[Résolu] Ransomware, 2 To de données sur NAS cryptées...

[aleccc]

Édit ; ras, ça fonctionne enfin

Modifié le 24 mai 2021 par aleccc

[aleccc]

Alors, voici ce que j'ai fais : 

Rapport FRST Fixlog : 
https://up.security-x.fr/file.php?h=Rd81772b203042ed8f24dabffa13391cb
A noter qu'au redémarrage, il m'a redemandé les autorisations pour Epics, MegaSync etc.... j'ai accepté


ensuite, le rapport MBAM Analyseur :

https://up.security-x.fr/file.php?h=Rec18cffddfb64fadcbddec6021b83301

Ce que j'ai fais en plus : 

Internet : j'ai simplement effacé tous les historiques de connexion de chrome 
Pour Flock, Discord, MegaSync, Origins : je ne vois pas trop quoi faire, a part me déconnecter, je vois pas quoi faire d'autre, il n'y a pas de systéme de purge a ma connaissance.
même s'il en y avait un, je vais quoi qu'il en soit retourner dessus, et entrer des logins, du coup j'avoue ne pas comprendre la démarche.

Et pour terminer, j'avoue être assez inquiet de ne trouver aucune trace d'un logiciel de cryptage de données.... c'est courant dans ce genre d'attaque que le virus s'auto détruise lui même ? 

Encore merci pour ton aide

Modifié le 24 mai 2021 par aleccc

[tomtom95]

Ok, on a supprimer quelques fichiers du malware Trovi sur le navigateur Chrome.(fichier LOCK etc..)
Oui c'est un peu normal, une fois son méfait effectué,(fichiers perso cryptés) l'infection n'est plus active.
Il ne reste que les fichiers cryptés README_FOR_DECRYPT Txt qui attende la clé de décryptage.

D'ailleur pour Chrome
Suis cette procédure pour Arrêter la synchronisation et supprimer les données de Google.
Clique sur le menu Google Chrome dans la barre d'outils du navigateur
Sélectionne Connecté avec l'adresse e-mail

Aide Arrêter/Supprimer les informations synchronisées de votre compte
Une fois fait, ne te connecte plus à Internet !(avec chrome)
Fais alors ceci pour réinitialiser les paramètres :
Réinitialiser les paramètres du navigateur

Ensuite Télécharges Adwcleaner  sur ton Bureau
Ferme toutes les applications en cours (notamment le navigateur)
Fais clique droit dessus, exécuter en tant qu'administrateur
Clique sur oui pour Accepter la licence

Clique sur Analyser Maintenant
Lorsque le scan est terminé les éléments détectés s'affichent
Choisir l'option Quarantaine
Accepte l'avertissement en cliquant sur redémarrer maintenant l'ordinateur.
Ensuite C /Adwcleaner/Logs Héberge  le contenu du rapport
sur le site d'hébergement de fichiers
Puis copie/colle le lien fourni dans votre prochaine réponse.

Si c'est bon je te donne la fin des procédures et le lien pour essayer des solutions pour récupérer fichiers chiffrés

[aleccc]

alors, voici ce que j'ai fais : 

Arrêté la synchro et supprimé les éléments synchronisé
j'ai réinitialisé le navigateur, mais je sais pas te dire si la consigne "ne te connecte plus a internet" a été respecté, puisque par exemple, j'ai au moins la page Zebulon ouverte pour suivre les instructions. Je n'ai pas rafraichi la page ni rien, mais je ne sais pas si ca respecte la consigne du coup.

Cependant j'ai poursuivi, et fait le Adwcleaner :

https://up.security-x.fr/file.php?h=R2b024f025083ac2d8125f928c10aeea6

https://up.security-x.fr/file.php?h=R88dd4ae4307e685179dc4949c589afdc

Est ce que je dois scanner tous mes autres disques durs ? si oui, comment ? 

Une nouvelle fois, merci a toi

 

[tomtom95]

Re,

Oui c'est bon puisque tu as arrêté et supprimé les éléments synchronisés et réinitialisé le navigateur.
Puis Adwcleaner à supprimer les restes des fichiers indésirables.

Pour moi le pc est propre,les disques externe fait un scan personnalisé avec  Malwarebytes.
Branche tes supports externes sur le PC (clé USB, disque dur externe,) sans les ouvrir.
Ouvre MBAM sur le Tableau de bord, clique sur Analyseur
Sur la page clique sur Analyseur avancés puis sur configurer l'analyse
Coche sur la droite toutes les cases des lecteurs (C,D,E,F...) et clique sur Analyse
L'outil va faire un scanne de l'ensemble des lecteurs.
Un aide avec capture pour une Analyse Avancés (Personnalisée),sur cette page Tutoriel Malwarebytes Anti-Malware
Héberge  le contenu du rapport sur le site service de rapport en ligne
Puis copie/colle le lien fourni dans votre prochaine réponse.

Autrement pour essayer des solutions pour récupérer fichiers crypté.
Tu peux  soumettre des échantillons de fichiers cryptés ID Ransomware pour obtenir de l'aide pour l'identification.
Il s'agit d'un service qui permet d'identifier quels ransomwares qui ont pu chiffrer tes fichiers.
Explication et plusieurs autres possibilités Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Si tu utilises l'un outils teste au début seulement sur 2 ou 3 fichiers pour voir si le décryptage fonctionne.

A plus.

[aleccc]

Ok, alors, j'ai fais les scan sur les lecteurs D, E, et F.

Voici le rapport : 

https://up.security-x.fr/file.php?h=R77494a268de37cf3720475533ada94be

J'avais aussi quelque doute sur le scan Malwarebyte ( 21 minutes pour 900 000 fichiers, alors que quand j'analyse ne serait ce qu'un disque dur, je suis a 18mn et 680 000 fichiers sur l'analyse d'un seul disque dur en faisant un click droit > analyse avec Malwarebyte )
Et a priori, rien a signer, aucune détection.

Quelques petites questions  par rapport à tout ça ;

1/ Que faire des fichiers en quarantaine ? 

1bis/ comme je te le disais ( et je me trompe peut être, mais je n'ai pas vu la réponse ), sur les logiciels tels que Flock ou Discord, je ne trouve pas grand chose à purger. C'est un soucis ?

2/ Maintenant que c'est propre, je peux me reconnecter sur tous mes comptes avec le mot de passe "actuel" pour changer le password sur chaque site ? 

3/ C'est intéressant de payer pour la version premium de Malwarebytes ? C'est à peine 3 euros/mois, et si ca peut m'éviter un autre ransomware dans le temps...

4/ P***n je deviens parano maintenant, Malwarebyte ne peut rien rater ?  Par exemple ,sur les antivirus, je sais qu'ils ont des databases parfois différentes, ce qui leur permet de scanner avec plus ou moins d'efficacité d'un antivirus à l'autre. Puis je être sur que MB n'ait rien loupé ? quel soft pourrait confirmer a 200% que la detection est impeccable? 

Concernant les fichiers cryptés, je test ta solution dès que ce fichu NAS est décidé a refonctionner normalement... 

Encore merci à toi

[tomtom95]

Bonjour aleccc,

Si tes disques externes ont bien été brancher avant les scans avec MBAM ils sont reconnu par l'outil.
Ensuite avec la procédure scan personnalisée, il suffit de cocher l'ensemble des cases des lecteurs pour qu'il soit scanner
Le rapport de Malwarebyte montre qu'il a supprimer un indésirable sur le lecteur D.(PUP.Optional.SpeedyPC, D:\)

La quarantaine de Malwarebyte tu peux la supprimer.
Ouvre MBAM dans l'interface clique sur Historique des détections >> sélectionne les cases des fichiers et clique sur supprimer.

La question de la version payante de MBAM c'est toi qui vois si tu veux en faire l'achat.
la différence entre la version gratuite, et premium c'est quel à une protection en temps réel.
Autrement le scan de détection est le même pour les deux, il suffit de le faire régulièrement et manuellement.

Des protections a 200% sur ça n'hésite pas.
Le diagnostic et correction avec l'outil FRST ,plus les correction avec Malwarebyte, et Adwcleaner l'ordinateur est propre.

Pour ton information il ne faut pas confondre ,un virus,un malware,ou Adware.
La première protection sur un PC c'est celui qui se trouve derrière le clavier.

la sécurité est un tout et ne se résume pas aux choix des programmes de protection que tu installe sur ton ordinateur.
C'est avant tout être vigilant et éviter certaines mauvaises habitudes qui conduisent à l'infection à coup sûr,
Avoir une bonne habitude de surf (bannir certaines catégories de site WEB).
Bannir certaines sources & téléchargements : P2P, cracks, etc.
Et important maintenir son système et ses programmes constamment à jour pour éviter les failles.

Plus une Sauvegarde régulièrement les données personnelles sur un support externe (HHD ou clé USB).
En cas de conflit ou d'infection, tes données ne seront pas perdues.
 
L'antivirus Windows Defender sous W10 est très bien.
Il faut faire une analyse du système régulièrement avec l'antivirus,et l'anti-Malware ton ordinateur sera protéger et sain.
Info: sous W10 il y a même un Anti-Ransomware que l'on peut activer.
Comment activer la protection Anti-Ransomware de Windows 10

Pour tes programmes Flock ou Discord je n'ai pas de procédure à te proposer.
À défaut vérifient leurs mises à jour pour l'amélioration et comble les failles de sécurité.

(je peux me reconnecter sur tous mes comptes avec le mot de passe "actuel" pour changer le password sur chaque site ?)
Dommage que tu n'es pas suivi mes recommandations d'hier de changer tous les mots de passe avant de faire les procédures.
Donc oui tu peux te connecter sur tes comptes pour modifier les informations de connexion.

Je pense que l'infection ransomware, s'est faite soit par téléchargement P2P, mais plus probable par un mail ou une pièce jointe.

Donc Prudence avec les Mails et pièces jointes que l'on recois ils renferment parfois des Malwares.(Le phishing ou hameçonnage,SPAM... )
Souvent, les infections se propagent sur l'ordinateur de cette manière.
La protection la plus efficace de la messagerie.
1) Ne pas ouvrir ou cliquer sur les pièces jointes provenant d’un expéditeur que vous ne connaissez pas.
2) Ne pas ouvrir les pièces jointes d'un email (fichiers .zip, .xls ou .doc) que si l'identité de son expéditeur est confirmée.
3) Supprimer le message suspect sans y répondre.
4) Refuser de confirmer l'accusé de réception d'un expéditeur inconnu.
5) Supprimez le mail directement (évitez de le stocker dans les éléments supprimés)

Voilà j'espère que tu vas pouvoir décrypter tes fichiers.
Pour terminer, il ne te reste plus cas supprimer les outils
Télécharge KpRm sur ton Bureau
Coche les 4 cases.
Supprimer les outils.
Supprimer les points de restaurations.
Créer un point de restauration
Supprimer maintenant

Puis clique sur Exécuter
Héberge le rapport sur le site d'hébergement de fichiers
Puis copier/coller le lien fourni dans votre prochaine réponse.

Puis si tu n'as plus de questions, de marquer ton sujet comme résolu >> comment Marquer un sujet

[aleccc]

Salut Tom
De toute façon il ne m'a pas laissé le choix, tu est obligé d'avoir les disques branchés pour qu'ils soient scannés, sinon il n'y a rien a cocher.
Pour le Speedy, il l'a supprimé, mais c'est pas réellement un virus ( il s'agit d'une appli codée par un amateur pour apprendre a faire de l'aéromodélisme, et donc je pense surtout qu'il l'a detecté, parce que le .exe ne doit pas respecter beaucoup de normes je suppose )

Pour la quarantaine, je viens de la vider, merci

Je suis tout a fait d'accord que la sécurité est avant tout une histoire de bonnes habitudes, mais on ne va pas se mentir, c'est quand même mieux d'être accompagné d'un bon logiciel de protection qui pourrait pallier a certains oublis ( que ce soit une mise a jour, ou a un téléchargement parfois douteux )

J'active de suite la protection anti ransomware de windows  

Pour les mots de passes, autant pour moi, je ne comprenais pas la démarche ( dans mon esprit, si y avait un keylogger, ca lui redonnait automatiquement les info )

Pour le mail, je reste vigilant, mais je l'étais déjà pas mal, je télécharge rarement ( très rarement des factures de sites marchand ou je sais que je viens d'acheter un truc )
Je pense davantage a une infection  p2p, ou la j'avoue ne pas toujours être très clean.

Le RAID1 du NAS est toujours en reconstruction ( et j'ai des soucis d'accés ) mais je te tiendrais informé dés que je peux tester. La bonne nouvelle, c'est qu'il semblerait qu'il n'ait pas eu le temps de tout encrypter.

Dernière chose : j'ai souscrit a un abonnement OneDrive pour sécuriser les données importantes

Pour le rapport KpRm : 

https://up.security-x.fr/file.php?h=R63fc50a23b351f855fff1b6c8878586b

Une toute dernière chose au sujet des cartes bleues : techniquement, changer les mots de passe ne suffit pas ? parce que si j'ai bonne mémoire, aucun site ne garde les info de CB en clair,  et encore moins le cryptogramme a l'arrière.
Amazon par exemple enregistre les infos de CB ( mais pas visible en clair ) ce qui te permet d'acheter sans validation au préalable. Mais dès l'or que l'accés au compte n'est plus possible, ca ne devrait plus être exploitable, je me trompe ?

Encore un immense merci pour ton aide, et ta patience


 

[tomtom95]

Re,

SpeedyPC ce n'est pas un programme l'aéromodélisme c'est un type optimiseur classer dans la catégorie (LPS) indésirable.
Voici l'analyse du programme sur Virutotal

Pour la carte et compte bancaire, où Paypal tout dépend quoi et comment son stoker les informations sur ton ordinateur.
Si le vol de données concerne les identifiants d'accès il suffit de les changer rapidement auprès des organismes.
Si le vol concerne des numéros de compte ,numéros carte et le nom de la personne.
Des copies peuvent être faites (fausse carte) et des achats sont possibles.

[aleccc]

au temps pour moi alors
les info bancaires sont uniquement sur les sites, donc a priori, rien n'est visible en clair.

 

Par contre, très intéressant ton site, puisqu'il me dit très clairement que ce Ransomware utilise une vulnérabilité propre au NAS QNAP : 


a priori, le decryptage n'est possible que si les données ont été crytpés avant 2019, c'est donc mort pour moi 😕
 

Modifié le 25 mai 2021 par aleccc