Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ransomware ".kupidon"

poumtatalia

Bonjour,

J'ai tout plein de fichiers auxquels a été rajouté une extension bidon ".kupidon"

avant j'avais des "monfichier.ext" qui ont été renommés en "monfichier.ext.kupidon"

et ça dans pas mal de dossiers et sous dossiers.

J'ai manuellement renommé certains et ça fonctionne.
J'ai fermé mes partages de fichiers pour ne plus que ça m'arrive.
Maintenant, je chercher comment tout renommer, sous-répertoires compris pour enlever l'extension ".kupidon" qui me casse les pieds mais je voudrais être sûr de ne pas faire de bêtise.

J'ai un peu testé des trucs mais j'avoue ne pas être très fort en ligne de commandes.
Quelqu'un aurait une idée?

Merci d’avance pour votre aide

Nuliel

Bonjour,
Avant de continuer à renommer, sache que kupidon est un ransomware. As tu utilisé un programme pour déchiffrer tes données?

poumtatalia

Bonjour,
J'ai juste testé sur quelques fichiers, mais juste ne renommant ça fonctionne. Dnc pas eu besoin de décryptage.

poumtatalia

Arg, tu as raison, tout n'est pas crypté mais certains fichiers le sont!
Des pistes?
En fait les fichiers mp3 semblent encoire fonctionner.
Par contre les odt, les jpg sont KO!

Nuliel

Je te conseille de ne plus utiliser ton install d'ubuntu mais d'utiliser un live usb le temps de voir si le ransomware est toujours actif ou pas.
Un ransomware a pour but de te faire payer, donc il faut voir si quelqu'un a réussi à trouver une faille dans le procesus de chiffrement

Tu as bien gardé ta clé usb d'installation? Quelle version est dessus? Si tu ne l'as pas gardé, as tu un autre pc pour faire cette clé usb?

poumtatalia

Je vais manquer de PC.
Pour ce qui est de réinstaller Ubuntu, j'ai quand même peur de perdre l'accès aux données restantes, non?
Je ne suis pas très fort en manip ubuntu );

Nuliel

L'intérêt du live usb n'est pas de réinstaller ubuntu mais d'avoir une session live pour réparer ce qui est possible de réparer (il est probable qu'il faille réinstaller lorsque tu auras récupéré les données pour être sûr qu'il n'y ait pas de reste de ce malware)

As tu une iso d'ubuntu sur ce pc? (Mais le plus simple serait de réussir à faire un live usb avec un autre pc.)

poumtatalia

... après un peu de recherches, il semblerait que ce soit plutôt via exploitation de faille de sécurité réseau que d'un programme infiltré.
Effectivement, je ne suis pas très prudent dans ce domaine.
Du coup pour l'instant j'ai coupé tous les partages réseau, et je surveille les dates de modification de fichiers (tout à eu lieu vendredi soir de 20:30 à 21:30, plus d'activité depuis).
Il reste effectivement un risque que le programme soit dormant quelque part, mais je crois comprendre que la stratégie de ces ransomware est plutôt d'agir vite et disparaître pour ne pas se faire prendre le code dans le sac.
Je suis en train de backuper ce qui reste sur un DD à part....
Le site "no more ransom" me dit que "Désolés ! Nous n’avons pas actuellement de solution pour vous assister, mais nous travaillons activement pour la découvrir."

SI je suis bien je ne peux qu’attendre que quelqu'un trouve un jour le moyen de décrypter en craquant le code...

erresse

Halte-là, poumtatalia !!! :o
Nulliel n'a JAMAIS dit qu'il te fallait réinstaller le système, il te suggère juste d'utiliser ton support d'installation pour ouvrir une session "live", sans rien installer ni modifier dans ton ordinateur.
😃
Edit: Arrgghhh, trop tard, grillé !

poumtatalia

Merci erresse, ça tombe bien je trouvais ça un peu chaud de se lancer là dedans.
Je vais me créer une clé...

Nuliel

Effectivement, c'est uniquement pour la session live, le temps de trouver une solution (s'il y en a une) et de faire une copie de toutes tes données.
La réinstallation (si elle est obligatoire, c'est encore à déterminer) ne se fera qu'après, donc pour l'instant ne réinstalle pas.

Tu n'aurais pas lancé un script pour lequel tu aurais un doute? Si tu as un doute sur un script, tu peux le passer par le site virustotal.
Si tu le trouves, je veux bien que tu me l'envoies par MP pour que j'y jette un oeil (comme je n'ai pas beaucoup d'info sur ce ransomware, je ne sais pas trop comment il fonctionne, c'est principalement pour voir comment il se déploie)
As tu wine/playonlinux/lutris sur ce pc?

poumtatalia

Non, pas de script lancé pour lequel j'ai de doute.
J'ai playonlinux, mais pas Lutris.
C'est un outil ?

Nuliel

En fait c'était juste pour savoir s'il était possible que tu aies lancé un exe (sachant que normalement un malware windows marche pas sous linux, même avec wine), mais avec playonlinux il y a en plus les disques virtuels, donc ça peut pas venir de là.

C'est un malware très récent (de mai apparemment), j'ai l'impression qu'il n'y a actuellement aucun outil pour déchiffrer.
Pour savoir le nombre de dossiers touchés, tu peux lancer

find ~ -name '!KUPIDON_DECRYPT.TXT' | wc -l

As tu fini de copier l'ensemble de tes données en lieu sûr?

FrancisFDZ

Bonjour,
pour info, voir ici

NicoApi73

Bonjour,

J'ai une question relative à cette mauvaise expérience : A qui appartiennent les fichiers .kupidon (est ce que c'est à toi ($USER), est ce que c'est à root) et est ce que des fichiers/répertoires appartenant à root ont été touchés?

poumtatalia a écrit... après un peu de recherches, il semblerait que ce soit plutôt via exploitation de faille de sécurité réseau que d'un programme infiltré.

A quelle faille fais tu référence?

beuguissime

Salut,

Je suis navré de lire ce qui t'arrive et compatis. Aussi je ne veux pas paraître insensible mais, comme d'autres, j'aimerais bien connaître plus de détails sur la façon dont c'est arrivé. Est-ce que tu es sûr que le chiffrement des fichiers s'est produit depuis ta session ubuntu ? Tu parles de partages. Qu'en est-il exactement (des dossiers montés en sftp, …) ? Est-ce que ce sont exclusivement des fichiers de ces partages qui sont concernés ? Est-ce qu'il n'y a pas une machine tournant sous windows dans l'histoire ?

Nulliel : ton find devrait plutôt chercher les fichiers se terminant par .kupidon. Là, tu ne vas trouver que les dossiers touchés car tu cherches les instructions laissées par le groupe criminel.

poumtatalia

Bonjour,
Merci pour ces éléments et questions. J'essaie de répondre avec mes maigres connaissances....
J'ai copié tous mes fichiers restant ailleurs, fermé tous mes partages, j'ai transformé mon firewall en château fort et changé ma clé wifi.

NicoApi73 a écritA qui appartiennent les fichiers .kupidon (est ce que c'est à toi ($USER), est ce que c'est à root) et est ce que des fichiers/répertoires appartenant à root ont été touchés?

Les fichiers cryptés appartiennent à moi, pas à root.
Les fichiers textes !KUPIDON_DECRYPT.TXT appartiennent à nobody.

 find ~ -name '!KUPIDON_DECRYPT.TXT' | wc -l
19228

beuguissime a écritj'aimerais bien connaître plus de détails sur la façon dont c'est arrivé

je peux me tromper, mais pas l'impression qu'il y ait quoi que ce soit en local. Plutôt par exploitation de faille réseau, puisque j'avais pare feu plutôt ouvert, des partages publics prévus pour mon Lan, même si tout ce qui a été crypté n'était pas sur ces partages.
Tout est arrivé très précisément en une heure de temps, je n'étais pas à la maison, et aucune autre machine ne tournait à la maison, mais je suppose que si quelqu'un craque le wifi il y a moyen que ce ne soit pas directeent chez moi mais sur une machine d'un voisin par exemple. Après, pas sûr de comment objectiver tout ça... Toute piste est la bienvenue.

beuguissime a écrit(...) ton find devrait plutôt chercher les fichiers se terminant par .kupidon (...)

Indeed, mais je ne sais pas comment chercher ça );

Merci à tou.te.s pour votre aide.

NicoApi73

Bonsoir,

Merci pour tes réponses. Nous pouvons regarder ce qui appartient à nobody (y compris les processus) :

sudo find / -user nobody -ls 2>/dev/null

Pour avoir tout ce qui contient kupidon :

find / -name *kupidon* -ls 2>/dev/null

Craquer la WiFi, je n'y crois pas de trop. Donne :

nmcli dev wifi

Et précise nous quelle est ta box. Nous allons vérifier le codage.

Peux tu nous en dire un peu plus sur ton LAN. Normalement, il devrait être derrière ta box. Celle-ci fait office de pare-feu, ce qui est normalement suffisant. As tu ouvert un/des ports de ta box? La clé WiFi que tu avais, était elle simple (genre 1234) ou était ce quelque chose de complexe (genre 30 caractères issus de l'alphabet, de symboles et de chiffres)?

Zakhar

Petite histoire : par "commodité", un collègue avait ouvert le port 22 (SSH) de son NAS Synology à World+Dog (tout l'internet)... sans doute avec un mot de passe faible.

Conséquence, il s'est fait "synolocker" !..

Ne confondez pas sécurité relâchée et inconscience.

Désolé pour l'incident poumtatalia, il aura au moins servi à ce que tu appliques une "hygiène minimale" en terme de sécurité, et par chance tu sembles avoir des sauvegardes des choses importantes, ce qui est une très bonne chose.

Personnellement, quand je dois connecter mon PC de travail au LAN, des règles de firewall l'empêchent de communiquer avec mes PC personnels. Je n'ai absolument AUCUNE confiance en W$, et chaque jour me prouve que j'ai raison, exemple récent : https://www.theregister.com/2020/07/20/microsoft_office_data_facebook/

NicoApi73

J'ai fait quelques recherches. Il est fort probable que tu aies été infectés par un lien frauduleux, consultation d'un site piraté ou une pièce jointe vérolée. Cherche en premier dans cette direction

EDIT : https://askubuntu.com/questions/329714/what-is-the-purpose-of-the-nobody-user Comment as tu configuré ton réseau et en particulier le partage de fichier.
Sur le serveur (ou un serveur), peux tu donner le retour de :

cat /etc/exports

et sur un client, peux tu donner le retour de :

cat /etc/fstab

Ce qui m'interpelle c'est que nobody ait pu écrire un fichier. Qu'il obtienne les droits par élévation de privilège, je n'y crois pas de trop (c'est bien sûr théoriquement possible), je pense plus que ta configuration est trop permissive.

Ne prends pas mes questions comme étant une critique, j'essaie de comprendre ce qu'il t'est arrivé afin que ça ne se reproduise pas (et en premier lieu chez moi 😉 )

Page suivante »