Bonjour,
je relate une infection par un cryptoware sur un PC Windows 7 pro que j'appelerai "le serveur"
Le PC est sur le réseau, il peut accéder à Internet, mais n'est pas accessible de l'extérieur.
Une autre machine est accessible via RDP, cette dernière ne semble pas être touchée.
En fait aucune autre machine n'a été victime du cryptoware, uniquement "Le serveur".
Cette machine avait deux rôles : serveur des fichiers de l'entreprise et programme Mercator, un programme de gestion d'entreprise, facturation, devis, suivi client.
Personne ne se connecte jamais sur cette machine pour y travailler, la dernière fois que je m'y suis connecté est le 16 mars 2017 pour faire une sauvegarde complête à l'aide du logiciel Macrium.
Un backup à distance devait se faire mais par une maladresse de ma part, ce backup c'est arrêté ( on peut être con parfois
)
Quoiqu'il en soit, le client m'appelle pour me dire hier que Mercator ne fonctionne plus et là, l'effroi le plus total, je constate que TOUT est crypté. Une recherche sur Internet de la signature ne trouve rien sur Internet. C'est semble-t-il très récent.
Ma question est donc : Comment cette saloperie à pu s'exécuter sur cette machine avec les droits suffisant pour tout détruire. En pratique, la seule personne qui pourrait s'y connecter avec ses droits, c'est moi, l'utilisateur ne connaissant pas ou plus ce mot de passe malgré de nombreuses fois ou il a été donné, mais bon, ça leur évite de faire des bêtises.
Un scan de la machine ne donne rien évidemment, rien dans les évènement de Windows qui pourrait une indication, plus de traces du malware à part le résultat et les demandes de rançons.
NB: c'est le deuxième cas mystérieux en un mois, c'est très préoccupant.
Mon conseil ? Faites des backup , des backup et des backup , sur site, ailleurs, complet, incrémentiel, soyez PARANOIAQUE
je relate une infection par un cryptoware sur un PC Windows 7 pro que j'appelerai "le serveur"
Le PC est sur le réseau, il peut accéder à Internet, mais n'est pas accessible de l'extérieur.
Une autre machine est accessible via RDP, cette dernière ne semble pas être touchée.
En fait aucune autre machine n'a été victime du cryptoware, uniquement "Le serveur".
Cette machine avait deux rôles : serveur des fichiers de l'entreprise et programme Mercator, un programme de gestion d'entreprise, facturation, devis, suivi client.
Personne ne se connecte jamais sur cette machine pour y travailler, la dernière fois que je m'y suis connecté est le 16 mars 2017 pour faire une sauvegarde complête à l'aide du logiciel Macrium.
Un backup à distance devait se faire mais par une maladresse de ma part, ce backup c'est arrêté ( on peut être con parfois
)Quoiqu'il en soit, le client m'appelle pour me dire hier que Mercator ne fonctionne plus et là, l'effroi le plus total, je constate que TOUT est crypté. Une recherche sur Internet de la signature ne trouve rien sur Internet. C'est semble-t-il très récent.
Ma question est donc : Comment cette saloperie à pu s'exécuter sur cette machine avec les droits suffisant pour tout détruire. En pratique, la seule personne qui pourrait s'y connecter avec ses droits, c'est moi, l'utilisateur ne connaissant pas ou plus ce mot de passe malgré de nombreuses fois ou il a été donné, mais bon, ça leur évite de faire des bêtises.
Un scan de la machine ne donne rien évidemment, rien dans les évènement de Windows qui pourrait une indication, plus de traces du malware à part le résultat et les demandes de rançons.
NB: c'est le deuxième cas mystérieux en un mois, c'est très préoccupant.
Mon conseil ? Faites des backup , des backup et des backup , sur site, ailleurs, complet, incrémentiel, soyez PARANOIAQUE
