Infection par le ransomware Nobu

[ab-web]

Hello

Comme par hasard la majorité des fichiers readme.txt , ont la même date et heure  de création (05/12/2020,14:43:09) et le même MD5. preuv qu'ils ont tous été remplacés par le ransomware !

Alors ont est reparti pour une nouvelle correction , je pense qu'après on pourras faire une tentative de décryptage .

1  - Copie la totalité du texte hébergé  sur cette page >> CORRECTIF-FRST
Sélectionne a la souris le texte de Start:: a End:: > clic droit sur la sélection > copier : le texte sera copié dans le presse papier

Ferme toutes les applications ouvertes sur le bureau , y compris le navigateur
    
ATTENTION: Ces lignes ont été écrites spécialement pour cet utilisateur !
Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

2 - Lance FRST en tant qu'administrateur
clique une seule fois sur le bouton  Corriger laisse travailler . attend bien la fin .

Si l'outil a besoin d'un redémarrage : laisse le système redémarrer normalement. Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
héberge le rapport , et met le lien dans ta prochaine réponse .

 

Modifié le 9 décembre 2020 par ab-web

[lynyrd]

Voici le rapport: https://www.cjoint.com/c/JLjqXw37CWE

[ab-web]

Hello

Voila un peu de ménage fait , mais des fichiers readme.txt , il en reste encore plein sur le disque D et sur le F , que je n'ai pas inclus ,  mais il ne sont pas dangereux . les ransomwares les mutliplient , mais quand le lanceur a disparu il ne peuvent plus être lancé .

Ce programme emsisoft anti malwares que FRST n'arrive pas a supprimer , est-il visible dans les programmes ❔ auquel cas tu pourrais peu être le désinstaller .

Je te propose de tenter un décryptage avec un outil de emsisoft , qui lui est un otuil sans installation . cela est sans garantie de réussite mais il faut essayer .

Télécharge l'outil de décryptage de Emsisoft > decryption-tools/download

Lance l'outil en tant qu'administrateur , accèpte les termes de licence par Yes !
 

l’interface utilisateur principale du décrypteur apparaît:

le déchiffreur remplira automatiquement les emplacements disponibles afin de déchiffrer les lecteurs actuellement disponibles (ceux connectés), y compris les lecteurs réseau.
Des emplacements supplémentaires (facultatifs) peuvent être sélectionnés à l’aide du bouton “Add”.

Clique sur le bouton “Decrypt”.pour lancer la procédure , Le déchiffreur averti dès que la procédure de déchiffrement sera terminée.
On peu récuperer le résultat en cliquant sur  “Save Log”

 

 

Modifié le 9 décembre 2020 par ab-web

[lynyrd]

C'est très long, comment saurais-je que c'est terminé  ?

Il n'a fait qu'un seul disque, cela fait 20 minutes qu'il est sur "File: D:\Jeux\WWII\Call.of.Duty.WWII-RELOADED\rld-caofduww.iso.nobu"

Modifié le 9 décembre 2020 par lynyrd

[lynyrd]

Voici le rapport "Save Log" : https://www.cjoint.com/c/JLjwyPR42YE

[ab-web]

Bonjour

il fallait s'y attendre , l'outil ne peu pas décrypter cette variante de Nobu( les ransomwares évoluent ) il est souvent difficile aux concepteur d'adapter leur logiciel de décryptage , surtout quand la clé qui pourrai fonctionner est une clé en ligne .

Tu peu essayer de demander de l'aide sur le site en ligne de emsisoft .

il faut joindre un fichier Chiffré + un fichier readme.txt du ransomware + une adresse mail si le ransomware en a communiqué une ( dans ton cas c'est: [email protected] )

Lien vers le site >> https://www.emsisoft.com/ransomware-decryption-tools/

Lien vers le site traduit >> https://translate.google.com/translate?depth=1&hl=fr&rurl=translate.google.com&sl=en&tl=fr&u=https://www.emsisoft.com/ransomware-decryption-tools/

une fois les informations rentrées , descend sur la page pour cliquer sur " Inquire Help Now"  ou "demander de l'aide maintenant" , sur la page traduite en FR .

[lynyrd]

Bonjour,

J'ai d'autres problèmes, Office ne s'ouvre plus alors qu'il fonctionnait encore hier.

J'ai deux HDD amovibles qui sont passé en Raw.

J'ai remarqué que seul les fichiers 64Bits étaient crypté.

[ab-web]

Hello

Ce foutu ransomware , fait des dégats , mais bon les disques qui passent en RAW cela peu arriver pour diverses raisons , cela est toujours bien embêtant .

• En premier on peu essayer une réparation par windows bien qu'elle ai peu de chance d'aboutir .

Touche windows + X > windows Powershell (admin) ou CMD (admin)
Tape  chkdsk F: /f/r  ( lettre F  a remplacer par le disque que tu veux vérifier )

😧- il y a la méthode avec test disck ( réparer et récupérer les donnés ) bien complexe que je n'ai jamais eu l'occasion de tester mais réputé très fiable . https://www.pcastuces.com/pratique/materiel/reparer_raw/page1.htm

- Une autre solution consiste a céer un cd de ubuntu , les systèmes Ubuntu peuvent souvent lire les disque passé en Raw . cela permet de récupérer les dossiers et fichiers sur un autre disqueTélécharger une image iso et la graver sur un CD >>> https://ubuntu-fr.org/Faire démarrer le PC sur le CD , au moment du choix ( installer ou essayer Ubuntu , choisi essayer) le système ubuntu sera ouvert sur le CD .amorcer_sur_cd_ubuntu

- Des logiciels peuvent récupérer les données de disques passés en RAW
Mais les versions gratuites sont très limitées il faut malheureusement acheter une version complète

Avec renee undeleter >>  https://www.reneelab.fr/store/buy-renee-undeleter-win

Avec un logiceil easus >> https://www.easeus.fr/recuperer-apres-formatage/logiciel-gratuit-de-recuperation-de-disque-dur-raw.html

 

 

 

Modifié le 10 décembre 2020 par ab-web

[lynyrd]

Après testdisk, le pc ne boot plus, j’ai ceci: 

Si je fais escape, je retourne dans le setup 

 

Modifié le 11 décembre 2020 par lynyrd

[ab-web]

Bonjour

Est ce que tu a des périphériques branchés ( disque externe , clé usb ) si oui débranche les )

Ou a tu fait une mauvaise manip avec Test disk ( c'était uniquement pour essayer de récupérer tes disques externes passés en RAW )