Jobcrypter ou nouveau ransomware

bonjour,

j’ai un client dont la comptable n’a pas effectué de sauvegarde sur le serveur ( prévu à cet effet ) mais bien sur en local. Après des consignes clairs sur la sauvegarde et les ransomware elle a quand meme voulu vérifié un mail d’axa ( meme si sa société n y a aucun contrat ) et voilà :

" Bonjour, Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n’est pas bien pour vous Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers, Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, Contactez-nous sur l’un des e-mails citer là-dessous pour vous communiquer le moyen de paiement Pour vous prouver que nous pouvons décryptées et récupérer vous fichier, Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, N’oubliez pas de citer sur l’e-mail identifiants suivants: 4A1CCC9B Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients, WarlockdeDieHard4@protonmail.com "

après quelques recherches cela ressemble beaucoup au jobcrypter de 2016
mais les fichiers sont de la forme : " 01-07-2019_887-flyerplateformealternantspdl.pdf.html "

ce qui m’ennuit hormis le fait que les consignes n’ont pas été respectés c’est qu’il y a 20 employé derrière et que le bilan de la société est le mois prochain forcément …

webosaure dan l’âme je suis à la recherche de toutes solutions.

ps: j’adore ton forum korben (je suis de 73 moi, pas 82) ça fait presque 10 ans que je te suis

je me réponds car j’ai un peu plus d’infos, il s’agirait de :

chiffrés par MSIL / Filecoder.ZT. ( info par equipe eset )

je reste up si vous avez des suggestions

Pourquoi tu jeux le héros payer la rançon et te récupérer tous les fichiers
Merci
Cordialement
Jobcrypter

Contacte David Biggar chez Emisoft.

support@emsisoft.com

Il m’a remis en route une machine infectée par Gancrab 5.2…C’est un ingénieur qui réside au USA…Mec sympa et génial…On a mis 1 mois pour retaper la machine en travaillant quasi tous les jours par mail.C’est un Ransonware d’un autre calibre que le tient.Il a tout fait gratuitement.

merci beaucoup pour l’information , je vais essayé de le contacter.

1 J'aime

Je viens d’avoir de ses nouvelles,il est toujours vivant…:-)Je lui ai parlé de ton problème,j’attends une réponse.J’espère qu’il te recontactera.Je te tiens au courant.Bonne nuit.

Voir mes tweets à propos de la résurgences de ce ransomware depuis début mai 2020 :

Attention nouvelle campagne d’emails frauduleux #ransomware #JobCrypteraxa

https://twitter.com/Emm_ADC_Soft/status/1280815592002465793

Des e-mails piégés, j’en reçois des dizaines par jour. Si chacun se mets à copier-coller chaque e-mail piégé, tout le forum n’y suffira pas.

Je me suis tenu 40 ans à cette règle :

  • Backup le plus fréquent possible, et vérifié, et mutliplié sur des support & sites distincts
  • Ouvrir uniquement les e-mails dont on peut dire à 100% qu’ils sont fiables, n’installer que des logiciels également fiables à 100%
  • Si absolument nécessaire, prendre des risques pour le reste dans des environnements contrôlés, à part, cloisonnés (notion de bac à sable (sandbox)) sur des PC sacrifiés dans un réseau sacrifié, cloisonné du reste à protéger.

Procéder autrement est selon moi une recette pour une catastrophe, et rien ne vous protègera alors, mais je peux me tromper.

Ce que je voulais dire : En tout état de cause, crier au loup, avec des copies d’écrans des ses e-mails ou autre, est au mieux inutile, au pire néfaste en empêchant de faire attention aux autres menaces qui n’ont pas le même aspect. On ne peut pas lister ni lire ou visualiser toutes les menaces du Monde. Plutôt se focaliser sur les règles de l’art, qui elles tiennent compte du maximum de menaces.