Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Ransomware, 2 To de données sur NAS cryptées...


Messages recommandés

Bonjour....


Première fois de ma vie que j'ai affaire a un ransomware.... ce ****** a crypté les 2 terra de donnée de mon NAS...

Voici le message : 

All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: http://veqlxhq7ub5qze3qy56zx2cig2e6tzsgxdspkubwbayqije6oatma6id.onion/order/1PaYXJpLMFEPhJVYr9gWPi9VUnmcJ7fYgT
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to



Premiere question vous vous en doutez :  Puis je dire adieu a toutes mes données ?
Deuxieme question : que dois je faire, sachant que tout est enregistré sur mon pc ( carte bleu, paypal etc... sont sauvegardé via le navigateur )
Je dois faire opposition a tout ,et tout reset ?

Ptain j'ai la haine 😕

Merci d'avance a tout ceux qui pourrons m'aider

Bonne journée a vous

Modifié par aleccc
Lien à poster
Partager sur d’autres sites
  • Dylav changed the title to Ransomware, 2 To de données sur NAS cryptées...

Bonjour aleccc,

C'est une infection par Cryptowall (ransmoware crypteur)
1) Puis je dire adieu a toutes mes données ?
Il n'y a pratiquement aucun moyen de récupérer ces fichiers avec des moyens "normaux".
ils sont chiffré avec une clé unique quasiment impossible à déchiffrée.
2)Que dois je faire, sachant que tout est enregistré sur mon pc.
Commencer par changer rapidement l'ensemble des adresses et des mots de passe sur les sites de tous tes comptes.

Ensuite on peut vérifier et supprimer les restes de l'infection ( important purge la syncro des sauvegarde des navigateurs)
Après je te donnerai un lien explication pour essayer récupérer fichiers chiffrés.

On va commencer par faire un diagnostic de l'ordinateur avec l'outil FRST

Selon le système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits

Télécharger FRST sur ton Bureau << IMPORTANT pas ailleurs
Lien de téléchargement de l'outil >> Farbar Recovery Scan Tool pour systèmes x32 (x86) ou Pour systèmes x64

Le filtre SmartScreen de windows peut afficher une alerte.
Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.

Ferme toutes les applications en cours (notamment le navigateur)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité.
Quand l'outil démarre, clique sur Oui (Acceptez les termes de la fenêtre Disclaimer clause de non-responsabilité).
180531042708840164.png
Clique sur le bouton ANALYSER.
L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
Il crée aussi un autre rapport nommé Addition.txt - situé également sur le bureau
Héberge les rapports  sur le site  Service de rapport en ligne
Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
Sur la page Clique sur Ouvrir
Puis sur le site Clique sur ENVOI, >>copie/colle les liens des rapports sur le forum dans ta prochaine réponse.

Lien à poster
Partager sur d’autres sites

Merci pour toutes tes informations, je fais ça dans 30mn dès que je rentre. 

Mon n'as est en raid je sais plus combien, en gros ça écrit en double sur un autre disque dur. Y a des chances que ça soit pas crypté ? 

Lien à poster
Partager sur d’autres sites

Possible que le cryptage ne soit que sur la première sauvegarde, si le deuxième disque de sauvegarde est propre, il faut le débrancher, puis formaté le premier.
De replacer le HHD propre ce qui va te permettre de transférer les fichiers sains sur le disque formaté.

Lien à poster
Partager sur d’autres sites

Bon, je ne trouve absolument aucune info potable sur internet pour visualiser le contenu d'un HDD en raid1, c'est jsute pas croyable..Quand je branche qu'un DD, le NAS ne fonctionne pas correctement... mais bon, a priori c'est du raid Miroring, donc inutile....

Par contre, est ce pertinent de changer les comptes et mots de passe alors que le virus est toujours la ? ne vaudrait il mieux pas l'éradiquer puis changer par la suite ? 

Et enfin dois je m'inquiété des cartes bleues ? je dois faire opposition ? 

 

encore merci

Lien à poster
Partager sur d’autres sites

Re,

Ce type d'infection ne crypte généralement que les fichiers pour toucher une rançon (qu'il ne faut jamais payer).
Souvent les personnes qui payent (perde l'argent) et non pas la clé de décryptage.

Maintenant avec les informations personnelles et sensibles comme ,(carte bleu,paypal,mot de passe etc...)  
il vaut mieux par prudence changer l'ensemble des mots de passe directement sur les sites de tous tes comptes.  
Pour la carte bancaire, après vérification sur le compte d'un retrait suspect, il faut effectivement faire opposition.
Mais il vaut mieux pour être tranquille, contacter ta banque puis faire le changement de carte, donc de numéro.
Pourquoi car les infos peuvent ressortir dans une semaine, un mois...
 
L'infection ne semble plus active sur le PC.

On va commencer par désinstaller via >> programmes et fonctionnalités un programmes.
Tape sur les touches de ton clavier Démarrer+ R pour ouvrir Exécuter
Dans la fenêtre tape ou copie/colle  appwiz.cpl et clique sur OK
Dans programmes et fonctionnalités recherche le programme et désinstalle.
uTorrent BitTorrent (Source d'infection multiple et risque de vols et perte de données)
Idem pour tous les programmes cracker et les torrents sur l'ordinateur.

Je conseille pour éviter d'être réinfecté, de purger toutes les synchros des navigateurs,programmes Cloud,et messagerie qui sauvegarde et garde en mémoire les informations
Discord
FileZilla Client
Flock
MEGAsync
Origin
Parsec Cloud
QNAP Qfinder Pro
(vérifier d'avoir la dernière version du programme pour la nas (actuel version 7.4.5.0120)
Puis de modifier IP de l'adresse de connexion.

Je sais que c'est du boulot, mais tu n'as pas vraiment le choix si tu ne veux pas laisse de porte ouverte pour une autre infection
Il n'y a aucun point de restauration système
Vérifie quel est activer et fait un point de sauvegarde  Comment activer la protection du système

On va faire une Correction avec l'outil FRST.
Ouvre l'outil FRST.exe
Puis va sur le site >> Copier la totalité du contenu de ce correctif hébergé ici >>>  https://textup.fr/554453sA

Pour ce faire, sélectionne avec ta souris toutes les lignes, de Start:: jusqu'a End:: puis clique droit sur le teste et sur copier
(le correctif est copié automatiquement dans le Presse-Papier du PC>>>> Fermer toutes les applications ouverte, y compris le navigateur

Clique une seule fois sur le bouton CORRIGER et et patiente le temps de la correction

180531042708840164.png

L'outil aura besoin d'un redémarrage, laisse le système redémarrer normalement.
Ensuite laisse l'outil terminer son travail.
Quand il a fini, FRST va créer un rapport placé sur le Bureau (Fixlog.txt).
Héberge le rapport présent sur ton bureau sur le site ,ce service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

Télécharge Malwarebytes Anti-Malware et enregistre-le sur le Bureau.
Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
Clique-droit > exécuter en tant qu'administrateur sur le fichier mbam-setup.exe pour lancer l'installation.
A la fin de l'installation,
Clique sur Terminer. Malwarebyte's s'ouvre
Lancer l'examen >> Analyse
Quand l'examen est terminé, SI des éléments ont été Détectés,
Appliquer les actions cliquez sur Quarantaine sélectionnée
Pour laisser MBAM nettoyer ce qui a été détecté.
Si un redémarrage est demandé, clique sur OUI.
Attende l'affichage du message vous invitant à faire redémarrer le PC, puis clique sur Oui.

Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvre de nouveau MBAM.
Clique sur Analyseur
Clique sur  Compte-rendu .
Sélectionne sur comptre-rendu d'analyse qui vient d'être effectuée.
Clique sur Afficher Exporter.
Clique sur Fichier texte (*.txt)
Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, clique sur le Bureau.
Dans la zone Nom du fichier: saisir un nom pour le journal d'examen.
Une boîte de message intitulée Fichier enregistré doit apparaître et t'annoncer que "Votre fichier a été exporté avec succès".
Clique sur OK
Héberge  le contenu du rapport sur le site Service de rapport en ligne
Puis copie/colle le lien fourni dans ta prochaine réponse.

Lien à poster
Partager sur d’autres sites
Posté(e) (modifié)

Merci pour toutes ces info, je m'y mets dès mon retour dans une heure environs. 

J'ai pas mal d'autres SSD ( sans Os) juste du stockage. ( que j'ai débranché au cas où) 

Ça vaut le coup de les scanner ? Le virus pourrait être actif sur l'un d'eux ? 

Quand tu dis purger, tu veux dire effacer les données de navigations de chrome par exemple ? 

 

Encore merci, et à tout de suite pour les scan demandés 

Modifié par aleccc
Lien à poster
Partager sur d’autres sites

Oui purger c'est bien d'arrêter les synchronisations et supprimer les données sur l'ensemble des navigateurs,des programmes Cloud,et messagerie.
Le faire avant le scan avec Malwarebytes.
Pour les disques de stockage oui après on fera une analyse pour d'éventuels malwares,Adwares.

Lien à poster
Partager sur d’autres sites
  • aleccc changed the title to [Résolu] Ransomware, 2 To de données sur NAS cryptées...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...