows. Sauvegarde NAS via VEEAM.
Réseau avec 30 postes (pas administrateur) tournant sous du Win10 et Win7.
Anti-virus Bitdefender. Firwall StormShield.
Le problème :
- Lundi :
- Je remarque sur une VM des fichiers *KRAB*.*
- Panique. je coupe tout. Les clichés sont corrompus. En fait ce con de rançonware s'est lancé dimanche vers 13h et a bien travaillé... 2 VM down. Aucun poste client de touché.
- Je restaure via le NAS (sueur froide quand au début il ne voit pas les backups) puis un rescan arrange le problème. Je restaure.
- En parallèle scan Bitdefender et Emsisoft Emergency Kit de tous les postes (déconnecté du reseau) et... rien de probant.
- Le lendemain, retour à la normale... tout rentre dans l'ordre.
- Jeudi :
- 15h un agent me demande de venir voir car il a une page web "étrange". En effet, page typique d'attrape con qui clignote de partout. Je "alt-F4" tout ça et lance un scan Bitdefender... et basta.
- 15h30 un autre agent se plaint de lenteur sur sa machine. Je regarde et là... je vois du *nmcrypt*.* à la racine et dans divers dossiers... en local et en réseau.
- Panique à bord. Je coupe tout.
- Bilan... j'ai les 4/5 des postes qui sont infectés en local... et les VM touchés. Le "propriétaire" de ces fichiers cryptés est "administrateurs"... c'est dingue.
Demain je dois embaucher à la première heure et trouver une solution... mais là hormis ré-installer tous les postes et restaurer les VM je ne vois pas de solutions. Pire, comment anticiper un retour du truc ?
Avez-vous du recul et des conseils sur ce genre de merde ?
Message édité par Wolfman le 17-09-2018 à 11:50:35
---------------
Smashing Pumpkins ★ The Outer Worlds 2 ★ Avowed ★ Clockwork Revolution