PC SOFT

FORUMS PROFESSIONNELS
WINDEVWEBDEV et WINDEV Mobile

Accueil → WINDEV 2024 → Trés urgent : Je suis victime d'un virus
Trés urgent : Je suis victime d'un virus
Débuté par Logi2016, 15 déc. 2016 19:41 - 14 réponses
Posté le 15 décembre 2016 - 19:41
Bonjour

Je suis victime d'un virus indien
Toute ma base a été attaquée par ce virus
J'ai testé tous les options d'optimisations de WDOutil mais en vain

Il change le format des fichiers .fic et les index par ce ceci Commandes.FIC.[smartsupport@india.com].wallet

lors j'essaye d'ouvrir le ficher Commandes.FIC un message ce fichier b=n'est pas au format windev...


Merci de me donner une piste je suis bloqué
Posté le 16 décembre 2016 - 08:20
Bonjour,
Il semble que tu sois victime d'un ransonware...
A mon avis la solution se résume en 2 mots:
1. Désinfection
2. Restauration

Frédéric.

"Logi2016" a écrit dans le message de groupe de discussion :
2016fa6921cf1827679a7ab0a41e2866d3ca@news.pcsoft.fr...

Bonjour

Je suis victime d'un virus indien
Toute ma base a été attaquée par ce virus
J'ai testé tous les options d'optimisations de WDOutil mais en vain

Il change le format des fichiers .fic et les index par ce ceci
Commandes.FIC.[smartsupport@india.com].wallet

lors j'essaye d'ouvrir le ficher Commandes.FIC un message ce fichier
b=n'est pas au format windev...


Merci de me donner une piste je suis bloqué
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 16 décembre 2016 - 08:46
Yep plus anti-virus partout. On ne le dira pas assez souvent !!!

Heureusement qu'il y a les sauvegardes...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Message modifié, 16 décembre 2016 - 08:47
Membre enregistré
199 messages
Popularité : +14 (16 votes)
Posté le 16 décembre 2016 - 17:37
Bonjour,

Tu peux essayer aussi avec : https://fr.wikipedia.org/wiki/Shadow_Copy

--
Bon développement

Pierre Devillers
Posté le 16 décembre 2016 - 18:08
Bonjour DIP

Merci de votre aide, mais actuellement la machine ne démarre plus (les fichiers systèmes sont cryptés...

Donc je ne peux pas test le Shadow copys
Membre enregistré
1 623 messages
Popularité : +100 (114 votes)
Posté le 17 décembre 2016 - 20:52
Ransonware, pas de solution à part la restauration par une sauvegarde.
Membre enregistré
24 messages
Posté le 17 décembre 2016 - 22:00
Bonjour,

Avec un Live CD cela doit être possible de lancer ShadowCopy.

--

Claude
Posté le 22 décembre 2016 - 07:32
Bjr,

Philippe SB a exposé le 16/12/2016 :
Yep plus anti-virus partout. On ne le dira pas assez souvent !!!

Heureusement qu'il y a les sauvegardes...


Les AV ne servent quasiment a rien , la preuve, il en avait surement
un.
+1 et meme +100 pour les sauvegardes

a plus

--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Membre enregistré
199 messages
Popularité : +14 (16 votes)
Posté le 22 décembre 2016 - 13:54
Bonjours,

Certes, les anti-virus ne servent "plus" à grand chose, mais il y a aussi la mauvaise utilisation de ces programmes. A savoir, que malgré qu'ils travaillent en tâche de fond, il est recommandé de lancer l'analyse manuellement régulièrement, peu de gens le savent/le font. De même que l'utilisation et le lancement d'anti-malware, est tout aussi important.

Pour en revenir sur le début du fil, je viens de dépanner la machine d'un client, infectée par le Ransonware "Cerber3". Tout est rentré dans l'ordre.
La méthode utilisée : Réparation du boot secteur, lancement d'un CD Linux, nettoyage du disque dur (principalement toutes les zones de fichiers temporaires), démarrage à partir d'un CD Windows (10 pro dans mon cas) et récupération système à une date antérieure.
Pour la récupération des fichiers cryptés, j'ai utilisé Shadow Explorer.

Quant aux sauvegardes +1000 :p, d'autant plus que, les sauvegardes dans le Cloud, type "OneDrive Business" sont d'une simplicité enfantine et d'une efficacité redoutable.

--
Bon développement

Pierre Devillers
Membre enregistré
199 messages
Popularité : +14 (16 votes)
Posté le 22 décembre 2016 - 13:55
Bonjour sans le S

Désolé

--
Bon développement

Pierre Devillers
Posté le 22 décembre 2016 - 19:03
Bonjour,

NE PAS PAYER CETTE RANCON

J'ai fait l'erreur de payer la rançon de 0.8 BTC à smartsupport@india.com (btc adresse : 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF )

Il n'a jamais répondu ensuite et ne m'a pas envoyer le décripteur.

Donc mon conseil : NE PAS LE PAYER ... et pleurer sur ces datas...




Hi,

One server was infected by Dharma after a brute force RDP attack.

Email provided was : smartsupport@india.com
The ask us 0.8 Btc to send to 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF

We did it, but after that he never answer.
So we lost all our files, and waiting for someone who find a decryptor....

My advise is : NEVER PAY smartsupport@india.com, 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF or other ransom guy !
Posté le 22 décembre 2016 - 19:04
Bonjour,

NE PAS PAYER CETTE RANCON

J'ai fait l'erreur de payer la rançon de 0.8 BTC à smartsupport@india.com (btc adresse : 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF )

Il n'a jamais répondu ensuite et ne m'a pas envoyer le décripteur.

Donc mon conseil : NE PAS LE PAYER ... et pleurer sur ces datas...




Hi,

One server was infected by Dharma after a brute force RDP attack.

Email provided was : smartsupport@india.com
The ask us 0.8 Btc to send to 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF

We did it, but after that he never answer.
So we lost all our files, and waiting for someone who find a decryptor....

My advise is : NEVER PAY smartsupport@india.com, 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF or other ransom guy !
Posté le 22 décembre 2016 - 19:26
Bjr,

DIP a émis l'idée suivante :
> Bonjours,

Quant aux sauvegardes +1000 :p, d'autant plus que, les sauvegardes dans le
Cloud, type "OneDrive Business" sont d'une simplicité enfantine et d'une
efficacité redoutable.


OneDrive Business ne sauvegarde que les données office, non ? (enfin je
pense) .
La vraie solution, a mon avis, est de faire des images disques.
La seule fois ou je me suis retrouvé bloqué par une "merde", j'etais
opérationnel dans les 30 minutes suivantes.
Restauration image disque (bien sur pas tous les jours) plus
restauration fichiers de travail, eux sauvegardés classiques.

J'utilise Acronis depuis longtemps, je sais qu'il en existe des
gratuits, le probleme de ce genre d'outil est que ce n'est pas facile
de tester la fiabilité (plusieurs PC, temps passé etc...) En plus
Acronis est tres accessible question budget.

Par contre, j'avais aussi pris l'option Cloud de Acronis, et la tout
depend de la connexion . En Adsl, a la campagne le debit montant est
minable.
Donc deja la sauvegarde du disque, en temps reel, en cloud est quasi
impossible et la restauration disque en venant du cloud n'avait pas
marché. Par contre tous les fichiers etaient accessibles.

Voila un point de vue, different surement des cablés en fibre....

PS : ca fait tres longtemsp que je n'utilise que l'AV de windows, je
surfe partout sauf site de hack...
De lointaines lectures, a l'epoque ou les forums microsoft etaient
accessibles facilement, de posts ecrits par des "pointures" de windows,
notamment un brillant contibuteur dont j'ai oublié le nom, qui
connaissait "presque" la base de registre par coeur, recommandaient
deja, de se passer des AV commerciaux.

a plus


--
-------------------------------------------------------------
www.ctc-soft.com
Gestion biblo-documentaire (free-share)
Comptabilité shareware
Logiciels de Gestion de saisie terrain
Spécialisé Tournées de boulangers
-------------------------------------------------------------
Posté le 22 décembre 2016 - 23:25
de toute facon il ne faut pas payer... qu'ils envoient une clmé de
décryptage ou pas...

Il faut faire des sauvegardes, arrêter de cliquer n'importe ou, et si
problème, formatter/installer/récupérer...

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 12/22/2016 à 1:04 PM, cocouse a écrit :
Bonjour,

NE PAS PAYER CETTE RANCON

J'ai fait l'erreur de payer la rançon de 0.8 BTC à
smartsupport@india.com (btc adresse : 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF )

Il n'a jamais répondu ensuite et ne m'a pas envoyer le décripteur.

Donc mon conseil : NE PAS LE PAYER ... et pleurer sur ces datas...




Hi,

One server was infected by Dharma after a brute force RDP attack.

Email provided was : smartsupport@india.com
The ask us 0.8 Btc to send to 12to1MFopGypAAm6Lp9HV4oonGABvzMhkF

We did it, but after that he never answer.
So we lost all our files, and waiting for someone who find a decryptor....

My advise is : NEVER PAY smartsupport@india.com,
12to1MFopGypAAm6Lp9HV4oonGABvzMhkF or other ransom guy !
Posté le 06 novembre 2017 - 21:24
c'est très très urgant j ai le même problème est ce qu il y a quelqu un qui a trouver une solution pour ce problème