Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1340 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  ransomware Locky

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ransomware Locky

n°3228874
snike
Posté le 19-04-2016 à 10:02:11  profilanswer
 

Bonjour,
 
  Ayant été victime du ransomware Locky, je suis à la recherche du/des PC d'origine de cette attaque, pour comprendre et éviter son retour.
  Savez-vous comment il choisit les répertoires à affecter ?
  Dans mon réseau, certains répertoires des mes 3 serveurs, quelques PC ont des fichiers Locky, tous à la même heure.
  Les PC ayant des fichiers locky sont forcément ceux sur lesquels il y a eu le virus ? ou le virus lancer sur 1 PC réussi à  
  Je ne retrouve aucune trace dans la table de registre de ce virus sur les PC affecté ni sur les serveurs.
  Le virus peut-il revenir ?
 
  Mon hypothèse, le virus c'est lancé sur un PC, peut être via un script dans un document Word ouvert par 1 utilisateur.  
  Mais comment le virus aurait affecté le bureau d'un autre PC sachant que le répertoire n'est pas partagé ?
 
Merci par avance.


---------------
Le problème avec les idées derrière la tête c'est qu'on ne peut pas les voir :??:
mood
Publicité
Posté le 19-04-2016 à 10:02:11  profilanswer
 

n°3228877
flash_gord​on
Posté le 19-04-2016 à 10:14:22  profilanswer
 

snike a écrit :


  Savez-vous comment il choisit les répertoires à affecter ?


 
Les derniers modifiées, manière de taper là où ça fait le plus mal en premier.
 

snike a écrit :


  Les PC ayant des fichiers locky sont forcément ceux sur lesquels il y a eu le virus ?


 
Si bureau/documents locaux modifiés, oui.
 

snike a écrit :


  Je ne retrouve aucune trace dans la table de registre de ce virus sur les PC affecté ni sur les serveurs.
 


 
C'est l'une des raisons pour lesquelles les AV ont du mal à le chopper, il ne se comporte pas comme un virus en essayant de s'incruster se propager ou quoi.
 
Quand l'utilisateur le lance, il fait son merdier et c'est tout. Dans la plupart des cas tu peux considerer que fermer la session/rebooter suffit à arreter le tout.
Après il doit rester l'exe quelquepart dans un coin, là où l'utilisateur l'a lancé..
 

snike a écrit :


  Le virus peut-il revenir ?


 
Cf mon post juste au dessus.
 

snike a écrit :


  Mais comment le virus aurait affecté le bureau d'un autre PC sachant que le répertoire n'est pas partagé ?


 
Il ne l'a pas fait.  
 
..Ou alors..
 
Ou alors, tous tes PCs roulent en admin avec les mêmes mots de passe, ce qui fait qu'un PC lambda peut acceder aux partages administratifs des autres.
J'espere pour toi que ce n'est pas le cas, sinon locky est probablement le moindre (ou seulement le premier) de tes soucis.


Message édité par flash_gordon le 19-04-2016 à 10:14:57
n°3228896
nnwldx
Posté le 19-04-2016 à 12:13:08  profilanswer
 

Pour éviter son retour, tu peux mettre un antispam sur ta messagerie.
Ce n'est pas une garantie, mais cela pourra bloquer une partie des menaces avant qu'elles n'arrivent chez toi.

n°3228902
Regla88
Posté le 19-04-2016 à 13:40:12  profilanswer
 

La meilleure protection, c'est de rendre très attentif les personnes aux danger de ce type de nalware.  
 
On en a été victime au taf il y a quelques semaines, plus de peur de que de mal, vive les backup, mais quand même du temps de perdu, donc de l'argent.

n°3228905
leroimerli​nbis
Posté le 19-04-2016 à 14:02:35  profilanswer
 

Regla88 a écrit :

La meilleure protection, c'est de rendre très attentif les personnes aux danger de ce type de nalware.  


 
et surtout d'arrêter d'ouvrir n'importe quelle pièce jointe à la con reçue par mail.
 
ma tante a un pc qu'elle n'utilise que pour les mails, elle ouvre quelques pièces jointes qu'elle reçoit et les fait suivre. Des diaporamas à la con, des fichiers word / powerpoint, des photos. Résultat : ben son installation était pas mal infectée....
 
perso toute les pièces jointes bidons reçues par mail, c'est poubelle directement.
 

n°3228916
snike
Posté le 19-04-2016 à 15:00:02  profilanswer
 

Bonjour,
 
Le fichier exe prend toujours la forme du ladybi.exe ? ou autre ?
Quel outil me conseillerez vous pour le trouver et l'éradiquer.
 
Merci pour vos réponses.


---------------
Le problème avec les idées derrière la tête c'est qu'on ne peut pas les voir :??:
n°3228934
Profil sup​primé
Posté le 19-04-2016 à 18:59:06  answer
 

snike a écrit :

Bonjour,
 
Le fichier exe prend toujours la forme du ladybi.exe ? ou autre ?
Quel outil me conseillerez vous pour le trouver et l'éradiquer.
 
Merci pour vos réponses.


 
Tu vas ici : http://forum.malekal.com/virus-aid [...] ijack.html

n°3231560
Guillaume1​958
Posté le 13-05-2016 à 17:44:14  profilanswer
 

:hello: Bonjour !
Petite question: Ce type de virus peut il infecter un répertoire partagé/caché ? (avec $ au bout du nom de partage)

 

PS: Je parle bien sur d'un réseau avec des répertoires partagés.


Message édité par Guillaume1958 le 13-05-2016 à 18:04:47
n°3231563
nnwldx
Posté le 13-05-2016 à 18:03:51  profilanswer
 

il y peu de chances qu'il fasse ça.

n°3231565
Guillaume1​958
Posté le 13-05-2016 à 18:20:45  profilanswer
 

C'est aussi ce je pense.
Il y a quelque mois nous avions eu une alerte de ce type où les fichiers étaient cryptés et le nom du fichier était affublé de l'extension "abc"...
J'avais remarqué alors que les répertoires cachés étaient préservés.


Message édité par Guillaume1958 le 13-05-2016 à 18:21:12
mood
Publicité
Posté le 13-05-2016 à 18:20:45  profilanswer
 

n°3231567
Guillaume1​958
Posté le 13-05-2016 à 18:42:46  profilanswer
 

Regla88 a écrit :

La meilleure protection, c'est de rendre très attentif les personnes aux danger de ce type de nalware.  
 
On en a été victime au taf il y a quelques semaines, plus de peur de que de mal, vive les backup, mais quand même du temps de perdu, donc de l'argent.


 :jap: Certes... Mais sur de multiples utilisateurs la faille restera toujours là...  
Surtout que ces malware repiquent les noms des intervenants...
 
Je pense qu'il vie avoir de plus en plus à avoir de difficultés à séparer le bon grain de l'ivraie...


Message édité par Guillaume1958 le 13-05-2016 à 18:58:08

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  ransomware Locky

 

Sujets relatifs
Ransomware RSA 4096Victime de "Locky" Virus qui renomme les fichier !
je suis tombé sur une page ransomwareVictime d'un ransomware
Ransomware Codeur Windows "Windows Emergency Security Update Center" 
Plus de sujets relatifs à : ransomware Locky


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR