Bonjour
 
j'ai un serveur windows 2008 R2 avec des application intranet installé , aujourd'hui j'ai trouvé le serveur infecté par un ransomware qui crypte les fichier en donnant comme extension .sage , comment mon serveur est infecté ?  
 
j'ai déja donné le mot de passe de ce serveur a certain pour la maintenance de leur application intranet , mais je doute qu'il ont pu faire ça
 
quelqu’un a forcement exécuter le virus dans le serveur, mais comment il a accéder , (bureau a distance depuis le lan , team viewer,telnet...)
 
je veut savoir qui a fait ça ,j'ai vérifier le log de team viewer, et il y rien , je veut savoir si il ya des logs bureau a distance ,j'ai aussi vérifier les événement du serveur mais rien trouvé , es-que vous pouvez m’orientai pour trouvé qui ou comment?
 
je veut surtout pas que ça recommence , sachant que j'ai d'autre serveur

ton pseudo est mal choisi

merci cher modérateur pour ton précieuse aide.

Les malwares font des fichiers readme.txt pour expliquer la marche à suivre pour payer la rançon.
Regarde le créateur de ce fichier, cela te donnera une piste.

 
 
Regarde qui est propriétaire des fichiers cryptés pour voir si ça vient d'un autre poste.  
 
Sî il y'a eu brute force pour passer par le bureau à distance tu peux le voir dans le journal de sécurité Windows. Tu verras de nombreuses tentatives d'ouverture de session.  
 
Est ce que les partages administratifs sont activés sur le serveur ?  

il partage des fichiers en smb ton serveur ? si ca ne concerne que certains partages, c'est assez simple de savoir qui y a accès. comme dit plus haut le propriétaire des fichiers cryptés te donnera l'utilisateur par lequel c'est passé.
s'ils etaient passé par le rdp, ils auraient aussi probablement crypté le c: et donc tout le systeme. C'est arrivé chez un client.

essaye d'identifié le type de ransomware
regarde cet outil anti ransomware
https://korben.info/recuperer-fichi [...] mware.html

le propriétaire des fichiers crypté est l'administrateur du system, donc on a utilisé un accès administrateur, les dossiers et fichiers ciblé  ne sont pas partagé ,es-que j'ai raison de penser qu'un ransomeware ne peut pas s'autoexécuté? et pour le journal de l’accès bureau a distance , ça existe !!!

Jette un oeil dans l'historique du navigateur, l'administrateur a pu naviguer sur un site contaminé.
Il y a peut être un outlook de configuré sur le serveur et l'administrateur a ouvert un message.

Perso j'essai d'utiliser au mieux RSAT et les autres outils de prise à distance, pour éviter toutes interactions avec les serveurs.
 
 
Après oui ça sent l'admin qui a clic au mauvaise endroit

Bonjour,
Je n'ai pas la solution au problème proprement dit.
Cependant, comme votre réseau comporte beaucoup de serveurs et que vraisemblablement la sécurité est compromise au niveau administrateur, je ne saurai trop vous conseiller les choses suivantes :
- isoler le serveur infecté du réseau.
 
Désolé de ne pas pouvoir faire mieux, et bon courage avec ce genre de galère.
- changer les mots de passe de tous les utilisateurs du domaine (ou du moins les groupes avec privilèges sensibles pour l'activité de l'entreprise).

je croit que ce n'est pas un hacker exceptionnel !!! le seul mot de passe que j'ai donné a quelqu’un est celui du serveur infecté (serveur contient des applications intranet qui nécessite parfois des maintenance et mise a jour ....) les autres serveur non jamais été infiltré depuis 9 ans, on a pas infecté la bases de donnée SQl ,car il était en fonctions , un bon  (ou un mauvais ) hacker aura pensé a arrêter les services SQL.
 
un réseaux entreprise est très difficile pour être sécurisé ,tu est obligé de donner des mot de passe (surtout des fois quand on est trop occupé ) deuxième point faible ,c'est le réseaux wifi , on donne les mot de passe au clients (normal )  ,heureusement que j'ai configuré la sauvegarde automatique journalier et pu restaurer 98% des données.
 
on gros j'ai regardé l'historique de navigateur, événement sécurité Windows,le propriétaire des fichiers ,historique team viewer.
 
une autre piste si quelqu’un a eu le même problème.
 
merci a ceux qui m’ont rependu, c'est vraiment gentil de votre part  

Il y a peu de chances que ce soit un hacker, je dirais qu'il s'agit de négligence.
Avec le créateur du fichier, tu as vu qu'il s'agissait de l'administrateur, tu peux regarder la date de création du fichier, cela peut t'indiquer si la manipulation était faite en journée ou pendant la nuit.
Attention certains malware modifient la date de création pour brouiller les pistes.
Il est possible que ce soit un utilisateur de la société du poste qui ait le disque du serveur mappé avec les logins d'admin.
Tu peux faire le tour des postes pour voir si un utilisateur n'aurait pas des fichiers cryptés sur son poste.
Ou cela pourrait être une redirection de port sur le routeur qui a été oubliée.
S'il y a du SQL, il y a peut être un prestataire en charge de la maintenance, c'est peut être qui a chiffré le disque.
 

la date de création des fichiers est le 05/04/2017 vert 19h GMT+1
en sort normalement à 18:30h
 
j'ai même regardé dans les enregistrement Caméra. c'est vraiment con le fait de ne pas trouvé le log bureaux a distance de Windows .

j'ai trouvé le log bureau a distance :
 
Please check the Event Viewer tree on the left side under "Applications and Services Logs -> Windows -> TerminalServices-*" where * is all of the logs there. I think you are most interested in the TerminalService-LocalSessionManager Operational log.
 
There is also a "RemoteDesktopServices-RemoteDesktopSessionManager" node in the event viewer tree on the left side under "Applications and Services Logs -> Windows". Only the Administrator role is allowed to view the file I believe. Please confirm and let me know if this addresses your use case.
 
 
si ça intéresse quelqu’un d'autre

Pour le futur, crée des comptes en droit admin (ou plus restreint, selon leur besoin) pour tes presta, et ne les active que quand ils ont besoin de faire une maintenance....et désactivé le reste du temps. Chez moi il est inconcevable que quelqu'un mette les doigts sur un de mes serveurs sans que l'équipe info soit au courant. ça prend 2 secondes à ré-activer, et évitera pas mal de perte de temps future (voir de perte définitive de données....)  
Si c'est du team viewer, ne pas laisser un TW actif sur un serveur. Tu lance un Quick support à la demande. C'est comme à la maison, mon plombier, electricien, ou tonton Lucien qui passe tous les 4 ans, ben tu leur laisse pas les clefs de ta baraque ad vitae.... (c'est un coup à les voir débarquer à l'improviste alors que tu es avec ta maitresse....euh.....)
ça demande juste un peu de rigueur, et un tout petit peu de temps, mais tu seras déjà plus serein et auras éliminé une bonne partie de tes problèmes de sécurité immédiats... bien que je pense qu'il doit y avoir plus à faire !

Il me semble que le moyen le plus simple pour un hacker est de passer par le mail: toi ou l'un des utilisateurs du réseau ouvre un mail et lance une pièce jointe infectée et c'est le drame... Même si l'administrateur réseau maîtrise ses installations, c'est très difficile de surveiller les utilisateurs et les mails qu'ils ouvrent

pour les mails ,  j'envoie souvent un rappelle pour les utilisateurs pour ne pas ouvrir n'importe quoi , et malgré ça, on a un pc infecté de temps de temps (malgré l'antivirus & spyware) ,les mails reçu avec une pièce jointe (fichier compressé avec un programme .js ) , dernièrement l'attaque mondiale WANNACRY à fait beaucoup de dégât , en exploitant une faille Windows ,il faut faire ces MAJ Windows régulièrement.
et ne jamais oublié de faire une MAJ général .

centralise la gestion des maj avec WSUS.
ne laisse pas les utilisateur gerer ou non l'instal des maj.
Car sinon c'est la catastrophe