[Résolu] Cryp1 Ransomware

[JulesR2]

Hello,

Je suis une bille en cybersécurité, j'aurais besoin de 2-3 petites infos.

Quelqu'un connaît-il le ransomware Cryp1 ?

La situation est la suivante, un disque de sauvegarde a été touché par ce virus il y a peu, il a été introduit via une clé USB, et plusieurs PC on accédé à ce disque avant la détection et suppression, est-il possible que Cryp1 se soit déployé sur ces PC?

Et dans ce cas, que peut-on faire pour l'éliminer, tout en sachant que ce sont des PC pro, donc il y a possibilité de faire en ligne ou de télécharger des versions mobiles, mais pas d'installer des logiciels ?

Merci, bonne soirée

[guugues]

Hello !

Quelqu'un connaît-il le ransomware Cryp1 ?

Il s'agit d'une variante du Ransomware CryptXXX 3.0 et malheureusement, il n'existe pour le moment aucun moyen de déchiffrer les fichiers chiffrés par le malware (c'était possible avant le 21 mai avec RannohDecryptor, plus maintenant avec cette nouvelle variante).


Tu peux toujours tenter de récupérer les fichiers chiffrés avec Shadow Explorer et/ou PhotoRec, mais je doute que les résultats soient probants.

il a été introduit via une clé USB

Ce type de malware ne se propage pas par médias amovibles, du moins aux dernières nouvelles. C'est essentiellement par Exploits Web (exploitation de failles de sécurité de logiciels comme Adobe Flash Player / Reader / Java, mais aussi lorsque Windows n'est pas à jour) et par mails, via des pièces jointes.

et plusieurs PC on accédé à ce disque avant la détection et suppression, est-il possible que Cryp1 se soit déployé sur ces PC?

J'en doute, comme expliqué ci-dessus. Après, pour en être certain, la vérification est simple : si, sur ces PC, plusieurs fichiers portent l'extension .cryp1, c'est que le Ransomware les a également touchés, mais ce serait étonnant.


Quand tu dis "avant la détection et suppression", qu'est-ce qui a été fait jusqu'ici ?

tout en sachant que ce sont des PC pro

Il s'agit de PC d'entreprise ?

Pour la désinfection proprement dite, il faudrait utiliser les logiciels habituels : FRST, Malwarebytes etc ... A toi de me dire.

[JulesR2]

Merci pour ta réponse =)

Quand tu dis "avant la détection et suppression", qu'est-ce qui a été fait jusqu'ici ?

Le disque est actuellement en train d'être totalement formaté, mesures de sécurité en entreprise oblige effectivement.

Il s'agit de PC d'entreprise ?

Oui, des HP très récents (gammes pro) sous 7 Pro.

Ce type de malware ne se propage pas par médias amovibles, du moins aux dernières nouvelles. C'est essentiellement par Exploits Web (exploitation de failles de sécurité de logiciels comme Adobe Flash Player / Reader / Java, mais aussi lorsque Windows n'est pas à jour) et par mails, via des pièces jointes.

L'organisme qui gère ça annonce que c'est arrivé comme ça, après vu le temps qu'ils ont mis à voir le problème et leur compétence globale assez moyenne, certains doutes ne sont pas exclus...


Au moins un PC a actuellement des fichiers en .cryp1 mais car la personne a voulu récupérer des fichiers, dans ce cas il peut se propager sur le PC j'imagine ?

@+

[guugues]

Re !

Au moins un PC a actuellement des fichiers en .cryp1 mais car la personne a voulu récupérer des fichiers, dans ce cas il peut se propager sur le PC j'imagine ?

S'il s'agit juste de fichiers chiffrés copiés/collés sur ce PC, alors non, pas de propagation possible du Ransomware normalement.


Concernant le PC qui a été touché, l'idéal serait de faire une procédure de désinfection complète, car il y a encore très certainement des restes du Ransomware, mais vu que c'est un PC d'entreprise, j'imagine qu'il y a bien un responsable info dans la boîte et si jamais on pouvait faire une procédure de désinfection, il faudrait au moins avoir son autorisation ?

[JulesR2]

Oui tout passe par eux, mais c'est un disque de stockage qui a été touché par le problème, du coup formatage total, et les PC qui sont contaminés sont censés aller directement au feu, donc je préfère que ça ne se propage pas trop

On verra ce qu'ils disent sur les procédures à suivre, et si rien ne réapparaît sur les PC en question, mais merci bien de ton aide

@+

[guugues]

Ok tiens-moi au jus alors !

++

[JulesR2]

Ok tiens-moi au jus alors !

Yep