Menu

Comment se débarasser du virus de rançonnage NamPohyu

Messages postés
3
Date d'inscription
samedi 13 avril 2019
Statut
Membre
Dernière intervention
13 avril 2019
-
Bonjours à tous,
Je suis nouveau sur le site et c'est la 1ére fois que je m'inscris sur un forum, mais aujourd'hui je ne trouve aucune solution sur internet pour solutionner mon problème qui est le suivant :

J'ai 1 système WD MyCloud mirror connecté à ma LiveBox, celui-ci a été attaqué par le virus de rançonnage NamPohyu et depuis je ne peux plus accéder à aucun fichiers image/photo/vidéo/film/… quelque soit le type d'extension car leur nom a été modifiée avec l'extension .NAMPOHYU et ils sont maintenant cryptés.
Dans un 1er temps je sollicite votre aide pour supprimer le cryptage sans avoir à payer la rançon demandé sachant qu'il y a une manipe à faire via le browser Tor rédigé en anglais qui semble très compliquée avec un payement par bicoin et aucune certitude au final de retrouver l'accès aux fichiers.

MyCloud Miroir possède 2 disques dur de 2To, si j’ai bien compris le principe de fonctionnement de ce système le second disque sert à dupliquer le 1er DD alors si il n'y a aucune solution pour supprimer le cryptage des fichiers, je voudrai savoir comment faire pour accéder au second disque afin de récupérer la copie des fichiers d’origines avant l’ajout de l’extension .NAMPOHYU, je ne sais pas ce que je vais retrouver sur le second DD donc l'idéal reste la suppression du cryptage.

Pour info, j''ai déjà lancé une analyse complète de mon système avec Kaspersky total Security qui n'a rien trouvé.
Ayant un compte chez eux, j'ai utilisé sans succès les outils de décryptage proposés sur leur site.

Ensuite j'ai réalisé un nettoyage de mon PC avec Malwarebytes premium version essai gratuit pendant 15j mais rien de sensible en liaison avec mon problème n'a été trouvé.

Selon moi ce n'est pas le PC qui est infecté mais ma NAS reliée en direct à ma Box par RJ45.

Je sollicite votre aide car toutes les photo et vidéo de ma famille sont impactées.

Merci par avance à tous ceux qui m'apporteront leur support et une solution.
Afficher la suite 
A voir également:

Votre réponse

5 réponses

Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974
0
Merci
Salut,

Apparemment, il s'agit de MegaLocker Ransomware.
A lire : NAS et ransomware : ce qu’il faut faire.

Voici un extrait sur comment le ransomware est parvenu à attaquer votre NAS.

1)

Deux méthodes peuvent avoir été utilisées pour attaquer ton NAS.
Soit certains services sont accessibles par internet et vulnérables.
Dans ce cas il faut mettre à jour.

Tu as les partages accessibles par internet ?
https://community.wd.com/t/my-cloud-mirror-gen1-attacked-by-ransomware/219814/6

According to the WD’s release note, Firmware v 2.11.168 aleady resolved related security vulnerability issue(CVE-2017-7494).
Does my case deal with different vulnerability issue??

Release Note:
Firmware Version 2.11.168 (11/28/2017)
Resolved Issues
•Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
•Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.


2)
Soit par rebond à partir de ton ordinateur.
Ton ordinateur a choppé le ransomware et il a attaqué les fichiers sur les partages.
En général les fichiers locaux sont aussi touchés.

~~

Pour la récupération des données, suivre ce lien : https://www.malekal.com/ransomware-solutions-recuperer-fichiers/

~~

Ca semble être le premier cas.
Il faut le régler car sinon tu subiras d'autres attaques plus tard.


Malekal_morte-
Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974 > mcsaisai
Messages postés
4
Date d'inscription
dimanche 27 juillet 2014
Statut
Membre
Dernière intervention
19 avril 2019
-
Les outils de déchiffrement sont pour la plupart regroupés sur ce site : https://www.nomoreransom.org/
Il ne semble pas y en avoir pour ton ransomware.
mcsaisai
Messages postés
4
Date d'inscription
dimanche 27 juillet 2014
Statut
Membre
Dernière intervention
19 avril 2019
-
J’ai oublié de dire, je n’ai pas de partage pas Interne, je peux juste accéder à distance via l’application WD sur iPhone et autres applications Applstore.
Dans tous les cas l’accès se fait via des comptes utilisateurs avec mots de passe créés avec l’application WD gérant la NAS.
Après l’attaque j’ai aussi modifié tous les mots de passe
mcsaisai72
Messages postés
3
Date d'inscription
samedi 13 avril 2019
Statut
Membre
Dernière intervention
13 avril 2019
-
Merci pour le lien donnant les outils de déchiffrement, j'ai déposé sur le site dans l'onglet aide 1 fichier crypté et le fichier de demande de rançon indiquant la procédure à suivre, la réponse du site est que pour l'instant il n'y a pas encore de solution, il conseille de conserver tous les fichiers cryptés dans l'espoir d'un jour ou un outil de déchiffrement sera développé.

Si prochainement quelqu'un trouve cet outil, merci de me tenir informé.

idem sur le comment récupérer les fichiers sur le second disque ou sont dupliqués en automatiquement par le système MyCloud mirror les fichiers du 1er disque.
mcsaisai72
Messages postés
3
Date d'inscription
samedi 13 avril 2019
Statut
Membre
Dernière intervention
13 avril 2019
-
Nota, j'ai aussi fait une demande au support Kaspersky en leur envoyant les mêmes fichiers, 1 ticket est ouvert, je vous informe dés que j'aurai un retour de ce coté là.
Malekal_morte-
Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974 > mcsaisai72
Messages postés
3
Date d'inscription
samedi 13 avril 2019
Statut
Membre
Dernière intervention
13 avril 2019
-
ouaip espérons qu'un outil sorte un jour,
Mets bien le NAS à jour !
bon courage
Commenter la réponse de Malekal_morte-
0
Merci
Bonjour,
Je rencontre le même problème sur mon Synology...
J'espère qu'une solution va être trouvée.
Malekal_morte-
Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974 -
Salut,

Même conseil que précédemment :
- mettre à jour le NAS
- vérifier ton ordinateur
- conserver les fichiers en espérant qu'un outil de déchiffrement soit mis en ligne, voire sur nomoreransomware.
Merci pour les conseils, j'ai fait tout cela :-) Comment faire par contre pour éviter qu'il se propage à nouveau sur d'autres fichiers ?
Malekal_morte-
Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974 > Bibi -
Il faut arrêter le ransomware mais il n'est pas forcément résident, c'est à dire qu'il ne reste pas.
Vérifie ton ordinateur et mets à jour le NAS.
Merci, il ne doit pas être résident car pas de nouveaux fichiers cryptés depuis 2 jours. Le NAS est à jour (MAJ automatique) et le PC RAS.
Je vais patienter et espérer...
Commenter la réponse de Bibi
0
Merci
bonjour à tous ,

Je rencontre le meme souci que vous mon nas à ce virus , tous les fichiers ont été crypté , pas de solutions en vue actuellement , donc plus qu'a esperer , je possede un ready nas 214.
bonne journee
cordialement
Commenter la réponse de julbuk
Messages postés
1
Date d'inscription
vendredi 19 avril 2019
Statut
Membre
Dernière intervention
19 avril 2019
0
Merci
bonjour,
meme attaque le 14/04/2019 aussi sur un MyCloudMirror. Rançon 1000$ bitcoin !
Commenter la réponse de lbo35830
Messages postés
4
Date d'inscription
dimanche 27 juillet 2014
Statut
Membre
Dernière intervention
19 avril 2019
0
Merci
Bonjour,
Pour l’instant tjs pas de solution, je suis tjs en cours de transfert des fichiers sur un autre disque afin de les conserver.
J’ai relu la notice de MyCloudMirror, par défaut si le mode raid n’a pas été modifié, le second disque a sauvegardé les fichiers d’origine avant attaque, quand je vais avoir terminé la copie des fichiers cryptés, je vais lancer la procédure de restauration du disque 2 de MyCloudMirror et je dirai si cela m’a permis de récupérer toutes mes données.
Bon courage et patience
Malekal_morte-
Messages postés
165378
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
20 avril 2019
21974 -
Bonne chance.
Commenter la réponse de mcsaisai