Comment se débarasser du virus de rançonnage NamPohyu Résolu/Fermé

Question

Bonjours à tous, 
Je suis nouveau sur le site et c'est la 1ére fois que je m'inscris sur un forum, mais aujourd'hui je ne trouve aucune solution sur internet pour solutionner mon problème qui est le suivant : 

J'ai 1 système WD MyCloud mirror connecté à ma LiveBox, celui-ci a été attaqué par le virus de rançonnage NamPohyu  et depuis je ne peux plus accéder à aucun fichiers image/photo/vidéo/film/… quelque soit le type d'extension car leur nom a été modifiée avec l'extension .NAMPOHYU et ils sont maintenant cryptés. 
Dans un 1er temps je sollicite votre aide pour supprimer le cryptage sans avoir à payer la rançon demandé sachant qu'il y a une manipe à faire via le browser Tor rédigé en anglais qui semble très compliquée avec un payement par bicoin et aucune certitude au final de retrouver l'accès aux fichiers. 

MyCloud Miroir possède 2 disques dur de 2To, si j’ai bien compris le principe de fonctionnement de ce système le second disque sert à dupliquer le 1er DD alors si il n'y a aucune solution pour supprimer le cryptage des fichiers, je voudrai savoir comment faire pour accéder au second disque afin de récupérer la copie des fichiers d’origines avant l’ajout de l’extension .NAMPOHYU, je ne sais pas ce que je vais retrouver sur le second DD donc l'idéal reste la suppression du cryptage. 

Pour info, j''ai déjà lancé une analyse complète de mon système avec Kaspersky total Security qui n'a rien trouvé.
Ayant un compte chez eux, j'ai utilisé sans succès les outils de décryptage proposés sur leur site.

Ensuite j'ai réalisé un nettoyage de mon PC avec  Malwarebytes premium version essai gratuit pendant 15j mais rien de sensible en liaison avec mon problème n'a été trouvé. 

Selon moi ce n'est pas le PC qui est infecté mais ma NAS reliée en direct à ma Box par RJ45. 

Je sollicite votre aide car toutes les photo et vidéo de ma famille sont impactées.

Merci par avance à tous ceux qui m'apporteront leur support et une solution.

nini85 · Accepted Answer

solution qui fonctionne et gratuite emsisoft decryter

Malekal_morte- · Answer

Salut,

Apparemment, il s'agit de MegaLocker Ransomware.
A lire : NAS et ransomware : ce qu’il faut faire.
Tenter Emsisoft Decrypter : https://www.emsisoft.com/ransomware-decryption-tools/

Voici un extrait sur comment le ransomware est parvenu  à attaquer votre NAS.

1)

Deux méthodes peuvent avoir été utilisées pour attaquer ton NAS.
Soit certains services sont accessibles par internet et vulnérables.
Dans ce cas il faut mettre à jour.

Tu as les partages accessibles par internet ?
https://community.wd.com/t/my-cloud-mirror-gen1-attacked-by-ransomware/219814/6

According to the WD’s release note, Firmware v 2.11.168 aleady resolved related security vulnerability issue(CVE-2017-7494).
Does my case deal with different vulnerability issue??

Release Note:
Firmware Version 2.11.168 (11/28/2017)
Resolved Issues
•Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
•Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.

2)
Soit par rebond à partir de ton ordinateur.
Ton ordinateur a choppé le ransomware et il a attaqué les fichiers sur les partages. 
En général les fichiers locaux sont aussi touchés.

~~

Pour la récupération des données, suivre ce lien : https://www.malekal.com/ransomware-solutions-recuperer-fichiers/

~~

Ca semble être le premier cas.
Il faut le régler car sinon tu subiras d'autres attaques plus tard.

Bibi · Answer

Bonjour,
Je rencontre le même problème sur mon Synology...
J'espère qu'une solution va être trouvée.

julbuk · Answer

bonjour à tous ,

Je rencontre le meme souci que vous mon nas à ce virus , tous les fichiers ont été crypté , pas de solutions en vue actuellement , donc plus qu'a esperer , je possede un ready nas 214.
bonne journee 
cordialement

lbo35830 · Answer

bonjour,
meme attaque le 14/04/2019 aussi sur un MyCloudMirror. Rançon 1000$ bitcoin !

mcsaisai · Answer

Bonjour, 
Pour l’instant  tjs pas de solution, je suis tjs en cours de transfert des fichiers sur un autre disque afin de les conserver.
J’ai relu la notice de MyCloudMirror, par défaut si le mode raid n’a pas été modifié, le second disque a sauvegardé les fichiers d’origine avant attaque, quand je vais avoir terminé la copie des fichiers cryptés, je vais lancer la procédure de restauration du disque 2 de MyCloudMirror et je dirai si cela m’a permis de récupérer toutes mes données.
Bon courage et patience

Comment se débarasser du virus de rançonnage NamPohyu

6 réponses

Discussions similaires