Virus Ransomware

StefOfficiel · November 16, 2021, 2:13am

(français)

Bonjour,
Je ne sais pas si je suis au bon endroit, mais j’ai été touché par un Ransomware qui ajoute un fichier “!0XXX_DECRYPTION_README.TXT” dans pleins de dossier, et re-nomme les fichiers en “.0xxx”, par exemple “ma_musique.mp3.0xxx”. Pour ce qui est des fichiers audios, ça va, ça se récupère, mais les autres fichiers finissent corrompus.

Je m’en suis aperçu car ça a touché le dossier “Multimedia Share Local”, visible dans mon NextCloud. Aucun autre fichier et dossier n’a été touché.

Savez-vous d’où ça vient, et comment s’en prémunir ?

Merci !

Mon serveur YunoHost

Matériel: Lenovo IdeaCentre 310S-08IAP 90GA 64bits
Version de YunoHost: 4.3.3
J’ai accès à mon serveur : En SSH | Par la webadmin

Sango · November 16, 2021, 4:59am

Bonjour,

Je ne pense pas que ce ransomware ait un lien avec Yunohost. Sauf erreur de ma part, il me semble que ce ransomware touche les NAS essentiellement.
Si votre NAS (ou assimilé via un espace de partage monté dans le dossier “Multimedia Share Local”) était vulnérable, il a sans doute été chiffré, mais seul lui l’est à mon avis.

Quelques infos trouvées ici : https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-june-25th-2021-back-in-business/

Si vous avez appliqué les “bonnes pratiques”, je conseille une restauration des données depuis la dernière sauvegarde après avoir réinstaller votre NAS ou assimilé (avec un système à jour) et de nouveaux mots de passe.

Bonne journée,
Sangokuss.

ljf · November 16, 2021, 11:44am

Il est possible que ce soit aussi via le client de synchro nextcloud, auxquels cas il faut lancer une analyse antivirus sur les windows avec ce client de synchronisation installé.

Si au final il s’avère que le ransomware vise spécifiquement linux, merci de donner plus d’info sur l’ensemble de l’environnement pour qu’on évalue le soucis.

StefOfficiel · November 16, 2021, 1:15pm

Bonjour !

De ce que je comprend, ce serait Samba qui serait ouvert, donc ce serait via ce procédé.

Je n’utilise pas de client NextCloud hors-mis sur mon tel.

Merci à tous les deux !

ljf · November 16, 2021, 3:35pm

Tu as installé samba manuellement sur ton yunohost ?

StefOfficiel · November 16, 2021, 8:02pm

Il me semble que oui ! Mais je l’ai désinstallé !

ljf · November 16, 2021, 10:37pm

Il n’y a pas d’app samba_ynh, donc si tu l’as installé c’est en faisant apt install samba

Tu peux vérifier qu’il est bien désinstallé en faisant:

dpkg -l | grep samba

StefOfficiel · November 16, 2021, 10:39pm

Ça me donne :

ii  python-samba                          2:4.9.5+dfsg-5+deb10u1                amd64        Python bindings for Samba
ii  samba-common                          2:4.9.5+dfsg-5+deb10u1                all          common files used by both the Samba server and client
ii  samba-common-bin                      2:4.9.5+dfsg-5+deb10u1                amd64        Samba common files used by both the server and the client
ii  samba-dsdb-modules:amd64              2:4.9.5+dfsg-5+deb10u1                amd64        Samba Directory Services Database
ii  samba-libs:amd64                      2:4.9.5+dfsg-5+deb10u1                amd64        Samba core libraries
ii  vlc-plugin-samba:amd64                3.0.12-0+deb10u1                      amd64        Samba plugin for VLC

ljf · November 16, 2021, 10:41pm

Du coup je pense que tu n’as pas samba d’installé, qu’est ce qui te fait dire que c’est un problème avec samba ?

StefOfficiel · November 16, 2021, 10:43pm

C’était installé, j’ai désinstallé !

C’est via Mastodon on m’a aiguillé là dessus :
https://www.cert-ist.fr/public/fr/SO_detail?code=Attaques_TCP_445

ljf · November 16, 2021, 10:52pm

ton port 445 était ouvert donc ?

StefOfficiel · November 16, 2021, 10:52pm

Oui

system · December 16, 2021, 10:53pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.