Bonsoir à tous,
une amie a son PC crypté par un ransomware qui a rajouté l'extension .3o6x8 à tous ses fichiers.
 
Ca parle à quelqu'un?
Il existe une solution de décryptage?
 
PS :j'ai aussi commencé un nettoyage du PC avec avast antivirus + MalwaresBytes. Vous me conseillez quoi d'autre?

Format C:
puis restorer son dernier backup de ses documents.

Tu peux tenter de trouver un utilitaire de déchiffrement sur le site créé par Europol : https://www.nomoreransom.org/fr/decryption-tools.html  
 
Sinon c'est foutu et il faut réinstaller comme le dit Z_cool.

Bonjour,
Par quelle cause ce ransomware est-il parvenu à infecter le PC?

Le pb c'est qu'elle ne sait pas... C'est une personne d'un certain age (55 ans), pas tres à l'aise avec l'informatique.
 
Sa clef USB de sauvegarde a été cryptée également...(oui je sais ce n'est pas un moyen de sauvegarde suffisant)

C'est un Windows 7 ?

ci dessous le message contenu dans les fichiers txt à la base de chaque repertoire :  
 
---=== Welcome. Again. ===---
 
[+] Whats Happen? [+]
 
Your files are encrypted, and currently unavailable. You can check it: all files on you computer has expansion 3o6x8.
By the way, everything is possible to recover (restore), but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
 
[+] What guarantees? [+]
 
Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will not cooperate with us. Its not in our interests.
To check the ability of returning files, You should go to our website. There you can decrypt one file for free. That is our guarantee.
If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause just we have the private key. In practise - time is much more valuable than money.
 
[+] How to get access on website? [+]
 
You have two ways:
 
1) [Recommended] Using a TOR browser!
  a) Download and install TOR browser from this site: https://torproject.org/
  b) Open our website: http://aplebzu47wgazapdqks6vrcv6zc [...] B6DCD88635
 
2) If TOR blocked in your country, try to use VPN! But you can use our secondary website. For this:
  a) Open your any browser (Chrome, Firefox, Opera, IE, Edge)
  b) Open our secondary website: http://decryptor.top/5BB5DDB6DCD88635
 
Warning: secondary website can be blocked, thats why first variant much better and more available.
 
When you open our website, put the following data in the input form:
Key:
 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 
 
 
Extension name:
 
3o6x8
 
-----------------------------------------------------------------------------------------
 
!!! DANGER !!!
DONT try to change files by yourself, DONT use any third party software for restoring your data or antivirus solutions - its may entail damge of the private key and, as result, The Loss all data.
!!! !!! !!!
ONE MORE TIME: Its in your interests to get your files back. From our side, we (the best specialists) make everything for restoring, but please should not interfere.
!!! !!! !!!

A priori, le ransomware s'appelle SODINOKIBI
 
https://www.bleepingcomputer.com/ne [...] c-servers/

il y a l'air d'y avoir des similitudes avec GrandCrab
https://www.zdnet.com/article/sodin [...] -zero-day/
 
Pour l'instant, pas de solution, mais il y a une petite chance qu'il soit déchiffrer par la suite.

un nouvel article sur THE ransomware de l'année...
https://www.undernews.fr/malwares-v [...] ndows.html
 
Un espoir de décrypteur à venir :  

Bonjour à tous,
 
Je me permets de rebondir sur ce post car j'ai été infecté par ce ransomware ce 24 juillet. Mon bureau a été modifié et mes fichiers cryptés. Le texte posté est similaire, seule l'extension change.
 
J'avoue être très étonné par l'apparition de ce ransom sur mon système car je n'ai vraiment rien d'installé comme soft et je n'ai pas touché au pc pendant 3 jours avant de le voir apparaître. (j'ai rien téléchargé, pas exécuté d'exe, j'ai même pas de boite mail de configuré).
 
Plus précisément mon PC est un NUC sous windows 10 pro à jour avec 2 VM qui tournent pour des tests. Bien qu'assez dépité, j'ai pas cherché midi à 14 heures et j'ai resinstallé windows.
 
Cependant ce qui m'inquiète le plus c'est que je ne sais vraiment pas comment ce truc est apparu et donc comment je peux m'en protéger à l'avenir.
 
Ma seule piste est que mon NUC tourne 24/7 et que j'ai ouvert quelques ports pour de l'accès à distance.
 
Bref si vous avez des pistes de la façon dont ce ransom infecte les pc je suis preneur.

Si ces ports ne sont pas suffisamment sécurisés (accès chiffré, accès par VPN, mot de passe fort, ...) ou s'il existe des failles exploitables (il y en a toujours) dans les services que tu as ouvert, alors c'est probablement par là que ça s'est passé.
Peut-être que la date de modification des fichiers peut te donner un indice sur quand ça s'est produit.

tiens, ca fait quelque joursque Synology me SPAM en me disant qu'ils ont des retour de NAS qui se sont fait crypté et me donne une petite procédure pour sécuriser mon NAS.
 
va peut etre falloir que je regarde ...

Merci Nex84 pour ta piste. De mon côté je continue l'enquête même si ça va être plus compliqué car j'ai tout formaté    
 
Il faudrait qu'on puisse identifier clairement la manière dont se propage cette saloperie. De mon côté je suis sûr que:

• Je n'ai rien téléchargé depuis plusieurs jours
• Je n'ai rien exécuté de louche ni même de légitime
• Je n'ai pas surfé sur Internet avec ce PC depuis le 22 et j'ai été infecté le 24
• Je n'ai pas pu être infecté par un email car je n'ai pas de boîte mail sur ce NUC et je ne me suis pas connecté à un webmail
• L'anti-virus windows n'a rien trouvé le jour de la découverte (mais cela semble normal vu le ransomware utilisé)
• La protection contre les ransomware windows n'était pas activée (d'ailleurs est-ce efficace contre ce ransome spécifique ?)
• Les ports suivants étaient ouverts : 3389; 1723
• Mon log et mon mdp de session windows etaient super mega faiblard  
• Une seule VM tournait à ce moment (OMV)
• Les VM tournaient sous hyper-v
• Les fichiers dans les dossiers des disques virtuels n'ont pas été infectés
• Les dossiers partagés sur les durs virtuels étaient protégés par de vrais logins / mdp

Bref, je suppute une attaque via le RDP windows, franchement je vois rien d'autre à ce stade.  
 
Pensez-vous que ce soit un mode de propagation possible actuellement ? Et si oui comment s'en prémunir ?
 
J'espère qu'on pourra partager nos tristes expériences pour faire avancer le schlimblick.  
 
Je constate cependant qu'on ne trouve pas trop de littérature francophone à ce sujet. Les premières attaques ne semblant pas concerner l’Europe à ce stade...mais ça c'était avant...

Pour la connection RDP, essaye de regarder dans les journaux d'événements de Windows dans la partie audit pour voir si tu as des connexions bizarres.
Tu peux aussi regarder dans Application et Système pour voir s'il y a des traces d'activités qui trahiraient l'exécution du crypto (désactivation de services, changements de config, ...)

 
Hello, peux-tu préciser où ? Pour rappel j'ai formaté le système donc ça va être compliqué pour le NUC.    
En revanche pour mon pc portable que j'utilise au quotidien je regarde s'il n'y a pas eu des tentatives aux mêmes heures....mais je ne trouve rien pour l'instant....
 
Après sur mon portable c'est une édition familiale donc pas de RDP...mais si le virus était sur le NUC je suppose qu'il a essayé de se propager aux autres PC du réseau....où dois-je chercher précisément ?

Si tu as formaté le NUC c'est trop tard pour voir ce qu'il s'y est passé.
On ne peut plus faire que des suppositions.

1) Acheter des licences légales
2) Utiliser Windows 10
3) Appliquer toutes les mises à jour
4) Désinstaller le SMBv1
5) N'utiliser qu'un compte utilisateur limité et ne pas désactiver l'UAC
6) ne pas ouvrir le RDP ou le RPC vers internet
7) Ne pas suivre de tutos débiles
8) Ne pas configurer des partages sans mot de passe
9) Utiliser un antivirus/parefeu logiciel correct (ceux intégrés à Windows 10 1903 font l'affaire)

Merci à tous pour vos réponses.
 
Même si je ne peux en être sûr à 100%, je pense que l'ouverture des ports rdp m'a été fatale avec mes log/mdp à la mord moi le noeud !
 
Pour ma prochaine install je vais bien appliquer les conseils de nebulios et surtout monter un serveur vpn sur la machine afin de m'y connecter par certificat.

REvil vient de nous attaquer avec Sodikonibi...
Des pirates réclament une rançon record de 50 millions de dollars à Acer

 
Attaquer un poste ou tout le réseau ?
Ton lien pointe sur Sodikonibi.

Mondial.
 
Lien corrigé.