Michabest regards,Hello,But granted, backups are a better alternative, as long as they are offline during the attack...
someone in my family managed to get infected by such a ransomware.
The files are encrypted, and the originals are deleted. These deleted files may be recovered with a bit of luck.
I just used my favourite forensic tool (photorec) and managed to salvage a large percentage of his files.
So if you encounter this problem: Don't panic. Shut down the machine. Google about forensic tools.
2015-12-04 18:17 GMT+01:00 Brent Frère <Brent.Frere@abilit.eu>:
Vous avez peut-être lu récemment des articles dans la presse luxembourgeoise concernant les "rançonwares".
http://www.guichet.public.lu/citoyens/fr/actualites/2015/02/09-ransomware/index.html
Il y a actuellement une vague des ce type d'attaques sur le Luxembourg.
Ces attaques sont très efficaces et très sérieuses. Elles s'introduisent via des e-mails contenant des pièces-jointes contenant le logiciel malveillant, écrit en Java, souvent sous forme d'archive ZIP.
Elles traverses tout type de firewall et la plupart des systèmes de filtrage des e-mails (antispam/antivirus).
Il suffit que l'utilisateur ouvre ce logiciel (clique sur la pièce jointe) pour que TOUS LES FICHIERS ACCESSIBLES par cet utilisateur, même sur les serveurs de l'entreprise, se retrouvent cryptés et donc inutilisables.
La seule solution, ensuite, est de payer la rançon réclamée par les voleurs (donc leur donner votre numéro de carte de crédit et le cryptogramme... ???) ou de récupérer vos fichiers dans un backup, à condition qu'il soit à jour.
Bien sûr, ces attaques ne fonctionnent pas sur le système le plus utilisé dans le monde et sur Internet (Linux, sous ses diverses formes et noms, dont Android), mais profitent des faiblesses (encore et toujours) des logiciels propriétaires bien connus: Windows (toutes versions), la version Java de Oracle, Outlook, etc...
Si vous êtes (encore) utilisateurs de ces logiciels totalement perméables par nature (probablement par choix de leurs éditeurs si ce n'est du fait de leur incompétence), veillez d'urgence à ce que vos backups soient à jour et inaccessibles par les ordinateurs tournant ce genre de système d'exploitation.
De nombreuses attaches effectives et réussies ont eu lieu, y compris auprès de certains de nos clients. Si vous ne prenez pas les précautions élémentaires d'urgence, vous n'aurez plus, en quelques heures, que le genre de message suivant en remplacement de toutes les données de votre entreprise.
Si vous pensez que vos backups peuvent ne pas être parfaitement à jour, veuillez nous contacter d'urgence.++++++==============================================================================================================+++++++======- What happened to your files ? All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem) What does this mean ? This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them. How did this happen ? Especially for you, on our server was generated the secret key pair RSA-2048 - public and private. All your files were encrypted with the public key, which has been transferred to your computer via the Internet. ++++++==============================================================================================================+++++++====== Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server. What do I do ? So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment. For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below: 1. http://alcov44uvcwkrend.paybtc798.com/96EF1674B48EED9A 2. http://alcov44uvcwkrend.btcpay435.com/96EF1674B48EED9A 3. https://alcov44uvcwkrend.onion.to/96EF1674B48EED9A If for some reasons the addresses are not available, follow these steps: 1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en 2. After a successful installation, run the browser and wait for initialization. 3. Type in the address bar: alcov44uvcwkrend.onion/96EF1674B48EED9A 4. Follow the instructions on the site. IMPORTANT INFORMATION: Your personal pages: http://alcov44uvcwkrend.paybtc798.com/96EF1674B48EED9A http://alcov44uvcwkrend.btcpay435.com/96EF1674B48EED9A https://alcov44uvcwkrend.onion.to/96EF1674B48EED9A Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/96EF1674B48EED9A Your personal identification number (if you open the site (or TOR-Browser's) directly): 96EF1674B48EED9A ++++++==============================================================================================================+++++++======
Cette attaque fonctionne très très bien et il n'y a pas de moyen de récupérer vos données une fois l'attaque en cours.
Vous avez été averti...
_______________________________________________
Lilux-info mailing list
Lilux-info@lilux.lu
https://www.lilux.lu/mailman/listinfo/lilux-info