[Résolu] njRat et rançon en bitcoins ?

[MagicXarko]

Bonjour

Je viens de recevoir un mail émanant de ma boîte mail (mais non répertorié dans mes messages envoyés) via "tenacel.com". Ce mail m'explique en anglais que l'expéditeur a un accès total à mon PC grâce au cheval de Troie Njrat mais que moyennant rançon en bitcoins il n'enverra pas la vidéo qu'il a prise de moi dans une situation "délicate" à tous mes contacts, etc. Passons sur l'impossibilité de l'existence d'une telle vidéo   Il est autrement inquiétant d'envisager qu'un intrus pourrait effectuer des achats ou autres à mon insu. 

Je suis attentive à ne naviguer que sur des pages sécurisées, ne pas télécharger de PJ émanant d'inconnus, mettre Windows comme mon antivirus intégré à jour, ne pas enregistrer mes mots de passe bref rester prudente mais m'y connais bien trop peu en informatique pour être certaine que mon PC n'a pas été infiltré.

Serait il possible d'analyser mon PC SVP (L'antivirus et l'outil Google me disent que tout est en ordre et je n'ai constaté aucune anomalie) afin que j'en ai le coeur net?

Merci d'avance à qui acceptera de m'aider

 

A noter que, après avoir publié, j'ai trouvé le même genre d'attaque dans la section "mail frauduleux". Je pense que je me suis inquiétée un peu rapidement mais je ne peux effacer ce message. 

 

Modifié le 21 février 2021 par MagicXarko

[tomtom95]

Bonjour MagicXarko,

Ce trojan Njrat est connu et n'est pas récent.
Si aucune une protection sur l'ordinateur ne détecte rien.
Cette arnaque a la vidéo et contrôle de l'ordinateur, n'est là que pour faire peur et insister à clique sur le lien du mail

Dans le doute purge l'ensemble des courriels de la messagerie du pc et dans la boite de ton FAI (fournisseur d'accès à Internet)
Pour le moment évite de connecter le PC à internet, sauf pour venir ici pour faire les différentes procédures

On va faire un diagnostic de l'ordinateur avec l'outil FRST

Selon le système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits

Télécharger FRST sur ton Bureau << IMPORTANT pas ailleurs
Lien de téléchargement de l'outil >> Farbar Recovery Scan Tool pour systèmes x32 (x86) ou Pour systèmes x64

Le filtre SmartScreen de windows peut afficher une alerte.
Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.

Ferme toutes les applications en cours (notamment le navigateur)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité.
Quand l'outil démarre, clique sur Oui (Acceptez les termes de la fenêtre Disclaimer clause de non-responsabilité).

Clique sur le bouton ANALYSER.
L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
Il crée aussi un autre rapport nommé Addition.txt - situé également sur le bureau
Héberge les rapports  sur le site  Service de rapport en ligne
Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
Sur la page Clique sur Ouvrir
Puis sur le site Clique sur  ENVOI, >>  copie/colle les liens des rapports  fourni ICI sur le forum dans ta prochaine réponse.

[MagicXarko]

Bonjour TomTom et merci à toi

 

Les liens sont https://up.security-x.fr/file.php?h=R5e323a104d447ded6768e2423faa9f06 et https://up.security-x.fr/file.php?h=Rab380ee2d3453e7fb7f053f2317b2a38

[tomtom95]

Re,

Il n'y a rien d'inquiétant sur tes rapports.

Désinstalle  via >> programmes et fonctionnalités
Tape sur les touches de ton clavier Démarrer+ R pour ouvrir Exécuter
Dans la fenêtre tape ou copie/colle  appwiz.cpl et clique sur OK
Dans programmes et fonctionnalités recherche le programme et désinstalle.
DriversCloud.com (inutile de la garder en permanence sur le pc)

Fait juste cette Correction avec l'outil FRST.
Ouvre l'outil FRST.exe
Puis >> Copie la totalité du contenu de ce correctif hébergé ici >>>  https://textup.fr/530604DQ

Pour ce faire, sélectionne avec ta souris toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
(le correctif est copié automatiquement dans le Presse-Papier du PC>>>> Fermer toutes les applications ouverte, y compris le navigateur

Ces lignes ont été écrites spécialement pour cet utilisateur,
pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction
L'outil aura besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

Il faudra ensuite faire la mise à jour des programmes installée sur l'ordinateur pour éviter les failles de sécurité.
Dernières versions des principaux logiciels
LibreOffice 6.4.5.2 >> Dernière version 7.1.0
Calibre Version: 3.42.0 >> Dernière Version : 5.11.0
SumatraPDF Version: 3.1.2 Dernière version 3.2

 

[MagicXarko]

Merci TomTom

 

https://up.security-x.fr/file.php?h=R58d92e0092263b3ff9d5d04319d065ed

 

J'attends ton feu vert avant de mettre les logiciels à jour

[tomtom95]

Re,

C'est parfait en plus (La Protection des ressources Windows a détecté des fichiers corrompus et les a réparés.)
Pour la messagerie du FAI tu as réussi à tous nettoyer ?

Si c'est bon oui fait les mises à jour des programmes.
Ensuite Télécharge KpRm sur ton Bureau
Coche les 4 cases.
Supprimer les outils.
Supprimer les points de restaurations.
Créer un point de restauration
Supprimer maintenant

Puis clique sur Exécuter
Héberge le rapport sur le site d'hébergement de fichiers
Puis copier/coller le lien fourni dans votre prochaine réponse.

Quelques conseils et préventions pour l'avenir.

Prudence avec les Mails et pièces jointes que l'on recois ils renferment parfois des Malwares.(Le phishing ou hameçonnage,SPAM... )
Souvent, les infections se propagent sur l'ordinateur de cette manière.
La protection la plus efficace de la messagerie.
1) Ne pas ouvrir ou cliquer sur les pièces jointes provenant d’un expéditeur que vous ne connaissez pas.
2) Ne pas ouvrir les pièces jointes d'un email (fichiers .zip, .xls ou .doc) que si l'identité de son expéditeur est confirmée.
3) Supprimer le message suspect sans y répondre.
4) Refuser de confirmer l'accusé de réception d'un expéditeur inconnu.
5) Supprimez le mail directement (évitez de le stocker dans les éléments supprimés)

Il est nécessaire de tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.

IMPORTANT Sauvegarder régulièrement les données personnelles sur un support externe.
En cas de conflit ou d'infection, les données ne seront pas perdues.

Voilà si tu considére que ton problème est résolu marque le comme tel.
Voici comment faire Comment marquer un sujet

[MagicXarko]

Je ne sais pas au juste ce qu'est nettoyer la messagerie du fournisseur d'accès. Je n'utilise que cella là mais je vide tous les jours le fichier "spams" et régulièrement ma corbeille (celle de la boîte mails et celle du PC). Je suis déjà les consignes de prudence que tu mentionnes mais c'est vrai que je ne vérifie pas toujours que j'ai les dernières versions des logiciels.

 

Je suis en train de passer les MAJ téléchargées avant de les installer. Est il normal que l'analyse "Windows defender" se fasse hors ligne SVP? Il me semble qu'avant on me disait qu'il analysait sans mentionner "hors ligne"

 

Je fais les MAJ avant de passer à l'étape suivante avec Kprm  

Modifié le 21 février 2021 par MagicXarko

[MagicXarko]

Voici le lien vers le rapport KPM TomTom

https://up.security-x.fr/file.php?h=R99975c72ced2461899b29af05f6f4502

 

[tomtom95]

Très bien,pense a mettre ton sujet en résolu.

Je te souhaite une bonne fin de dimanche et continuation.

Modifié le 21 février 2021 par tomtom95

[MagicXarko]

Merci beaucoup TomTom

Pour ton aide et pare que tu détailles toujours tes explications. Cela facilite beaucoup les choses à la trouillarde que je suis

Passe une très belle soirée