[Help] CTB-Locker ransomware

Question, ce type de ransomware, est-ce qu'ils sont capables, de monter dans un NAS Syno en réseau, et via la sync cloud, de monter dans le cloud Dropbox pour le pourrir, en cryptant aussi l'historique de récupération (vu que j'ai pris l'option) ?

eGm_ oui c'est ce que plusieurs disent ici, même que ca COMMENCE par te crypter les disques reseaux

Je dois dire qu'autant je veille a la santé de mon nas (repliqué sur un autre nas) je dois dire que je n'ai jamais songé a la possibilité d'un bidule merdique qui aille se connecter a fucker tous les shares (donc le master et son backup dans le worst case total)....

Puisque bien sur mon user serait parfaitement en droit de tout zapper

Bref je vais un peu repenser cela ...

yop... je pense pas qu'il faut tomber dans la parano, de par le faite quil doit être exécute clairement sur le poste via un mail bidon avec un attachement type "facture machin"
l'un dans l'autre les utilisateurs avancés reconnaissent ce type de mail facilement
le but étant les rançons il visent en particulier les administrations.
kaspersky était le seul à détecter la menace à 0 day

hitm4n a dit:

yop... je pense pas qu'il faut tomber dans la parano, de par le faite quil doit être exécute clairement sur le poste via un mail bidon avec un attachement type "facture machin"
l'un dans l'autre les utilisateurs avancés reconnaissent ce type de mail facilement
le but étant les rançons il visent en particulier les administrations.
kaspersky était le seul à détecter la menace à 0 day

Cliquez pour agrandir...

On est bien d'accord, mais le souci, c'est qu'il suffit que ce mail avec attachement vérolé inclue un auto-envoi à tous les contacts en mémoire, et que tu discutes avec un pote vérolé par mail. Si tu fais pas gaffe, bam, sur ta machine perso.

Donc, faut quand même faire un minimum gaffe à titre privé.

Concernant Sebulba , sont NAS doit contenir aussi blindé de trucs pour GamerZ j'imagine, donc, ça devrait être sécurisé

Mon NAS, perso, c'est :
- 75% de données perdables (mes fichiers mp3 qui sont aussi dans le cloud, mes films, les dl d'installeur genre STEAM, ...) --> si je perd, m'enfous, c'est juste du temps perdu à re dl sur steam / itunes / ...
- 15% de données dont la perte m'ennuierait mais dont je pourrais me dispenser --> Les RAW que j'ai exclu de mes lots photos. Donc, c'est juste un backup mensuel (rajout des lot de photo non encore copié)sur un HDD externe, branché et débranché, avec vérification de deux trois lots de RAW à chaque fois pour être sur que c'est toujours ok
- 10 % de données cruciales que je ne veux pas perdre, ce qui inclue des fichiers genre, déclaration fiscale, catalogue LR définitif avec les RAW et les jpg lié, etc. Ces données sont sur le NAS, sync avec mon Dropbox (qui dispose de l'option historique illimité des modifications) et je fais des copies mensuelles de mon Dropbox sur le même hdd qu'au dessus.

Mais, si le ransomware peut faire foirer l'historique illimité de Dropbox et/ou me faire perdre l'accès à ma Dropbox (via l'API cloud du Syno), c'est caca O_O

hitm4n a dit:

yop... je pense pas qu'il faut tomber dans la parano, de par le faite quil doit être exécute clairement sur le poste via un mail bidon avec un attachement type "facture machin"
l'un dans l'autre les utilisateurs avancés reconnaissent ce type de mail facilement
le but étant les rançons il visent en particulier les administrations.
kaspersky était le seul à détecter la menace à 0 day

Cliquez pour agrandir...

Il me semble même qu'un bête antivirus le bloque.

La machine en question n’avais pas d 'antivirus.

Hyene a dit:

Il me semble même qu'un bête antivirus le bloque.

La machine en question n’avais pas d 'antivirus.

Cliquez pour agrandir...

Y a toujours des personnes kamikazes

Bon ben, j'ai un client qui a réussi à se chopper la crasse CTB Locker.

Je n'ai rien trouvé sur le web, donc quelqu'un aurait trouvé une info pour décrypter les données ???

Malheureusement pas...

Chez nous on formate directement + backup des données. Check malgré tout sur korben il y avait une news avec les clés de décryptage d'une certaine variante.... Qui sait... Un peu de chance... : )

iDeq a dit:

Malheureusement pas...

Chez nous on formate directement + backup des données. Check malgré tout sur korben il y avait une news avec les clés de décryptage d'une certaine variante.... Qui sait... Un peu de chance... : )

Cliquez pour agrandir...

Dans mon cas, j'ai p-ê la solution, le client a le Norton 360 depuis un mois ou deux. Ce Norton, a une fonction de sauvegarde.

Ca crée un lecteur spécial de sauvegarde. J'ai été check et, les données sont dedans sans leurs extensions pourries, avec un peu de chance donc, ca sera ok

C'est vraiment une belle saloperie, heureusement, je l'ai pas branché sur le réseau directement.

Pour ceux qui utilise NOD 32 (serveur ou personnel), vous êtes protéger.
Je conseil a ceux qui n'ont pas d'antivirus de prendre la version 30 jours d’essais.
Ils conseillent de ne pas autoriser le remote desktop(ce qui n'est pas vraiment possible pour tous le monde...).

Je suis désolé d'entendre ça. Je ne peux malheureusement pas t'aider. Comment le virus s'est-il fait infiltré?

Le post date, mais en fait, c'est souvent par mail.

Il y a une nouvelle variante qui existe depuis peu.

Les mails sont soit disant d'électrabel ou de l'UCM ( une facture ).

Si tu ouvres la facture, tu ouvres la boite de pandore.

Hello,

J'apporte ma pierre à l'édifice:

Un de mes clients à été infecté: son PC et le NAS cryptés, les 3 autres PC's du réseau n'ont pas été touché.

Pas de solution pour décrypter, heureusement pour lui, j'avais mis un disque USB sur son NAS avec backup auto tous les jours à minuit et surtout, surtout, personne n'avait le droit de mapper ce disque externe.

Donc les données étaient dessus puisque seul le user interne du syno avait accès à ce disque.