Pages : 1
#1 Le 11/07/2020, à 17:12
- poumtatalia
Ransomware ".kupidon"
Bonjour,
J'ai tout plein de fichiers auxquels a été rajouté une extension bidon ".kupidon"
avant j'avais des "monfichier.ext" qui ont été renommés en "monfichier.ext.kupidon"
et ça dans pas mal de dossiers et sous dossiers.
J'ai manuellement renommé certains et ça fonctionne.
J'ai fermé mes partages de fichiers pour ne plus que ça m'arrive.
Maintenant, je chercher comment tout renommer, sous-répertoires compris pour enlever l'extension ".kupidon" qui me casse les pieds mais je voudrais être sûr de ne pas faire de bêtise.
J'ai un peu testé des trucs mais j'avoue ne pas être très fort en ligne de commandes.
Quelqu'un aurait une idée?
Merci d’avance pour votre aide
Dernière modification par poumtatalia (Le 14/07/2020, à 19:01)
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#2 Le 11/07/2020, à 18:02
- Nuliel
Re : Ransomware ".kupidon"
Bonjour,
Avant de continuer à renommer, sache que kupidon est un ransomware. As tu utilisé un programme pour déchiffrer tes données?
Hors ligne
#3 Le 11/07/2020, à 18:04
- poumtatalia
Re : Ransomware ".kupidon"
Bonjour,
J'ai juste testé sur quelques fichiers, mais juste ne renommant ça fonctionne. Dnc pas eu besoin de décryptage.
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#4 Le 11/07/2020, à 18:05
- poumtatalia
Re : Ransomware ".kupidon"
Arg, tu as raison, tout n'est pas crypté mais certains fichiers le sont!
Des pistes?
En fait les fichiers mp3 semblent encoire fonctionner.
Par contre les odt, les jpg sont KO!
Dernière modification par poumtatalia (Le 11/07/2020, à 18:11)
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#5 Le 11/07/2020, à 18:32
- Nuliel
Re : Ransomware ".kupidon"
Je te conseille de ne plus utiliser ton install d'ubuntu mais d'utiliser un live usb le temps de voir si le ransomware est toujours actif ou pas.
Un ransomware a pour but de te faire payer, donc il faut voir si quelqu'un a réussi à trouver une faille dans le procesus de chiffrement
Tu as bien gardé ta clé usb d'installation? Quelle version est dessus? Si tu ne l'as pas gardé, as tu un autre pc pour faire cette clé usb?
Dernière modification par Nuliel (Le 11/07/2020, à 18:50)
Hors ligne
#6 Le 12/07/2020, à 13:51
- poumtatalia
Re : Ransomware ".kupidon"
Je vais manquer de PC.
Pour ce qui est de réinstaller Ubuntu, j'ai quand même peur de perdre l'accès aux données restantes, non?
Je ne suis pas très fort en manip ubuntu );
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#7 Le 12/07/2020, à 14:41
- Nuliel
Re : Ransomware ".kupidon"
L'intérêt du live usb n'est pas de réinstaller ubuntu mais d'avoir une session live pour réparer ce qui est possible de réparer (il est probable qu'il faille réinstaller lorsque tu auras récupéré les données pour être sûr qu'il n'y ait pas de reste de ce malware)
As tu une iso d'ubuntu sur ce pc? (Mais le plus simple serait de réussir à faire un live usb avec un autre pc.)
Hors ligne
#8 Le 12/07/2020, à 14:44
- poumtatalia
Re : Ransomware ".kupidon"
... après un peu de recherches, il semblerait que ce soit plutôt via exploitation de faille de sécurité réseau que d'un programme infiltré.
Effectivement, je ne suis pas très prudent dans ce domaine.
Du coup pour l'instant j'ai coupé tous les partages réseau, et je surveille les dates de modification de fichiers (tout à eu lieu vendredi soir de 20:30 à 21:30, plus d'activité depuis).
Il reste effectivement un risque que le programme soit dormant quelque part, mais je crois comprendre que la stratégie de ces ransomware est plutôt d'agir vite et disparaître pour ne pas se faire prendre le code dans le sac.
Je suis en train de backuper ce qui reste sur un DD à part....
Le site "no more ransom" me dit que "Désolés ! Nous n’avons pas actuellement de solution pour vous assister, mais nous travaillons activement pour la découvrir."
SI je suis bien je ne peux qu’attendre que quelqu'un trouve un jour le moyen de décrypter en craquant le code...
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#9 Le 12/07/2020, à 14:44
- erresse
Re : Ransomware ".kupidon"
Halte-là, poumtatalia !!! 
Nulliel n'a JAMAIS dit qu'il te fallait réinstaller le système, il te suggère juste d'utiliser ton support d'installation pour ouvrir une session "live", sans rien installer ni modifier dans ton ordinateur.
Edit: Arrgghhh, trop tard, grillé !
Dernière modification par erresse (Le 12/07/2020, à 14:45)
Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.
Hors ligne
#10 Le 12/07/2020, à 14:56
- poumtatalia
Re : Ransomware ".kupidon"
Merci erresse, ça tombe bien je trouvais ça un peu chaud de se lancer là dedans.
Je vais me créer une clé...
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#11 Le 12/07/2020, à 15:31
- Nuliel
Re : Ransomware ".kupidon"
Effectivement, c'est uniquement pour la session live, le temps de trouver une solution (s'il y en a une) et de faire une copie de toutes tes données.
La réinstallation (si elle est obligatoire, c'est encore à déterminer) ne se fera qu'après, donc pour l'instant ne réinstalle pas.
Tu n'aurais pas lancé un script pour lequel tu aurais un doute? Si tu as un doute sur un script, tu peux le passer par le site virustotal.
Si tu le trouves, je veux bien que tu me l'envoies par MP pour que j'y jette un oeil (comme je n'ai pas beaucoup d'info sur ce ransomware, je ne sais pas trop comment il fonctionne, c'est principalement pour voir comment il se déploie)
As tu wine/playonlinux/lutris sur ce pc?
Dernière modification par Nuliel (Le 12/07/2020, à 15:33)
Hors ligne
#12 Le 14/07/2020, à 18:54
- poumtatalia
Re : Ransomware ".kupidon"
Non, pas de script lancé pour lequel j'ai de doute.
J'ai playonlinux, mais pas Lutris.
C'est un outil ?
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#13 Le 14/07/2020, à 21:47
- Nuliel
Re : Ransomware ".kupidon"
En fait c'était juste pour savoir s'il était possible que tu aies lancé un exe (sachant que normalement un malware windows marche pas sous linux, même avec wine), mais avec playonlinux il y a en plus les disques virtuels, donc ça peut pas venir de là.
C'est un malware très récent (de mai apparemment), j'ai l'impression qu'il n'y a actuellement aucun outil pour déchiffrer.
Pour savoir le nombre de dossiers touchés, tu peux lancer
find ~ -name '!KUPIDON_DECRYPT.TXT' | wc -lAs tu fini de copier l'ensemble de tes données en lieu sûr?
Dernière modification par Nuliel (Le 14/07/2020, à 21:48)
Hors ligne
#14 Le 15/07/2020, à 08:58
- FrancisFDZ
Re : Ransomware ".kupidon"
Bonjour,
pour info, voir ici
-- On peut avoir des raisons de se plaindre et n'avoir pas raison de se plaindre --
[Victor Hugo]
Hors ligne
#15 Le 15/07/2020, à 11:07
- NicoApi73
Re : Ransomware ".kupidon"
Bonjour,
J'ai une question relative à cette mauvaise expérience : A qui appartiennent les fichiers .kupidon (est ce que c'est à toi ($USER), est ce que c'est à root) et est ce que des fichiers/répertoires appartenant à root ont été touchés?
... après un peu de recherches, il semblerait que ce soit plutôt via exploitation de faille de sécurité réseau que d'un programme infiltré.
A quelle faille fais tu référence?
Hors ligne
#16 Le 15/07/2020, à 11:19
- beuguissime
Re : Ransomware ".kupidon"
Salut,
Je suis navré de lire ce qui t'arrive et compatis. Aussi je ne veux pas paraître insensible mais, comme d'autres, j'aimerais bien connaître plus de détails sur la façon dont c'est arrivé. Est-ce que tu es sûr que le chiffrement des fichiers s'est produit depuis ta session ubuntu ? Tu parles de partages. Qu'en est-il exactement (des dossiers montés en sftp, …) ? Est-ce que ce sont exclusivement des fichiers de ces partages qui sont concernés ? Est-ce qu'il n'y a pas une machine tournant sous windows dans l'histoire ?
Nulliel : ton find devrait plutôt chercher les fichiers se terminant par .kupidon. Là, tu ne vas trouver que les dossiers touchés car tu cherches les instructions laissées par le groupe criminel.
Hors ligne
#17 Le 20/07/2020, à 22:32
- poumtatalia
Re : Ransomware ".kupidon"
Bonjour,
Merci pour ces éléments et questions. J'essaie de répondre avec mes maigres connaissances....
J'ai copié tous mes fichiers restant ailleurs, fermé tous mes partages, j'ai transformé mon firewall en château fort et changé ma clé wifi.
A qui appartiennent les fichiers .kupidon (est ce que c'est à toi ($USER), est ce que c'est à root) et est ce que des fichiers/répertoires appartenant à root ont été touchés?
Les fichiers cryptés appartiennent à moi, pas à root.
Les fichiers textes !KUPIDON_DECRYPT.TXT appartiennent à nobody.
find ~ -name '!KUPIDON_DECRYPT.TXT' | wc -l
19228j'aimerais bien connaître plus de détails sur la façon dont c'est arrivé
je peux me tromper, mais pas l'impression qu'il y ait quoi que ce soit en local. Plutôt par exploitation de faille réseau, puisque j'avais pare feu plutôt ouvert, des partages publics prévus pour mon Lan, même si tout ce qui a été crypté n'était pas sur ces partages.
Tout est arrivé très précisément en une heure de temps, je n'étais pas à la maison, et aucune autre machine ne tournait à la maison, mais je suppose que si quelqu'un craque le wifi il y a moyen que ce ne soit pas directeent chez moi mais sur une machine d'un voisin par exemple. Après, pas sûr de comment objectiver tout ça... Toute piste est la bienvenue.
(...) ton find devrait plutôt chercher les fichiers se terminant par .kupidon (...)
Indeed, mais je ne sais pas comment chercher ça );
Merci à tou.te.s pour votre aide.
Dernière modification par poumtatalia (Le 20/07/2020, à 22:34)
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#18 Le 20/07/2020, à 23:28
- NicoApi73
Re : Ransomware ".kupidon"
Bonsoir,
Merci pour tes réponses. Nous pouvons regarder ce qui appartient à nobody (y compris les processus) :
sudo find / -user nobody -ls 2>/dev/nullPour avoir tout ce qui contient kupidon :
find / -name *kupidon* -ls 2>/dev/nullCraquer la WiFi, je n'y crois pas de trop. Donne :
nmcli dev wifiEt précise nous quelle est ta box. Nous allons vérifier le codage.
Peux tu nous en dire un peu plus sur ton LAN. Normalement, il devrait être derrière ta box. Celle-ci fait office de pare-feu, ce qui est normalement suffisant. As tu ouvert un/des ports de ta box? La clé WiFi que tu avais, était elle simple (genre 1234) ou était ce quelque chose de complexe (genre 30 caractères issus de l'alphabet, de symboles et de chiffres)?
Hors ligne
#19 Le 21/07/2020, à 08:58
- Zakhar
Re : Ransomware ".kupidon"
Petite histoire : par "commodité", un collègue avait ouvert le port 22 (SSH) de son NAS Synology à World+Dog (tout l'internet)... sans doute avec un mot de passe faible.
Conséquence, il s'est fait "synolocker" !..
Ne confondez pas sécurité relâchée et inconscience.
Désolé pour l'incident poumtatalia, il aura au moins servi à ce que tu appliques une "hygiène minimale" en terme de sécurité, et par chance tu sembles avoir des sauvegardes des choses importantes, ce qui est une très bonne chose.
Personnellement, quand je dois connecter mon PC de travail au LAN, des règles de firewall l'empêchent de communiquer avec mes PC personnels. Je n'ai absolument AUCUNE confiance en W$, et chaque jour me prouve que j'ai raison, exemple récent : https://www.theregister.com/2020/07/20/ … _facebook/
Dernière modification par Zakhar (Le 21/07/2020, à 09:01)
"A computer is like air conditioning: it becomes useless when you open windows." (Linus Torvald)
Hors ligne
#20 Le 21/07/2020, à 11:27
- NicoApi73
Re : Ransomware ".kupidon"
J'ai fait quelques recherches. Il est fort probable que tu aies été infectés par un lien frauduleux, consultation d'un site piraté ou une pièce jointe vérolée. Cherche en premier dans cette direction
EDIT : https://askubuntu.com/questions/329714/ … obody-user Comment as tu configuré ton réseau et en particulier le partage de fichier.
Sur le serveur (ou un serveur), peux tu donner le retour de :
cat /etc/exportset sur un client, peux tu donner le retour de :
cat /etc/fstabCe qui m'interpelle c'est que nobody ait pu écrire un fichier. Qu'il obtienne les droits par élévation de privilège, je n'y crois pas de trop (c'est bien sûr théoriquement possible), je pense plus que ta configuration est trop permissive.
Ne prends pas mes questions comme étant une critique, j'essaie de comprendre ce qu'il t'est arrivé afin que ça ne se reproduise pas (et en premier lieu chez moi 
)
Dernière modification par NicoApi73 (Le 21/07/2020, à 13:52)
Hors ligne
#21 Le 25/07/2020, à 11:59
- poumtatalia
Re : Ransomware ".kupidon"
Bonjour,
Pour info, tout à eu lieu le 10 juillet de 20h à 22h. Il n'y avait aucune autre machie sur ce LAN à ce moment là. Je n'étais pas à la maison, et mon autre PC (Winprout de travail) était avec moi à 100 bornes
Il y a beaucoup d'impacts (plus de 19000 répertoires impactés!), trop pour que ça rentre tout dans un post.. Quelques exemples:
sudo find / -user nobody -ls 2>/dev/null
KUPIDON_DECRYPT.TXT
36307985 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 08/!KUPIDON_DECRYPT.TXT
36307970 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:31 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 07/!KUPIDON_DECRYPT.TXT
36308025 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 09/!KUPIDON_DECRYPT.TXT
36307981 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 05/!KUPIDON_DECRYPT.TXT
36307971 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:31 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 03/!KUPIDON_DECRYPT.TXT
36308010 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 01/!KUPIDON_DECRYPT.TXT
36307976 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/!KUPIDON_DECRYPT.TXT
36308026 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 02/!KUPIDON_DECRYPT.TXT
36307986 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 04/!KUPIDON_DECRYPT.TXT
36308029 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 11/!KUPIDON_DECRYPT.TXT
36308027 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ 32\ Piano\ Sonatas/Beethoven\ -\ 32\ Piano\ Sonatas\ -\ CD\ 06/!KUPIDON_DECRYPT.TXT
36307983 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ The\ Nine\ Symphonies\ -\ Chicago\ Symphony\ Orchestra\ -\ George\ Solti\ -\ Decca,\ 1990\ -\ (Ape\ Cue)/!KUPIDON_DECRYPT.TXT
36307982 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Beethoven/Beethoven\ -\ Symphonies\ No\ 3\ -\ 4\ -\ 5\ -\ 6\ -7\ Y\ No\ 9/!KUPIDON_DECRYPT.TXT
42598810 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Khmer\ Rouge\ -\ Khmer\ Rap/!KUPIDON_DECRYPT.TXT
46400591 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Sinead\ O'Connor\ -\ So\ far...\ Best\ of/!KUPIDON_DECRYPT.TXT
46400180 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Sinead\ O'Connor\ -\ So\ far...\ Best\ of/U2\ -\ The\ best\ of\ 1980-1990/!KUPIDON_DECRYPT.TXT
46400165 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Sinead\ O'Connor\ -\ So\ far...\ Best\ of/U2\ -\ The\ best\ of\ 1980-1990/Disc\ 2/!KUPIDON_DECRYPT.TXT
39584377 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Dionysos/Dionysos\ -\ La\ mecanique\ du\ coeur/!KUPIDON_DECRYPT.TXT
39584375 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Dionysos/Dionysos\ -\ Western\ Sous\ La\ Neige/!KUPIDON_DECRYPT.TXT
39584378 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Dionysos/!KUPIDON_DECRYPT.TXT
39584376 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Dionysos/Dionysos\ -\ Monsters\ in\ love\ (2005)/!KUPIDON_DECRYPT.TXT
35129603 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:31 /home/pouma/Music/Adanowsky/Adanowsky\ -\ El\ Idolo\ (2008)/!KUPIDON_DECRYPT.TXT
35129606 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Adanowsky/!KUPIDON_DECRYPT.TXT
35260554 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Adanowsky/Adanowsky\ -\ Etoile\ Eternelle/!KUPIDON_DECRYPT.TXT
35129605 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:31 /home/pouma/Music/Adanowsky/Adanowsky\ -\ Amador/!KUPIDON_DECRYPT.TXT
41287930 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ The\ First\ Minute\ Of\ New\ Day\ (Midnight\ Band)/!KUPIDON_DECRYPT.TXT
41287923 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Reflections/!KUPIDON_DECRYPT.TXT
41287926 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Winter\ In\ America/!KUPIDON_DECRYPT.TXT
41287925 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ From\ South\ Africa\ To\ South\ Carolina/!KUPIDON_DECRYPT.TXT
41287920 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Secrets/!KUPIDON_DECRYPT.TXT
41287921 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ It's\ Your\ World/!KUPIDON_DECRYPT.TXT
41287918 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/!KUPIDON_DECRYPT.TXT
41287919 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ 1980/!KUPIDON_DECRYPT.TXT
41287922 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ The\ Revolution\ Will\ Not\ Be\ Televised/!KUPIDON_DECRYPT.TXT
41287924 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Small\ Talk\ At\ 125th\ And\ Lenox/!KUPIDON_DECRYPT.TXT
41287928 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Bridges/!KUPIDON_DECRYPT.TXT
41287929 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Pieces\ of\ a\ Man/!KUPIDON_DECRYPT.TXT
41287927 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Gil\ Scott-Heron/Gil\ Scott-Heron\ -\ Moving\ Target/!KUPIDON_DECRYPT.TXT
44434309 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/Muse\ -\ Showbiz/!KUPIDON_DECRYPT.TXT
44434310 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/Muse\ -\ Absolution/!KUPIDON_DECRYPT.TXT
44434311 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/Muse\ -\ Origin\ of\ Symmetry/!KUPIDON_DECRYPT.TXT
44434312 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/!KUPIDON_DECRYPT.TXT
44434305 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/Muse\ -\ Acoustic\ Sessions/!KUPIDON_DECRYPT.TXT
44434313 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Muse/Muse\ -\ The\ Resistance/!KUPIDON_DECRYPT.TXT
43254082 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/Maceo\ Parker\ -\ Sondtrack/!KUPIDON_DECRYPT.TXT
43254083 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/Maceo\ Parker\ -\ Funkoverload/!KUPIDON_DECRYPT.TXT
43254086 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/Maceo\ Parker\ -\ Mo'roots/!KUPIDON_DECRYPT.TXT
43254081 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/Maceo\ Parker\ -\ PeeWeeEllis\ FredWesley/!KUPIDON_DECRYPT.TXT
43254085 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/Maceo\ Parker\ -\ Life\ on\ planet\ groove/!KUPIDON_DECRYPT.TXT
43254084 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Maceo\ Parker/!KUPIDON_DECRYPT.TXT
42074528 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/Elli\ &\ Jacno\ -\ Best\ of/!KUPIDON_DECRYPT.TXT
42205626 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/Jacno\ -\ Future/!KUPIDON_DECRYPT.TXT
42205625 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/Jacno\ -\ Dorian\ Ep\ 1979/!KUPIDON_DECRYPT.TXT
42205628 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/Jacno\ -\ Best\ of\ Jacno/!KUPIDON_DECRYPT.TXT
42074529 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/!KUPIDON_DECRYPT.TXT
42074530 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jacno/Elli\ &\ Jacno\ -\ Symphonies\ de\ Poche/!KUPIDON_DECRYPT.TXT
42205629 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Jamiroquai/Jamiroquai\ -\ Greatest\ Hits/!KUPIDON_DECRYPT.TXT
42205627 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Jamiroquai/Jamiroquai\ -\ Emergency\ on\ planet\ earth/!KUPIDON_DECRYPT.TXT
42205630 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Jamiroquai/!KUPIDON_DECRYPT.TXT
45089281 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ El\ Gran\ Encuentro/!KUPIDON_DECRYPT.TXT
44960469 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/!KUPIDON_DECRYPT.TXT
45089291 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ Serie\ Millenium/1/!KUPIDON_DECRYPT.TXT
45089284 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ Serie\ Millenium/!KUPIDON_DECRYPT.TXT
45089282 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ Serie\ Millenium/2/!KUPIDON_DECRYPT.TXT
45089285 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ A\303\261os/!KUPIDON_DECRYPT.TXT
45089286 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/Pablo\ Milanes/Pablo\ Milanes\ -\ Antolog\303\255a/!KUPIDON_DECRYPT.TXT
40763762 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:32 /home/pouma/Music/France\ Inter\ -\ G\303\251opolitique/!KUPIDON_DECRYPT.TXT
45613682 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Radiohead/Radiohead\ -\ The\ Best\ Of/CD2/!KUPIDON_DECRYPT.TXT
45613684 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Radiohead/Radiohead\ -\ The\ Best\ Of/!KUPIDON_DECRYPT.TXT
45613691 4 -rwxr--r-- 1 nobody nogroup 608 juil. 10 20:33 /home/pouma/Music/Radiohead/Radiohead\ -\ The\ Best\ Of/CD1/!KUPIDON_DECRYPT.TXTfind / -name *kupidon* -ls 2>/dev/null
62652741 245008 -rw-rw-rw- 1 pouma pouma 250880603 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200118_203719.mp4.kupidon
62652866 37280 -rw-rw-rw- 1 pouma pouma 38174219 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191208_183535.mp4.kupidon
62652813 117064 -rw-rw-rw- 1 pouma pouma 119867726 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200221_162354.mp4.kupidon
62652831 77132 -rw-rw-rw- 1 pouma pouma 78982655 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200222_103649.mp4.kupidon
62652891 21216 -rw-rw-rw- 1 pouma pouma 21724064 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191227_114358.mp4.kupidon
62652844 62124 -rw-rw-rw- 1 pouma pouma 63612838 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191216_182620.mp4.kupidon
62652821 96048 -rw-rw-rw- 1 pouma pouma 98345707 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200221_154719.mp4.kupidon
62652836 72276 -rw-rw-rw- 1 pouma pouma 74008053 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200221_163502.mp4.kupidon
62652880 27220 -rw-rw-rw- 1 pouma pouma 27872386 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200225_184900.mp4.kupidon
62652818 100184 -rw-rw-rw- 1 pouma pouma 102583494 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200404_165459.mp4.kupidon
62652911 2944 -rw-rw-rw- 1 pouma pouma 3012751 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191213_074604.mp4.kupidon
62652894 19596 -rw-rw-rw- 1 pouma pouma 20064973 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_155130.mp4.kupidon
62652805 134796 -rw-rw-rw- 1 pouma pouma 138027378 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20190921_214147.mp4.kupidon
62652822 95452 -rw-rw-rw- 1 pouma pouma 97742578 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200313_201043.mp4.kupidon
62652853 52616 -rw-rw-rw- 1 pouma pouma 53878735 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_155708.mp4.kupidon
62652789 224564 -rw-rw-rw- 1 pouma pouma 229952124 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200322_135448.mp4.kupidon
62652860 42656 -rw-rw-rw- 1 pouma pouma 43675997 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20190921_090137.mp4.kupidon
62652883 26528 -rw-rw-rw- 1 pouma pouma 27161522 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_151637.mp4.kupidon
62652833 74228 -rw-rw-rw- 1 pouma pouma 76006934 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200324_125931.mp4.kupidon
62652879 27628 -rw-rw-rw- 1 pouma pouma 28290642 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_154608.mp4.kupidon
62652859 44048 -rw-rw-rw- 1 pouma pouma 45104785 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_151613.mp4.kupidon
62652856 50088 -rw-rw-rw- 1 pouma pouma 51288908 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200322_135352.mp4.kupidon
62652793 156044 -rw-rw-rw- 1 pouma pouma 159787778 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200319_182325.mp4.kupidon
62652852 53364 -rw-rw-rw- 1 pouma pouma 54643931 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200102_131958.mp4.kupidon
62652804 139544 -rw-rw-rw- 1 pouma pouma 142891518 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191222_125510.mp4.kupidon
62652799 146828 -rw-rw-rw- 1 pouma pouma 150345664 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200210_182026.mp4.kupidon
62652877 30176 -rw-rw-rw- 1 pouma pouma 30896174 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_160146.mp4.kupidon
62652740 348924 -rw-rw-rw- 1 pouma pouma 357290854 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200221_161634.mp4.kupidon
62652834 74116 -rw-rw-rw- 1 pouma pouma 75893221 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20200229_180258.mp4.kupidon
62652815 109148 -rw-rw-rw- 1 pouma pouma 111764569 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2020/VID_20191231_155227.mp4.kupidon
34473172 1924 -rwxrwxrwx 1 pouma pouma 1967730 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2013\ 01\ -\ Tatiana\ et\ Thibaud.MOV.kupidon
34473182 1752 -rwxrwxrwx 1 pouma pouma 1790498 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/Esperanza\ en\ El\ Salvadorf407507008.mov.kupidon
34473257 3204 -rwxrwxrwx 1 pouma pouma 3279834 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/Tuca\ -\ f409552392.mov.kupidon
39321873 1048548 -rwxrwxrwx 1 pouma pouma 1073709056 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VTS_01_1.VOB.kupidon
39321929 1048548 -rwxrwxrwx 1 pouma pouma 1073709056 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VTS_01_2.VOB.kupidon
39321930 1048548 -rwxrwxrwx 1 pouma pouma 1073709056 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VTS_01_3.VOB.kupidon
39321937 87024 -rwxrwxrwx 1 pouma pouma 89112576 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VTS_01_4.VOB.kupidon
39321866 236 -rwxrwxrwx 1 pouma pouma 239616 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VIDEO_TS.VOB.kupidon
39321871 136 -rwxrwxrwx 1 pouma pouma 139264 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvd-out/VIDEO_TS/VTS_01_0.VOB.kupidon
39321938 743864 -rwxrwxrwx 1 pouma pouma 761710592 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/dvdtatiana/dvdtatiana.iso.kupidon
34473209 8688 -rwxrwxrwx 1 pouma pouma 8896418 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/f421739608.mov.kupidon
34473137 1301120 -rwxrwxrwx 1 pouma pouma 1332342746 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2013\ 01\ 10\ -\ Lipeza\ de\ nalgas\ de\ Tatiana.MOV.kupidon
34865155 399596 -rwxrwxrwx 1 pouma pouma 409180294 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090199.MOV.kupidon
34865154 114720 -rwxrwxrwx 1 pouma pouma 117469442 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090198.MOV.kupidon
34865192 53812 -rwxrwxrwx 1 pouma pouma 55101578 juil. 10 21:38 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090203.MOV.kupidon
34865156 953072 -rwxrwxrwx 1 pouma pouma 975938778 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090200.MOV.kupidon
34865172 34884 -rwxrwxrwx 1 pouma pouma 35718934 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090201.MOV.kupidon
34865174 651956 -rwxrwxrwx 1 pouma pouma 667594858 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090202.MOV.kupidon
34865196 3988 -rwxrwxrwx 1 pouma pouma 4083382 juil. 10 21:40 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090204.MOV.kupidon
34865198 90156 -rwxrwxrwx 1 pouma pouma 92317966 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/2013\ 05\ 09\ -\ Solitaire/P1090321.MOV.kupidon
34473240 45924 -rwxrwxrwx 1 pouma pouma 47025434 juil. 10 21:39 /home/pouma/Videos/0\ -\ Perso/Mariage\ Ade\ y\ Javi.avi.kupidon
34479778 715152 -rw-rw-rw- 1 pouma pouma 732309504 juil. 10 21:40 /home/pouma/Videos/Cach\303\251\ -\ Michael\ Haneke\ -\ Daniel\ Auteuil,\ Juliette\ Binoche\ -\ 2003.avi.kupidon
36307580 678144 -rw-rw-rw- 1 pouma pouma 694411668 juil. 10 21:39 /home/pouma/Videos/Svankmajer,\ Jan\ Neco\ z\ alenky\ -\ Alice\ (1988)\ En+Es\ sub\ [rodriguezalvarez.com].avi.kupidon
34481122 2863892 -rw-rw-rw- 1 pouma pouma 2932613866 juil. 10 21:38 /home/pouma/Videos/Bertrand\ Blier\ -\ Buffet\ froid\ (1979).mkv.kupidon
36701105 1165088 -rw-rw-rw- 1 pouma pouma 1193044956 juil. 10 21:39 /home/pouma/Videos/Pepi,\ Luci,\ Bom\ y\ otras\ chicas\ del\ mont\303\263n\ 1980\ DvdRip-HighCode.mkv.kupidon
46532066 1798408 -rw-rw-rw- 1 pouma pouma 1841552385 juil. 10 21:40 /home/pouma/Videos/Delicatessen.1991.1080p.BluRay.x264.anoXmous_.mp4.kupidon
36307466 718096 -rw-rw-rw- 1 pouma pouma 735323997 juil. 10 21:40 /home/pouma/Videos/Valse\ Avec\ Bachir\ -\ 2008\ Heb\ Fr\ Subfr\ Dvdrip.mkv.kupidon
34479930 4580816 -rw-rw-rw- 1 pouma pouma 4690749817 juil. 10 21:40 /home/pouma/Videos/Frequently\ Asked\ Questions\ About\ Time\ Travel\ (2009).mkv.kupidon
34475475 3110540 -rw-rw-rw- 1 pouma pouma 3185188721 juil. 10 21:39 /home/pouma/Videos/Fantastic.Beasts.The.Crimes.Of.Grindelwald.2018.MULTi.1080p.HDLight.mkv.kupidon
36701074 4438672 -rw-rw-rw- 1 pouma pouma 4545182480 juil. 10 21:38 /home/pouma/Videos/\303\201tame!\ (1990)\ Tie\ Me\ Up!\ Tie\ Me\ Down!\ 1080p-\ HighCode.mkv.kupidon
34476616 3927404 -rwxrwxrwx 1 pouma pouma 4021656870 juil. 10 21:38 /home/pouma/Videos/The\ Greatest\ Showman\ (2017).mkv.kupidon
34480048 1705852 -rw-rw-rw- 1 pouma pouma 1746785305 juil. 10 21:40 /home/pouma/Videos/Je\ lutte\ donc\ je\ suis\ (version\ longue).mp4.kupidonnmcli ne retourne rien (ce poste n'est qu'en filaire, même si le wifi est allumé dans la maison)
Il s'agit d'une Livebox 4 orange.
La Clé wifi est simple (type "xxxxxxx9999")
J'ai quelques ports ouverts via règles NAT/PAT pour amule, serveur Calibre.
La DMZ activée.
Le LAN est derrière la box qui fait ofice de parefeu, mais il était sur "Faible", soit précisé "Le pare-feu ne bloque aucune connexion entrante. Notez qu'une connexion initiée depuis Internet pourra être rejetée si aucune règle NAT/PAT correspondante n'a été créée.
cat /etc/exports
cat: /etc/exports: No such file or directoryet sur un client, peux tu donner le retour de :
cat /etc/fstab
# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/ubuntu--vg-root / ext4 errors=remount-ro 0 1
# /boot was on /dev/sda2 during installation
UUID=2d18df80-4511-4c12-ad17-fe7fba6c3234 /boot ext2 defaults 0 2
/dev/mapper/ubuntu--vg-swap_1 none swap sw 0 0
# swap was on /dev/sdb5 during installation
UUID=982a625f-cc98-4fc5-bc87-e5b7ba58e39e none swap sw 0 0Partage réseau: Local network share + ticker "Share this folder" et "Allow others to create..."
Ne prends pas mes questions comme étant une critique, j'essaie de comprendre ce qu'il t'est arrivé afin que ça ne se reproduise pas (et en premier lieu chez moi
Au contraire, je te remercie (ainsi que les autres intervenants) pour ton temps et tes remarques constructives!
Dernière modification par poumtatalia (Le 25/07/2020, à 12:07)
Toujours sur du LTS, en ce moment Ubuntu 20.04...
Hors ligne
#22 Le 25/07/2020, à 14:14
- bruno
Re : Ransomware ".kupidon"
Ce type de logiciel malveillant ne peux s'installer et s'exécuter que sous Windows.
Si la machine en question n'a jamais tourné sous Windows, c'est donc forcément que, a minima, les dossiers /home/pouma/Musique et vidéos ont été accessibles depuis une machine sous Windows : partage SMB, (S)FTP, etc.
Hors ligne
#23 Le 02/08/2020, à 20:48
- beuguissime
Re : Ransomware ".kupidon"
Bonsoir,
Tout comme bruno, d'après mes lectures, je comprends que ce logiciel malveillant est conçu pour les systèmes windows, d'où ma question sur la présence d'un ordi tournant sous windows dans la boucle de propagation.
Hors ligne
Pages : 1