Locky - cryptoware

lord_galathon

lord_galathon

Well-known member
Y'a tu qqun qui l'a pogne ici?

Je suis en train de faire un cleanup - qqun au SHIPPING a ouvert un fichier qu'elle aurait pas du ouvrir a 11:01, a 11:07 je l'ai pogne et arrete mais en 6 minutes, j'ai au dessus de 15% de mes fichiers de cryptes sur le reseau, environ 2500 fichiers :( est-ce que le Locky se propage?

Chance qu'elle avait pas vraiment acces a rien de sensible, surtout du graphique, logos, documents de shipping et reception.

J'ai pogne l'instance en question et elle est enlevee (Sophos) mais est-ce que je cours le risque d'avoir d'autres instances?

J'ai fait quelques recherches et ca aurait l'air que c'est une nouvelle variante de ce matin. Mon Sophos se met a jour toutes les heures.

Dans le fond j'aimerais savoir si je perds mon temps a retablir tous les fichiers du backup parce que ca va revenir tout de suite.

Merci.
 
Non si tu la pogner ya plus de propagation.

J'ai ajouter des regle avec Mcafee pour la cération des fichier crypter.
 
Il y a plusieurs milliers de variante de Locky par jour alors les antivirus vont pogner certains mais pas tous.

L'education est la meilleure chose sinon ca te prend un genre de sandbox qui va ouvrir ces fichiers et ces courriels dans un environnement contrôle avant que ca se rende dans ton réseau. C'est pas donne par exemple...

J'en vois a toutes les semaines chez les clients potentiels que je vais rencontrer.
 
MattRC51 said:
Question niaiseuse si tes users sont pas Admin ca fait du dommage pareil ?
Click to expand...

Oui. Ils ont pas besoin d'etre admin - juste avoir acces aux fichiers dans le repertoire en R/W.

Le PC d'ou ca a parti est scrap. Plein de fichiers avec le *.shit dessus. Pas mal certain que c'est de lui que ca provient parce que les usagers ont pas acces aux drives locaux des autres usagers.
 
Fais des backups quotidiens de tout tout tout et fait une campagne de sensibilisation a tout le monde!
 
hotice_ said:
Fais des backups quotidiens de tout tout tout et fait une campagne de sensibilisation a tout le monde!
Click to expand...

Ils sont au courant - je leur fais une formation annuelle, j'envoie des rappels mensuellement. Pis oui, j'ai des backups qui roulent toutes les nuits et que je viens de modifier pour qu'ils ignorent les fichiers .shit (locky) juste en cas.

Je sais pas comment ils font des fois...

La je cherche avec Sophos comment empecher la creation de fichiers de type *.shit (locky) j'ai la console entreprise pour manager les endpoints pis je trouve rien pour les filetypes a part ceux a ne pas scanner qui evidemment c'est pas ca je cherche. Je vais peut-etre leur envoyer une demande par ticket de support.
 
Bon ticket ouvert chez Sophos pour comment eviter la creation de type .shit et bloquer l'operation/logiciel qui tourne.

La j'ai un dilemme.

Tous mes fichiers sont retablis de mon backup.

Le seul PC qui sortait avec un crypto dessus est nettoye MAIS et c'est un GROS mais, le crypto est pas le bon!

Selon ce que je lis il cree des fichiers .mp3 et non pas des fichiers .shit.

Aussi l'usager de ce PC n'avait pas acces a plein d'endroits ou des fichiers .shit sont apparus.

ET pour fermer le cercueil, le PC local a pas de fichiers .shit dessus.

EN MEME TEMPS, un autre PC, qui est ICI sur mon bureau, debranche, avec l'usager en penitence avec un PC loaner slow, est le SEUL sur le reseau a avoir des fichiers LOCAUX .shit ce qui pointe le doigt vers ce PC.

Mais le Sophos, a jour, local, ne detecte aucun malware/virus/trojan ni crypto. Le PC sort clean. De plus cet usager n'a pas acces elle non plus a certains des repertoires affectes.

WTF?

Donc techniquement j'ai pas trouve la vraie source du cryptolock mais ca a arrete "tout seul" a 11:07AM.

Mettons que j'ai comme un peu la chienne que ca se reactive a un moment plus opportun genre un week-end pis la on revient le lundi matin pis tout est cryptolock.

PS. Non c'est pas mon PC. C'est le premier que j'ai scanne mais c'est sur que par precaution je me suis enleve des drive mappings qui etaient pas necessaires.
 
Pour avoir déjà nuké un server Remote Desktop à cause de ça, welcome to hell

La seule chose qui m'a sauvé rapidement (tout rétabli en une heure)

Système de backup fait correctement
le RDS était une VM, donc ça m'as pris 5 minute le restaurer

La majorité de mon heure de travail la dessus était de trouvé qui a fait ça et trouver les fichiers à remplacer

Pour trouver le coupable, vérifie avec les RH si quelqu'un aurait pas quitté le travail pour urgence ou diner à cette heure là. Si t'as une personne qui à quitté à 11h15 11h30, c'est possiblement elle la coupable et non pas la personne qui a fait le shipping.

Aussi, si ton file server est sous windows (je me souviens pas pour sous linux), depuis 2008 R2 tu peux voir qui a fait quoi via "Share and Storage Management"
 
Roy said:
Pour avoir déjà nuké un server Remote Desktop à cause de ça, welcome to hell

La seule chose qui m'a sauvé rapidement (tout rétabli en une heure)

Système de backup fait correctement
le RDS était une VM, donc ça m'as pris 5 minute le restaurer

La majorité de mon heure de travail la dessus était de trouvé qui a fait ça et trouver les fichiers à remplacer

Pour trouver le coupable, vérifie avec les RH si quelqu'un aurait pas quitté le travail pour urgence ou diner à cette heure là. Si t'as une personne qui à quitté à 11h15 11h30, c'est possiblement elle la coupable et non pas la personne qui a fait le shipping.

Aussi, si ton file server est sous windows (je me souviens pas pour sous linux), depuis 2008 R2 tu peux voir qui a fait quoi via "Share and Storage Management"
Click to expand...

La personne à quitté parce qu'elle se sentait coupable?


Sent from my iPad using Tapatalk
 
Roy said:
ou a quitté parce qu'elle voulait manger plus tôt, ou avait une urgence famililale, etc...
Click to expand...

Je comprends pas le lien, j'ai un logoff de la réceptionniste à 11:08 soit 1 minute après le dernier timestamp sur des fichiers cryptés.

J'ai lock down son pc hier soir.


Sent from my iPad using Tapatalk
 
sdfs10.png
 
Sophos... calisse.

J'envoie ca hier:

Product: Sophos Enterprise Manager
Product version: Sophos Enterprise Manager 4.7.0
Operating system: Windows 7 (64-bit)
Operating system version: Windows 7 (64-bit) Professional SP1
Severity: High
Description: I would like to configure Sophos Enterprise Console to look for a specific file type creation and block it (cryptolock files with a *shit extension) is that possible?
Click to expand...

Y me renvoient ca:

Thank you for contacting Sophos Technical Support. Additional file extensions to be scanned can be added in the Antivirus and HIPS policy under the extensions tab as per this screenshot:
 
Wow.


Tien men



File extensions appended to files: .ecc, .ezz, .exx, .zzz, .xyz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt, .micro, .encrypted, .locked, .crypto, _crypt, .crinf, .r5a, .XRNT, .XTBL, .crypt, .R16M01D05, .pzdc, .good, .LOL!, .OMG!, .RDM, .RRK, .encryptedRSA, .crjoker, .EnCiPhErEd, .LeChiffre, .keybtc@inbox_com, .0x0, .bleep, .1999, .vault, .HA3, .toxcrypt, .magic, .SUPERCRYPT, .CTBL, .CTB2, .locky or 6-7 length extension consisting of random characters.
 
lord_galathon said:
je me suis enleve des drive mappings qui etaient pas necessaires.
Click to expand...

D'après moi si le virus est ben faite y'a rien qui l'empêche de remapper tes drives...you know ils sont auto-complete dans windows quand tu vas dans map drive, donc l'info ce retrouve quelque part. Il pourrait même essayer de mapper avec c$, d$....si t'as accès avec tes credentials ça devrait passer....

Ça me fait penser...j'ai accès RW à un shitload de serveurs de production avec des drives mapped pis aucune idée de la rigueur des backups des tech là dessus....si je pogne cte shit là jpense jvais aller dîner plus tôt moi avec hahaha.
 
This variant is currently being distributed through SPAM emails with a subject line of Receipt ###-###. According to MalwareHunterTeam, the attachments in the Locky SPAM emails will contain attachments that are HTA, JS, or WSF files that when executed will download an encrypted DLL installer, decrypt it on the victim's computer, and then execute it as seen in the image above.
Once the ransomware is executed, it will target over 380 file extension and encrypt them using AES encryption.
encrypted-files.png
Encrypted Files
The targeted extensions are:

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.keyWhen it has finished encrypting a computer it will display ransom notes with payment instructions. These ransom notes have new names with this version and are named _WHAT_is.html,_[2_digit_number]_WHAT_is.html, and _WHAT_is.bmp.
ransom-note.png
Caption
This configuration for this version as shown by LockyDump is:

Verbose: 0 Loaded: 10000000 The file is a DLL Read 312 bytes The headers are different -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- Exported name: setupapi.dll Exports: qwerty -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- affilID: 3 Seed: 74311 Delay: 63 Persist Svchost: 0 Persist Registry: 0 Ignore Russian Machines: 1 CallbackPath: /linuxsucks.php C2Servers: 109.234.35.215,91.200.14.124,185.10 RsaKeyID: 542 RsaKeySizeBytes: 114 Key Alg: A400 Key: RSA1 Key Bits: 2048 Key Exponent: 10001 Key Bytes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nfortunately, like previous versions this variant cannot be decrypted for free.
 
Riffo said:
This variant is currently being distributed through SPAM emails with a subject line of Receipt ###-###. According to MalwareHunterTeam, the attachments in the Locky SPAM emails will contain attachments that are HTA, JS, or WSF files that when executed will download an encrypted DLL installer, decrypt it on the victim's computer, and then execute it as seen in the image above.
Once the ransomware is executed, it will target over 380 file extension and encrypt them using AES encryption.
The targeted extensions are:

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.keyWhen it has finished encrypting a computer it will display ransom notes with payment instructions. These ransom notes have new names with this version and are named _WHAT_is.html,_[2_digit_number]_WHAT_is.html, and _WHAT_is.bmp.
This configuration for this version as shown by LockyDump is:

Verbose: 0 Loaded: 10000000 The file is a DLL Read 312 bytes The headers are different -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- Exported name: setupapi.dll Exports: qwerty -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+- affilID: 3 Seed: 74311 Delay: 63 Persist Svchost: 0 Persist Registry: 0 Ignore Russian Machines: 1 CallbackPath: /linuxsucks.php C2Servers: 109.234.35.215,91.200.14.124,185.10 RsaKeyID: 542 RsaKeySizeBytes: 114 Key Alg: A400 Key: RSA1 Key Bits: 2048 Key Exponent: 10001 Key Bytes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nfortunately, like previous versions this variant cannot be decrypted for free.
Click to expand...

That is exactly it. Thanks for the additional information.
 
Nukeblast said:
D'après moi si le virus est ben faite y'a rien qui l'empêche de remapper tes drives...you know ils sont auto-complete dans windows quand tu vas dans map drive, donc l'info ce retrouve quelque part. Il pourrait même essayer de mapper avec c$, d$....si t'as accès avec tes credentials ça devrait passer....

Ça me fait penser...j'ai accès RW à un shitload de serveurs de production avec des drives mapped pis aucune idée de la rigueur des backups des tech là dessus....si je pogne cte shit là jpense jvais aller dîner plus tôt moi avec hahaha.
Click to expand...

J'ai change mon PC juste en cas mais en realite j'ai pas recu - ni ouvert - de SPAM.
 
Ca me gosse enormement de ne pas savoir quel PC l'a attrappe. Je suis en train de scanner le reseau au complet - pour la 3e fois. Les 2 premieres fois j'ai rien trouve pis il n'y a rien dans les log de Sophos Enterprise. Les 2 PC qui ont des fichiers .shit locaux sont sur mon bureau eteints mais je les ai scannes offline pis il n'y a rien, rien dans le registry, rien comme fichier *locky* nulle part.

Les seuls fichiers locky sur le reseau que j'ai trouve avec un lan scanner sont sur le serveur d'antivirus et c'est les .ide pour identifier locky - dont certains datent de tard Dimanche soir.

AAAAAARGHHH!!!! Si je le trouve pas je fais quoi? J'ai des bons backup et on pratiquement rien perdu comme donnees mais ca me gossssseeee!
 
You must log in or register to reply here.
Back
Top