Ransomware ..DOC

[DeeDoo124]

Bonjour à tous !

 

Mon entreprise à été infecté par le ransomware "..Doc" qui est apparemment un dérivé de Globeimposter.

 

Petit récap :

 

L'un de nos collaborateurs à malencontreusement cliqué sur une pièce jointe à un mail reçu (spam) et à donc déclenché le malware.

 

Tous nos fichiers (ordinateur Windows 7, SSD, disque de sauvegarde branché au moment de l'attaque) ont été modifiés de cette manière : NOM_FICHIER.Extension..DOC

 

Et ceux-ci sont malheureusement inutilisables.

 

Notre service informatique à suivi le lien présent dans tous nos dossier (Read___Me.html) et à pris contact avec eux via Tor sans réponse de leur part.

 

J'ai tenté plusieurs solutions : Multiples anti-virus, Shadow folder, Recuva mais rien n'y fait..

 

Avez-vous déjà eu affaire à ce ransomware ou avez-vous une solution ?

 

Je vous remercie par avance pour votre aide.

[DeeDoo124]

Pour complément, j'ai fait un ZHP Diag si ça peut aider

 

https://www.cjoint.com/c/HAfrydga1JV

 

Merci encore pour votre aide

[Apollo]

Bonsoir,

 

Il est très rarement possible de décrypter les fichiers atteints par un ransomware, cependant l'extension *.doc me fait penser à l'infection Rector.

 

Il ne faut JAMAIS payer le moindre sou!

 

Kaspersky a développé un outil spécial pour décrypter les dossiers/fichiers ce genre d'infection mais avec l'évolution de ces monstres, on ne peut jamais affirmer qu'un outil va désinfecter complètement une infection aussi grave.

 

Il n'y a donc pas de remède miracle et seule la prévention par la création de sauvegardes à l'aide de programmes comme Acronis True Image permet de récupérer ses dossiers et fichiers sains après réinstallation complète du système après formatage.

 

Cela ne coûte rien d'essayer avec Rector Decryptor dont le tutoriel d'utilisation se trouve ici =>> https://support.kaspersky.com/fr/4264#block4

 

Je te souhaite bonne chance.

 

@++

 

Il existe de très bons tuto et un forum de spécialistes des Ransomwares, en anglais: https://www.bleepingcomputer.com/forums/f/239/ransomware-help-tech-support/

Modifié le 5 janvier 2018 par Apollo

[DeeDoo124]

Bonjour et mille mercis pour votre réponse,

 

Le scan est en cours mais il à déjà trouvé 9500 infections et corrigés 9200.

 

Je vais le laisser travailler cette nuit et je vous dirais ce qu'il en est demain.

 

Merci encore pour tous !!!! ^^

[Apollo]

De rien, je souhaite que tu réussisses à sauver tes fichiers; j'insiste sur le fait qu'il faut bien lire tout le tutoriel car il est possible qu'il faille employer des outils supplémentaires pour suppléer Rector Decryptor (point 4).

 

Il est évident que la protection Sophos (ou Avast?) n'est pas suffisante et qu'il faudra envisager une meilleure solution à l'avenir. Personnellement je n'ai jamais été inquiété par des ransomwares mais la protection d'un logiciel comme Kaspersky Internet Security ou K. Total Security peut également se révéler inefficace si le comportement de certains internautes est dangereux. (téléchargements de films, de logiciels crackés ou de Keylogger, etc.) J'ai déjà eu à traiter un genre d'infection impossible à réparer à cause d'un bête téléchargement de mp3, ce qui a mené tout droit à la suppression de la partition et formatage du disque dur avec perte et fracas des dossiers et fichiers personnels et/ou professionnels.

 

Windows 7 dispose d'un contrôle parental qui permet évidemment d'interdire l'accès aux sites dangereux. Idem pour les solutions de sécurité complètes et sérieuses.

 

Je précise à tout hasard que je n'ai aucune action ni intérêt chez Kaspersky, je suis conseiller et je considère, l'utilisant depuis bon nombre d'années, que c'est le meilleur avec Dr Web. Je ne fais donc que suggérer.

 

@++

[DeeDoo124]

Re bonjour,

 

Le logiciel de Kasperky à bien retirer les extensions mais les fichiers ne sont pas lisibles pour autant.

 

Nous allons reprendre une vieille sauvegarde et tout rattraper comme ça.

 

Je vous remercie en tout cas pour votre aide et vos conseils et vous tiendrait au courant si d'aventure je réussi à tout récupérer (Je fais une sauvegarde des fichiers vérollés).

 

Merci encore !

[Apollo]

Bonjour,

 

Ok, mais avant d'en arriver là, je te suggère quand-même d'installer une version d'essai de Kaspersky afin de procéder à une analyse complète de l'ordinateur.

 

As-tu utilisé les autres utilitaires cités au point 4 de leur procédure?

 

Ces infections sont de véritables plaies; cela a causé beaucoup de pertes aux particuliers mais plus grave à des entreprises, il faut dès lors ce qui se fait de mieux en matière de sécurité. N'en déplaise à certains esprits chagrin qui critiquent à tort et à travers. En la matière je ne fais pas confiance à n'importe quoi et pourtant je ne suis qu'un amateur; je l'affirme d'expérience.

 

@++

[DeeDoo124]

Re bonjour, je viens d'installer et de terminer l'analyse complète pas Kaspersky et il n'a rien trouvé.

 

J'ai également testé les 2 logiciels supplémentaires (point 4) mais rien n'y fait, il ne trouve pas de fichiers cryptés contrairement au précédent.

 

Merci en tout cas pour tout