Bonjour,
 
  Ayant été victime du ransomware Locky, je suis à la recherche du/des PC d'origine de cette attaque, pour comprendre et éviter son retour.
  Savez-vous comment il choisit les répertoires à affecter ?
  Dans mon réseau, certains répertoires des mes 3 serveurs, quelques PC ont des fichiers Locky, tous à la même heure.
  Les PC ayant des fichiers locky sont forcément ceux sur lesquels il y a eu le virus ? ou le virus lancer sur 1 PC réussi à  
  Je ne retrouve aucune trace dans la table de registre de ce virus sur les PC affecté ni sur les serveurs.
  Le virus peut-il revenir ?
 
  Mon hypothèse, le virus c'est lancé sur un PC, peut être via un script dans un document Word ouvert par 1 utilisateur.  
  Mais comment le virus aurait affecté le bureau d'un autre PC sachant que le répertoire n'est pas partagé ?
 
Merci par avance.

 
Les derniers modifiées, manière de taper là où ça fait le plus mal en premier.
 

 
Si bureau/documents locaux modifiés, oui.
 

 
C'est l'une des raisons pour lesquelles les AV ont du mal à le chopper, il ne se comporte pas comme un virus en essayant de s'incruster se propager ou quoi.
 
Quand l'utilisateur le lance, il fait son merdier et c'est tout. Dans la plupart des cas tu peux considerer que fermer la session/rebooter suffit à arreter le tout.
Après il doit rester l'exe quelquepart dans un coin, là où l'utilisateur l'a lancé..
 

 
Cf mon post juste au dessus.
 

 
Il ne l'a pas fait.  
 
..Ou alors..
 
Ou alors, tous tes PCs roulent en admin avec les mêmes mots de passe, ce qui fait qu'un PC lambda peut acceder aux partages administratifs des autres.
J'espere pour toi que ce n'est pas le cas, sinon locky est probablement le moindre (ou seulement le premier) de tes soucis.

Pour éviter son retour, tu peux mettre un antispam sur ta messagerie.
Ce n'est pas une garantie, mais cela pourra bloquer une partie des menaces avant qu'elles n'arrivent chez toi.

La meilleure protection, c'est de rendre très attentif les personnes aux danger de ce type de nalware.  
 
On en a été victime au taf il y a quelques semaines, plus de peur de que de mal, vive les backup, mais quand même du temps de perdu, donc de l'argent.

 
et surtout d'arrêter d'ouvrir n'importe quelle pièce jointe à la con reçue par mail.
 
ma tante a un pc qu'elle n'utilise que pour les mails, elle ouvre quelques pièces jointes qu'elle reçoit et les fait suivre. Des diaporamas à la con, des fichiers word / powerpoint, des photos. Résultat : ben son installation était pas mal infectée....
 
perso toute les pièces jointes bidons reçues par mail, c'est poubelle directement.
 

Bonjour,
 
Le fichier exe prend toujours la forme du ladybi.exe ? ou autre ?
Quel outil me conseillerez vous pour le trouver et l'éradiquer.
 
Merci pour vos réponses.

 
Tu vas ici : http://forum.malekal.com/virus-aid [...] ijack.html

Bonjour !
Petite question: Ce type de virus peut il infecter un répertoire partagé/caché ? (avec $ au bout du nom de partage)

PS: Je parle bien sur d'un réseau avec des répertoires partagés.

il y peu de chances qu'il fasse ça.

C'est aussi ce je pense.
Il y a quelque mois nous avions eu une alerte de ce type où les fichiers étaient cryptés et le nom du fichier était affublé de l'extension "abc"...
J'avais remarqué alors que les répertoires cachés étaient préservés.

  Certes... Mais sur de multiples utilisateurs la faille restera toujours là...  
Surtout que ces malware repiquent les noms des intervenants...
 
Je pense qu'il vie avoir de plus en plus à avoir de difficultés à séparer le bon grain de l'ivraie...