Comment se débarasser du virus de rançonnage NamPohyu [Résolu]

A voir également:NampohyuNampohyu virus - Meilleures réponses Nampohyu synology - Meilleures réponses

Bonjours à tous,
Je suis nouveau sur le site et c'est la 1ére fois que je m'inscris sur un forum, mais aujourd'hui je ne trouve aucune solution sur internet pour solutionner mon problème qui est le suivant :

J'ai 1 système WD MyCloud mirror connecté à ma LiveBox, celui-ci a été attaqué par le virus de rançonnage NamPohyu et depuis je ne peux plus accéder à aucun fichiers image/photo/vidéo/film/… quelque soit le type d'extension car leur nom a été modifiée avec l'extension .NAMPOHYU et ils sont maintenant cryptés.
Dans un 1er temps je sollicite votre aide pour supprimer le cryptage sans avoir à payer la rançon demandé sachant qu'il y a une manipe à faire via le browser Tor rédigé en anglais qui semble très compliquée avec un payement par bicoin et aucune certitude au final de retrouver l'accès aux fichiers.

MyCloud Miroir possède 2 disques dur de 2To, si j’ai bien compris le principe de fonctionnement de ce système le second disque sert à dupliquer le 1er DD alors si il n'y a aucune solution pour supprimer le cryptage des fichiers, je voudrai savoir comment faire pour accéder au second disque afin de récupérer la copie des fichiers d’origines avant l’ajout de l’extension .NAMPOHYU, je ne sais pas ce que je vais retrouver sur le second DD donc l'idéal reste la suppression du cryptage.

Pour info, j''ai déjà lancé une analyse complète de mon système avec Kaspersky total Security qui n'a rien trouvé.
Ayant un compte chez eux, j'ai utilisé sans succès les outils de décryptage proposés sur leur site.

Ensuite j'ai réalisé un nettoyage de mon PC avec Malwarebytes premium version essai gratuit pendant 15j mais rien de sensible en liaison avec mon problème n'a été trouvé.

Selon moi ce n'est pas le PC qui est infecté mais ma NAS reliée en direct à ma Box par RJ45.

Je sollicite votre aide car toutes les photo et vidéo de ma famille sont impactées.

Merci par avance à tous ceux qui m'apporteront leur support et une solution.

Forum

A voir également:NampohyuNampohyu virus - Meilleures réponses Nampohyu synology - Meilleures réponses

Web: www.shapebootstrap.net

6 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

solution qui fonctionne et gratuite emsisoft decryter

Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 54160 internautes nous ont dit merci ce mois-ci

Reply
réponses:
  • auteur

    bonjour je confirme ca fonctionne

  • auteur

    Merci pour l’info, je vais regarder si ça peut fonctionner également pour moi mais j’ai tendance à me méfier des logiciels qui apportent plein de solution et au finale c’est avant tout dans le cadre d’une démarche mercantile.
    De mon côté le labo de kaspersky m’a répondu ne pas avoir de solution pour le moment.
    Sinon je confirme que le second disque de MyCloud mirror n’est que la copie conforme cryptée du 1er disque.
    J’ai pratiquement réussi à récupérer tous mes fichiers cryptés en utilisant EtaseUS Data Recovery Wizard par contre j’ai tout à reclasser et les photos non pas toutes les dates d’origine.
    merci à tous je vous donnerez mon retour

  • auteur

    Aujourd’hui j’ai pu tester la solution gratuite Emsisoft decrypter et je confirme ça fonctionne parfaitement pour remettre à leur état initial tous les types de fichier. Il faut installer le soft et suivre les instructions en anglais rien de très compliqué. Par contre ne gère pas le réseau j’ai pas réussi à accéder à MyCloud mirror donc comme j’avais fait une copie de la base cryptée sur les disques de mon PC, j’ai tout traité au niveau du celui-ci . J’ai supprimé au fur et à mesure les fichiers car le décryptage double le volume utilisé.
    Un énorme merci à tous ceux qui ont répondu à ma demande. A mon niveau le problème est soldé,

  • auteur

    Pour le réseau je vous conseille de désactiver le partage public, d'autoriser admin sur tous les dossiers et de les monter dans win avec "connecter un lecteur réseau" cochez utiliser des infos de connexion différentes et utilisez admin et votre mot de passe.
    EMSI decrypter peux désormais fonctionner sur votre réseau

  • auteur

    Merci pour l’info qui pourra servir à d’autres quant-à-moi j’ai déjà remis tout en ordre

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Salut,

Apparemment, il s'agit de MegaLocker Ransomware.
A lire : NAS et ransomware : ce qu’il faut faire.
Tenter Emsisoft Decrypter : https://www.emsisoft.com/decrypter/

Voici un extrait sur comment le ransomware est parvenu à attaquer votre NAS.

1)

Deux méthodes peuvent avoir été utilisées pour attaquer ton NAS.
Soit certains services sont accessibles par internet et vulnérables.
Dans ce cas il faut mettre à jour.

Tu as les partages accessibles par internet ?
https://community.wd.com/t/my-cloud-mirror-gen1-attacked-by-ransomware/219814/6

According to the WD’s release note, Firmware v 2.11.168 aleady resolved related security vulnerability issue(CVE-2017-7494).
Does my case deal with different vulnerability issue??

Release Note:
Firmware Version 2.11.168 (11/28/2017)
Resolved Issues
•Resolved SMB server (samba) security vulnerability (CVE-2017-7494) - Malicious clients can upload and cause the SMB server to execute a shared library from a writable share.
•Resolved critical security vulnerabilities that potentially allowed unauthorized file deletion, unauthorized command execution and authentication bypass.


2)
Soit par rebond à partir de ton ordinateur.
Ton ordinateur a choppé le ransomware et il a attaqué les fichiers sur les partages.
En général les fichiers locaux sont aussi touchés.

~~

Pour la récupération des données, suivre ce lien : https://www.malekal.com/ransomware-solutions-recuperer-fichiers/

~~

Ca semble être le premier cas.
Il faut le régler car sinon tu subiras d'autres attaques plus tard.


Reply
réponses:
  • auteur

  • auteur

    Merci pour la réponse rapide mais j’avais déjà déconnecté MyCloud mirror de mon réseau. Avant j’ai vérifié s’il y avait une màj à installer, non aucune.
    Je confirme que mon PC n’est pas infecté.

    Maintenant qu’elle est la solution pour récupérer des fichiers non cryptés ?

    J’avais l’intention de connecter la NAS directement au PC via le RJ45 afin de voir si je peux pas lire le second disque ou il devrait y avoir les fichiers sains dupliqués du disque 1, je ne sais pas si cette façon de faire est une bonne idée.

    Par avance merci pour les conseils donnés

  • auteur

    Les outils de déchiffrement sont pour la plupart regroupés sur ce site : https://www.nomoreransom.org/
    Il ne semble pas y en avoir pour ton ransomware.

  • auteur

    J’ai oublié de dire, je n’ai pas de partage pas Interne, je peux juste accéder à distance via l’application WD sur iPhone et autres applications Applstore.
    Dans tous les cas l’accès se fait via des comptes utilisateurs avec mots de passe créés avec l’application WD gérant la NAS.
    Après l’attaque j’ai aussi modifié tous les mots de passe

  • auteur

    Merci pour le lien donnant les outils de déchiffrement, j'ai déposé sur le site dans l'onglet aide 1 fichier crypté et le fichier de demande de rançon indiquant la procédure à suivre, la réponse du site est que pour l'instant il n'y a pas encore de solution, il conseille de conserver tous les fichiers cryptés dans l'espoir d'un jour ou un outil de déchiffrement sera développé.

    Si prochainement quelqu'un trouve cet outil, merci de me tenir informé.

    idem sur le comment récupérer les fichiers sur le second disque ou sont dupliqués en automatiquement par le système MyCloud mirror les fichiers du 1er disque.

  • auteur

    Nota, j'ai aussi fait une demande au support Kaspersky en leur envoyant les mêmes fichiers, 1 ticket est ouvert, je vous informe dés que j'aurai un retour de ce coté là.

  • auteur

    ouaip espérons qu'un outil sorte un jour,
    Mets bien le NAS à jour !
    bon courage

  • auteur

    Bonjour mcsaisai72,

    Mauvaise nouvelle pour toi, le second disque dur travail en parallèle du premier. En cryptant les données sur ton premier disque, il a crypté les données sur ton second disque.

    Ton WD travaille en RAID1 (mirroring). Cette technologie permet de pallier à un problème physique de disque. Si l'un casse, les données sont toujours accessibles. en remplaçant le disque défectueux, tu reprends un mode sécurisé, et tu n'as pas perdu de données.

    Par contre, cela ne couvre pas les problèmes logiciels. Il aurait fallu un système de Shadow Copy qui conserve les données x jours.

    Bon courage,

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Bonjour,
Je rencontre le même problème sur mon Synology...
J'espère qu'une solution va être trouvée.

Reply
réponses:
  • auteur

    Salut,

    Même conseil que précédemment :
    - mettre à jour le NAS
    - vérifier ton ordinateur
    - conserver les fichiers en espérant qu'un outil de déchiffrement soit mis en ligne, voire sur nomoreransomware.

  • auteur

    Merci pour les conseils, j'ai fait tout cela :-) Comment faire par contre pour éviter qu'il se propage à nouveau sur d'autres fichiers ?

  • auteur

    Il faut arrêter le ransomware mais il n'est pas forcément résident, c'est à dire qu'il ne reste pas.
    Vérifie ton ordinateur et mets à jour le NAS.

  • auteur

    Merci, il ne doit pas être résident car pas de nouveaux fichiers cryptés depuis 2 jours. Le NAS est à jour (MAJ automatique) et le PC RAS.
    Je vais patienter et espérer...

  • auteur

    bon courage :)

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

bonjour à tous ,

Je rencontre le meme souci que vous mon nas à ce virus , tous les fichiers ont été crypté , pas de solutions en vue actuellement , donc plus qu'a esperer , je possede un ready nas 214.
bonne journee
cordialement

Reply

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

bonjour,
meme attaque le 14/04/2019 aussi sur un MyCloudMirror. Rançon 1000$ bitcoin !

Reply

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Bonjour,
Pour l’instant tjs pas de solution, je suis tjs en cours de transfert des fichiers sur un autre disque afin de les conserver.
J’ai relu la notice de MyCloudMirror, par défaut si le mode raid n’a pas été modifié, le second disque a sauvegardé les fichiers d’origine avant attaque, quand je vais avoir terminé la copie des fichiers cryptés, je vais lancer la procédure de restauration du disque 2 de MyCloudMirror et je dirai si cela m’a permis de récupérer toutes mes données.
Bon courage et patience

Reply
réponses:
  • auteur

    Bonne chance.

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed