Comment se débarasser du virus de rançonnage NamPohyu
Résolu
mcsaisai72
Messages postés
7
Date d'inscription
Statut
Membre
Dernière intervention
-
mcsaisai72 Messages postés 7 Date d'inscription Statut Membre Dernière intervention -
mcsaisai72 Messages postés 7 Date d'inscription Statut Membre Dernière intervention -
Bonjours à tous,
Je suis nouveau sur le site et c'est la 1ére fois que je m'inscris sur un forum, mais aujourd'hui je ne trouve aucune solution sur internet pour solutionner mon problème qui est le suivant :
J'ai 1 système WD MyCloud mirror connecté à ma LiveBox, celui-ci a été attaqué par le virus de rançonnage NamPohyu et depuis je ne peux plus accéder à aucun fichiers image/photo/vidéo/film/… quelque soit le type d'extension car leur nom a été modifiée avec l'extension .NAMPOHYU et ils sont maintenant cryptés.
Dans un 1er temps je sollicite votre aide pour supprimer le cryptage sans avoir à payer la rançon demandé sachant qu'il y a une manipe à faire via le browser Tor rédigé en anglais qui semble très compliquée avec un payement par bicoin et aucune certitude au final de retrouver l'accès aux fichiers.
MyCloud Miroir possède 2 disques dur de 2To, si j’ai bien compris le principe de fonctionnement de ce système le second disque sert à dupliquer le 1er DD alors si il n'y a aucune solution pour supprimer le cryptage des fichiers, je voudrai savoir comment faire pour accéder au second disque afin de récupérer la copie des fichiers d’origines avant l’ajout de l’extension .NAMPOHYU, je ne sais pas ce que je vais retrouver sur le second DD donc l'idéal reste la suppression du cryptage.
Pour info, j''ai déjà lancé une analyse complète de mon système avec Kaspersky total Security qui n'a rien trouvé.
Ayant un compte chez eux, j'ai utilisé sans succès les outils de décryptage proposés sur leur site.
Ensuite j'ai réalisé un nettoyage de mon PC avec Malwarebytes premium version essai gratuit pendant 15j mais rien de sensible en liaison avec mon problème n'a été trouvé.
Selon moi ce n'est pas le PC qui est infecté mais ma NAS reliée en direct à ma Box par RJ45.
Je sollicite votre aide car toutes les photo et vidéo de ma famille sont impactées.
Merci par avance à tous ceux qui m'apporteront leur support et une solution.
Je suis nouveau sur le site et c'est la 1ére fois que je m'inscris sur un forum, mais aujourd'hui je ne trouve aucune solution sur internet pour solutionner mon problème qui est le suivant :
J'ai 1 système WD MyCloud mirror connecté à ma LiveBox, celui-ci a été attaqué par le virus de rançonnage NamPohyu et depuis je ne peux plus accéder à aucun fichiers image/photo/vidéo/film/… quelque soit le type d'extension car leur nom a été modifiée avec l'extension .NAMPOHYU et ils sont maintenant cryptés.
Dans un 1er temps je sollicite votre aide pour supprimer le cryptage sans avoir à payer la rançon demandé sachant qu'il y a une manipe à faire via le browser Tor rédigé en anglais qui semble très compliquée avec un payement par bicoin et aucune certitude au final de retrouver l'accès aux fichiers.
MyCloud Miroir possède 2 disques dur de 2To, si j’ai bien compris le principe de fonctionnement de ce système le second disque sert à dupliquer le 1er DD alors si il n'y a aucune solution pour supprimer le cryptage des fichiers, je voudrai savoir comment faire pour accéder au second disque afin de récupérer la copie des fichiers d’origines avant l’ajout de l’extension .NAMPOHYU, je ne sais pas ce que je vais retrouver sur le second DD donc l'idéal reste la suppression du cryptage.
Pour info, j''ai déjà lancé une analyse complète de mon système avec Kaspersky total Security qui n'a rien trouvé.
Ayant un compte chez eux, j'ai utilisé sans succès les outils de décryptage proposés sur leur site.
Ensuite j'ai réalisé un nettoyage de mon PC avec Malwarebytes premium version essai gratuit pendant 15j mais rien de sensible en liaison avec mon problème n'a été trouvé.
Selon moi ce n'est pas le PC qui est infecté mais ma NAS reliée en direct à ma Box par RJ45.
Je sollicite votre aide car toutes les photo et vidéo de ma famille sont impactées.
Merci par avance à tous ceux qui m'apporteront leur support et une solution.
A voir également:
- Comment se débarasser du virus de rançonnage NamPohyu
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Impossible de terminer l'opération car le fichier contient un virus - Forum Virus
6 réponses
Salut,
Apparemment, il s'agit de MegaLocker Ransomware.
A lire : NAS et ransomware : ce qu’il faut faire.
Tenter Emsisoft Decrypter : https://www.emsisoft.com/ransomware-decryption-tools/
Voici un extrait sur comment le ransomware est parvenu à attaquer votre NAS.
1)
Deux méthodes peuvent avoir été utilisées pour attaquer ton NAS.
Soit certains services sont accessibles par internet et vulnérables.
Dans ce cas il faut mettre à jour.
Tu as les partages accessibles par internet ?
https://community.wd.com/t/my-cloud-mirror-gen1-attacked-by-ransomware/219814/6
According to the WD’s release note, Firmware v 2.11.168 aleady resolved related security vulnerability issue(CVE-2017-7494).
Does my case deal with different vulnerability issue??
Release Note:
Firmware Version 2.11.168 (11/28/2017)
Resolved Issues
•Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
•Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.
2)
Soit par rebond à partir de ton ordinateur.
Ton ordinateur a choppé le ransomware et il a attaqué les fichiers sur les partages.
En général les fichiers locaux sont aussi touchés.
~~
Pour la récupération des données, suivre ce lien : https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
~~
Ca semble être le premier cas.
Il faut le régler car sinon tu subiras d'autres attaques plus tard.
Apparemment, il s'agit de MegaLocker Ransomware.
A lire : NAS et ransomware : ce qu’il faut faire.
Tenter Emsisoft Decrypter : https://www.emsisoft.com/ransomware-decryption-tools/
Voici un extrait sur comment le ransomware est parvenu à attaquer votre NAS.
1)
Deux méthodes peuvent avoir été utilisées pour attaquer ton NAS.
Soit certains services sont accessibles par internet et vulnérables.
Dans ce cas il faut mettre à jour.
Tu as les partages accessibles par internet ?
https://community.wd.com/t/my-cloud-mirror-gen1-attacked-by-ransomware/219814/6
According to the WD’s release note, Firmware v 2.11.168 aleady resolved related security vulnerability issue(CVE-2017-7494).
Does my case deal with different vulnerability issue??
Release Note:
Firmware Version 2.11.168 (11/28/2017)
Resolved Issues
•Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
•Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.
2)
Soit par rebond à partir de ton ordinateur.
Ton ordinateur a choppé le ransomware et il a attaqué les fichiers sur les partages.
En général les fichiers locaux sont aussi touchés.
~~
Pour la récupération des données, suivre ce lien : https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
~~
Ca semble être le premier cas.
Il faut le régler car sinon tu subiras d'autres attaques plus tard.
Merci pour la réponse rapide mais j’avais déjà déconnecté MyCloud mirror de mon réseau. Avant j’ai vérifié s’il y avait une màj à installer, non aucune.
Je confirme que mon PC n’est pas infecté.
Maintenant qu’elle est la solution pour récupérer des fichiers non cryptés ?
J’avais l’intention de connecter la NAS directement au PC via le RJ45 afin de voir si je peux pas lire le second disque ou il devrait y avoir les fichiers sains dupliqués du disque 1, je ne sais pas si cette façon de faire est une bonne idée.
Par avance merci pour les conseils donnés
Je confirme que mon PC n’est pas infecté.
Maintenant qu’elle est la solution pour récupérer des fichiers non cryptés ?
J’avais l’intention de connecter la NAS directement au PC via le RJ45 afin de voir si je peux pas lire le second disque ou il devrait y avoir les fichiers sains dupliqués du disque 1, je ne sais pas si cette façon de faire est une bonne idée.
Par avance merci pour les conseils donnés
Les outils de déchiffrement sont pour la plupart regroupés sur ce site : https://www.nomoreransom.org/
Il ne semble pas y en avoir pour ton ransomware.
Il ne semble pas y en avoir pour ton ransomware.
J’ai oublié de dire, je n’ai pas de partage pas Interne, je peux juste accéder à distance via l’application WD sur iPhone et autres applications Applstore.
Dans tous les cas l’accès se fait via des comptes utilisateurs avec mots de passe créés avec l’application WD gérant la NAS.
Après l’attaque j’ai aussi modifié tous les mots de passe
Dans tous les cas l’accès se fait via des comptes utilisateurs avec mots de passe créés avec l’application WD gérant la NAS.
Après l’attaque j’ai aussi modifié tous les mots de passe
Merci pour le lien donnant les outils de déchiffrement, j'ai déposé sur le site dans l'onglet aide 1 fichier crypté et le fichier de demande de rançon indiquant la procédure à suivre, la réponse du site est que pour l'instant il n'y a pas encore de solution, il conseille de conserver tous les fichiers cryptés dans l'espoir d'un jour ou un outil de déchiffrement sera développé.
Si prochainement quelqu'un trouve cet outil, merci de me tenir informé.
idem sur le comment récupérer les fichiers sur le second disque ou sont dupliqués en automatiquement par le système MyCloud mirror les fichiers du 1er disque.
Si prochainement quelqu'un trouve cet outil, merci de me tenir informé.
idem sur le comment récupérer les fichiers sur le second disque ou sont dupliqués en automatiquement par le système MyCloud mirror les fichiers du 1er disque.
Bonjour,
Je rencontre le même problème sur mon Synology...
J'espère qu'une solution va être trouvée.
Je rencontre le même problème sur mon Synology...
J'espère qu'une solution va être trouvée.
bonjour à tous ,
Je rencontre le meme souci que vous mon nas à ce virus , tous les fichiers ont été crypté , pas de solutions en vue actuellement , donc plus qu'a esperer , je possede un ready nas 214.
bonne journee
cordialement
Je rencontre le meme souci que vous mon nas à ce virus , tous les fichiers ont été crypté , pas de solutions en vue actuellement , donc plus qu'a esperer , je possede un ready nas 214.
bonne journee
cordialement
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Pour l’instant tjs pas de solution, je suis tjs en cours de transfert des fichiers sur un autre disque afin de les conserver.
J’ai relu la notice de MyCloudMirror, par défaut si le mode raid n’a pas été modifié, le second disque a sauvegardé les fichiers d’origine avant attaque, quand je vais avoir terminé la copie des fichiers cryptés, je vais lancer la procédure de restauration du disque 2 de MyCloudMirror et je dirai si cela m’a permis de récupérer toutes mes données.
Bon courage et patience
Pour l’instant tjs pas de solution, je suis tjs en cours de transfert des fichiers sur un autre disque afin de les conserver.
J’ai relu la notice de MyCloudMirror, par défaut si le mode raid n’a pas été modifié, le second disque a sauvegardé les fichiers d’origine avant attaque, quand je vais avoir terminé la copie des fichiers cryptés, je vais lancer la procédure de restauration du disque 2 de MyCloudMirror et je dirai si cela m’a permis de récupérer toutes mes données.
Bon courage et patience
De mon côté le labo de kaspersky m’a répondu ne pas avoir de solution pour le moment.
Sinon je confirme que le second disque de MyCloud mirror n’est que la copie conforme cryptée du 1er disque.
J’ai pratiquement réussi à récupérer tous mes fichiers cryptés en utilisant EtaseUS Data Recovery Wizard par contre j’ai tout à reclasser et les photos non pas toutes les dates d’origine.
merci à tous je vous donnerez mon retour
Un énorme merci à tous ceux qui ont répondu à ma demande. A mon niveau le problème est soldé,
EMSI decrypter peux désormais fonctionner sur votre réseau