forum Abc de la sécurité informatique

allyass · 08-06-2006 11:58:44

salut a tous
j ai un problem tres grave mes fichier word et exel et access avec d autres fichier sont infecté .toutes les données sont perdu et remplace avec le meme message : DATA Error [47 0F 94 93 F4 K5] jai cheche et jai trouuve que c un message d un virus appler nyxem ou mywife ou blackworm et blackmal ce virus supprime toutes mes données et les remplaces avec DATA Error [47 0F 94 93 F4 K5]

s il vous plait si kelk1 peut me donner une solution pour mon problems car ces données sont imporatant pour moi
merciii d avance

MAD · 08-06-2006 12:36:59

Vous n'avez pas d'antivirus ? Ce virus est connu depuis Janvier, il s'agissait d'une bombe à retardement qui s'active début février. Si ma mémoire est bonne; tous les éditeurs étaient préparés à faire face à Nyxem.

Source: f-secure

Il a plusieurs entitées, certes.
Utilisons la base CME (Common Malware Enumeration)

Aladdin Knowledge Systems: Win32.Blackmal.e
Authentium: W32/Kapser.A@mm
AVIRA: Worm/KillAV.GR
CA: Win32/Blackmal.F
ESET: Win32/VB.NEI
Fortinet: W32/Grew.A!wm
F-Secure: Nyxem.E
Grisoft: Worm/Generic.FX
H+BEDV: Worm/KillAV.GR
Kaspersky: Email-Worm.Win32.Nyxem.e
McAfee: W32/MyWife.d@MM
Microsoft: Win32/Mywife.E@mm
Norman: W32/Small.KI
Panda: W32/Tearec.A.worm
Sophos: W32/Nyxem-D
Symantec: W32.Blackmal.E@mm
TrendMicro: WORM_GREW.A

Les fichiers qui peuvent être touchés sont les DOC, XLS, MDB, MDE, PPT, PPS, ZIP, RAR, PDF, PSD and DMP.
Celui-ci essaye de se propager via les partages administratifs d'où l'importance des règles, signatures de détection. (sur vos réseaux)

Exemple: Signatures Snort
-------------------------------

alert tcp any any -> any 80 (msg:"webstats.web.rcn.net count.cgi request without referrer (possible BlackWorm infection)"; content:"GET /cgi-bin/Count.cgi|3f|"; depth:23; content:"df|3d|"; content:"Host|3a 20|webstats.web.rcn.net"; content:!"Referer|3a|"; classtype:misc-activity; sid:1000376; rev:1;)

alert tcp any any -> any 80 (msg:"Agentless HTTP request to www.microsoft.com (possible BlackWorm infection)"; dsize:92; content:"GET / HTTP/1.1|0d0a|Host|3a20|www.microsoft.com|0d0a|Connection|3a20|Keep-Alive|0d0a|Cache-Control|3a20|no-cache|0d0a0d0a|"; classtype:misc-activity; sid:1000377; rev:1;)

Source: lurhq.com
Plus de signatures snort pour Nyxem

De nombreuses informations techniques sont disponibles ici ainsi que des statistiques. Il existe de nombreux utilitaires gratuits de désinfection.

Il s'agit d'un virus destructeur. Les fichiers sont détruits, la méthode est simple mais efficace: "supprime et remplace".
Vous ne pouvez pas récupérer les fichiers détruits sauf si vous aviez des sauvegardes. Personnellement, je ne connais pas de solutions miracles, je suis désolé, je ne peux vous aider.

A++

Rodolphe · 08-06-2006 13:13:00

ébé, tu parles d' une belle s*****rie!!!

allyass · 09-06-2006 00:22:06

merci Mad jai lu bcp sur ce virus c vraiment le pur du mal c po moi qui est infecte c une prof dans mon etablissement elle les examans des eleves et ses travaux qui sont perdu a cause de ce nyxem helas
merci encore

rootshell2 · 16-06-2006 10:32:45

Salut,

Je trouve honteux que des personnes ayant des documents aussi important n'ais meme pas le reflexe d'avoir fait une sauvegarde, en effet un disque dur n'est pas une sauvegarde, on ne le repeteras jamais assez !! en effet comment protéger des donnees si elles sont sur des supports reinscriptibles ! le mieux et de les mettres sur cd et si possible sur deux et de le mettre en lieux sur.

Dernierement j'ai eu la visite dune personne qui avait un probleme de disque dur.
Elle avait 5 ans de compabilité dessus.
Je n'ais pu restauré aucune donnée le DD etait HS, cette personne a quand meme perdus 5 ans de comptabilité ce qui n'est pas rien.
J'ai remarqué que les gens ont besoin de se faire mal pour changer d'attitude ce qui est amusant tout de meme, mais eux sur le coup ca ne les fait pas rire...

Donc aux néophites je ne dirais que quelques mots tres simple "INFORMEZ VOUS !"

laserpe · 16-06-2006 16:41:01

MAD a écrit:
Vous n'avez pas d'antivirus ? Ce virus est connu depuis Janvier, il s'agissait d'une bombe à retardement qui s'active début février. Si ma mémoire est bonne; tous les éditeurs étaient préparés à faire face à Nyxem.

c'est pas pour me faire mousser mais j'avais même fait un petit sujet à l'époque (24 janvier), qui n'avait eu que peu d'écho... même s'il avait quand même été vu par pas mal de personnes.

http://abcdelasecurite.free.fr/forum-abc-de-la-securite/viewtopic.php?id=624

habana · 16-06-2006 20:47:39

rootshell2 a écrit:
Dernierement j'ai eu la visite dune personne qui avait un probleme de disque dur.
Elle avait 5 ans de compabilité dessus.
Je n'ais pu restauré aucune donnée le DD etait HS, cette personne a quand meme perdus 5 ans de comptabilité ce qui n'est pas rien.

J'espère que tu as redirigé la personne ou son disque vers un service de récupération de données sur disque en salle blanche genre Ontrack, Ondata ou autre laboratoire.
Ca coûte une fortune mais si les données sont tellement importantes, c'est parfois une solution à envisager.

rootshell · 16-06-2006 21:52:11

Il n'en as pas voulu, en effet 2000 € ete trop elevé pour lui , resultat il n'as plus rien, j'espere qu'il n'aura pas de control fiscal !

Rodolphe · 16-06-2006 22:08:01

Salut!

C' est aux alentours de 2000€, pour une tentative de récupération de données sur un DD HS??

Quels sont les chances de récupérer quelque chose, et dans quelles proportions?

JokuHech · 17-06-2006 09:04:58

Le processus est en fait assez simple dans son "idée", mais complexe dans sa mise en oeuvre.
Démontage du disque abimé, et ensuite transfert de tout ce qui est sur ce disque vers un second exemplaire. Et c'est là que ça se complique grandement. Il faut que le nouveau disque hôte soit de la même série que le disque émetteur.
Tout doit être fait dans des salles spécialement conçues, mais aussi totalement isolées, et isolées de toutes poussières. Ceci se paye aussi très cher. Voilà qui explique le tarif.

La confidentialité est garantie totalement.