[MYSTÉRIEUX] Le retour d'un CryptoLocker ?

[ThiWeb]

Je reviens à nouveau avec un doute sur le poste d'un client.
En effet, le PC est HORRIBLEMENT lent, sans explication particulière.
Le SMART est bon, les processus ne semblent pas saturer la machine...

Mais à la racine du disque, je suis tombé sur un truc très douteux :

Crypto.zip

Celles et ceux qui ont l'expérience nécessaire saurait-ils me dire ce que contient cette merde exactement ?
Ça pu le passage d'un CryptoLocker... Mais je fais peut-être erreur...

Merci d'avance,

ThiWeb

[LaDidi21]

@ThiWeb:
Salut,

J'ai fini de dîner, je regarde ton "truc".
Pas cool, MF c'est la cata chez moi...

______________________________ Analyse rapide ______________________________

• Keys\39eb2f27da2f53876afc371748d10c2f_98fa889a-5778-435d-aea0-fa3c3824d89b contient : "RSA1", un GUID "{5594B6AD-FEBD-4428-A445-295B94322F60}" en Unicode, "Private Key Properties"
• DSS\MachineKeys : DSS=Digital Signature Standard
• RSA\MachineKeys\ae0fecb16efd8cc4e62a978d47949200_* contient : "RSA1", un GUID "991C7581-82B4-4479-B3A1-DDA49703C693", "CryptoAPI", Private Key" ou "Clé privée" (!)
• RSA\S-1-5-18\* : le S-1-5-18 m'interpelle (!), chaque fichier contient "IDENTITYCRL_CERT_CONTAINER_d71741c9-533e-4c4d-bc3e-f2d2a441804b"

Je hume de la bonne... crypto

MAIS
Les fichiers RSA\S-1-5-18\* ne semblent pas être des certificats ou équivalents car KeyTool (Java) ne donne rien.
Ils ne correspondent pas à la clé SECURITY de la ruche system.
Il y en a plus de 800 mais datant de 2011 (!) à 2015.

-> Google sur 991C7581-82B4-4479-B3A1-DDA49703C693

Bizarre mais sans plus ? :ugeek: Si tu veux dédouaner, "Process Explorer" & "AutoRuns" et, si nécessaire, "ProcMon" avec l'option "Enable Boot Logging".

:idea: Ton client n'est pas en profil user ?

Amicalement.

[ThiWeb]

Non, Admin...
Pour ce qui est du nettoyage, je ne cherche pas à nettoyer un PC potentiellement infecté par un CryptoLocker, c'est format direct !
Après avoir extrait le disque et les données (saines ?) évidement.

C'est tellement une saloperie ce truc, je ne laisse pas un OS tourner 1 seconde de plus avec cette merde.

Merci pour tes recherches (à la base, utiles pour mon diagnostique)... C'est quand même très bizarres d'avoir un truc pareil à la racine de son disque...
Je réinstall le PC en ce moment. On verra si il est toujours à la ramasse après.
Si tel est le cas, c'est que mes doutes étaient infondés, mais ce Crypto.zip à la racine restera tout de même douteux...

Merci encore pour le soutient.

ThiWeb

[qwerty75]

Bonjour. Le fichier "crypto.zip" ne semble pas dangereux si on en croit une analyse récente de VirusTotal (voir aussi la rubrique File detail)

Il se pourrait qu'il s'agisse de "clés cryptographiques" pouvant être acquises dans des jeux comme Call of Duty... --> traduc Google

• Remarque :
  MalawareBytes vient de mettre à dispo MalawarteBytes Anti-Ransomeware (gratuit) en version beta. Un commentaire est donné par Generation Nouvelles Technologies et c'est téléchargeable ici

[ThiWeb]

Merci pour toutes ces infos qwerty75, c'est toujours bon à prendre !

Je vois mal Call Of poser un énorme ZIP appelé Crypto à la racine du disque quand même...

ThiWeb

[LaDidi21]

@qwerty75:
+ 1 / TW : je doute que CoD génère un \Crypto.zip...

[qwerty75]

J'avais utilisé le conditionnel "Il se pourrait que..." et Cod (des jeux comme...) pouvait être une éventualité parmi d'autres.
"L'énorme ZIP" cité par ThiWeb ne pèse en fait que 1,4 MO.
Et rien ne dit que ce ne soit pas l'intéressé lui-même qui a posé ce truc à la racine du disque (les gens sont parfois bizarres )

[ThiWeb]

Quand je disais énorme, je ne parlais pas du poids, mais du nombre de fichiers bizarres à l'intérieur...

ThiWeb

[NeXtStatioN]

Hello

Je vois des clés, des clés et encore des clés
qui semblent être des clés de certificats Ordinateur/Utilisateur

en soit, rien de trop alarmant, mais bon...

EDIT - cherche des fichiers en .locky, car j'ai peut-être un doute...

sur un ransomware qui refait surface par mail (par le biais de docs Word)