[buzy87]

Bonjour,

Mon NAS WesternDigital a été infecté par un ransomware, tous les fichiers sont cryptés avec l'extension 0xxx.
En cherchant sur Internet pour savoir s'il était possible de les déverrouiller, je suis tombée sur votre site.
J'ai téléchargé la suite ZHP, j'ai effectué la première analyse puis exécuté le diagnostic à l'aide de l'outil ZHP Lite en suivant les recommandations de cette page https://nicolascoolman.eu/2020/02/13/tu ... -zhpsuite/ et j'en suis donc là (image jointe) avec un script généré dont je ne sais trop quoi faire.
J'ai tenté de lancer le nettoyage à l'aide de l'onglet correspondant de ZHP suite, mais j'ai eu un message m'indiquant que le script devait être validé par un expert sécurité avant de lancer le nettoyage...
Pouvez-vous donc m'aider dans la procédure à suivre, SVP ?
Merci d'avance

[El Magnifico]

Soyez le Bienvenu sur Zone Antimalware Forum d'aide informatique / Sécurité.


Pour commencer, nous allons établir un diagnostic du pc.


• Pour cela, veuillez suivre cette procédure: https://forum.nicolascoolman.eu/viewtopic.php?f=33&t=12636&p=108237#p108237 . Premiére et deuxiéme partie .

Malheureusement vos dossiers cryptés seront irrécupérables pour le moment.


A vous lire

[buzy87]

Bonjour,
merci beaucoup pour votre réponse.
Voici les liens pour les 4 rapports générés.
https://www.cjoint.com/c/KGqm4lntWzH
https://www.cjoint.com/c/KGqm5lCFjOH
https://www.cjoint.com/c/KGqm6fbHDhH
https://www.cjoint.com/c/KGqncrJ8xXH
Pouvez-vous aussi me préciser ce que vous voulez dire par "pour le moment" concernant la récupération des fichiers cryptés ?
Encore merci pour votre aide.

[El Magnifico]

Hello

Je disais "pour le moment" car il est possible que dans le futur un décripteur sera disponible, mais .......sans garantie.

Pour la récupération des documents , en général , il n'y a pas de solution.

• Par sécurité , changer les mots de passe WEB, ils peuvent avoir été volés.

Si les données sont très importantes, les stocker temporairement à l'abri , il y aura peut être dans le futur une solution pour les récupérer.

Pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
• Un fichier de la notice de paiement et un fichier chiffré par le ransomware sont à transmettre.
• Autres Solutions: https://www.malekal.com/ransomware-solutions-recuperer-fichiers/

Sauvegarder les fichiers touchés par le ransomware, et surveiller ce site qui permet de décrypter les fichiers : Liste des DecryptTools pour les ransomwares

Il est possible tout de même de tenter une récupération avec les versions précédentes de Shadow Explorer

Plus d'infos : Ransomware : solution pour récupérer les fichiers

*****************

BILAN
Quelques indésirables dans la machine.
De nombreux éléments inutiles, superflus, orphelins ou temporaires sont recensés (Orphan,Obsolete,Superfluous,Temporary).
Des alertes sont détectées dans le journal des événements et peuvent influer sur les performances de votre système (Warning). Si les alertes sont répétitives et que leur nombre est élevé, faire une recherche afin d'en déterminer la cause. (EventLogApp,EventLogSys,) et demandez de l' aide dans le forum Windows 10
Des programmes installés optionnels, inutiles, sont présents.


PLANNING
Nous allons alléger la machine en désinstallant des programmes inutiles.
Utiliser des outils pour éliminer les superflus et indésirables.


QUESTIONS
Souhaitez vous garder Avast comme antivirus ? il est très lourd .
Pourquoi ne passez vous pas à la version W10 en place de 8.1 ? ( c' est gratuit)

***************************

• DEBUT DU NETTOYAGE


Merci de bien vouloir respecter les consignes suivantes pour une bonne efficacité du nettoyage de la machine.

• Ne pas se faire aider ailleurs pendant tout le temps de ma prise en charge.
• Ne pas installer de nouveaux logiciels, autres que ceux que je demande.
• Exécuter exactement les actions demandées, jusqu'au terme de ma prise en charge.


Si votre navigateur est Google Chrome => désactivez toute synchronisation ICI


Tous les outils ne seront exécutés qu'une seule fois pour ne pas fausser les rapports. N'utilisez pas d'autres outils de votre propre initiative

• Avant d' utiliser tous les outils que l' on vous propose, enregistrez tous vos travaux en cours, à défaut vous perdrez tout votre travail en cours.


Puis


Bloquez les mises à jour windows , tout au moins pendant toute la durée de notre intervention, ceci afin d' éviter des interférences avec les outils

Pour ce faire :Téléchargez ce petit log : https://www.sordum.org/9470/windows-update-blocker-v1-6/ Cliquez sur le bouton gris " Download" environ en milieu de page.( descendre avec le curseur vertical )
où ICI

Tuto ICI

Puis clic Droit / Extraire tout. Cliquez sur le nouveau dossier puis sur l' Application

Enfin sur Desactiver les mises à jour / Appliquer Maintenant

Démo animée => ICI

[buzy87]

Bonjour

Merci pour toutes ces précisions.
Le ransomware ne semble apparemment pas encore connu sur les sites que vous m'avez mentionnés, tant pis.

Pour répondre à vos questions, je ne tiens pas spécialement à Avast mais je ne sais pas trop quoi utiliser à la place.
J'ai regardé pour obtenir W10 et je n'ai rien trouvé de gratuit : l'achat de la licence est à 145 euros... D'autre part, je me demande s'il n'est pas trop lourd pour ma configuration système ?

Depuis ma précédente connexion une MAJ Windows s'est effectuée avant que j'ai pu les bloquer à l'aide du petit utilitaire. Du coup, j'ai refait les diagnostics et généré de nouveaux rapports au ca où.
https://www.cjoint.com/c/KGtouoCLW7H
https://www.cjoint.com/c/KGtouQElI2H
https://www.cjoint.com/c/KGtovJIpLfH
https://www.cjoint.com/c/KGtowneanvH

Maintenant, les MAJ sont bien bloquées et la synchronisation de Chrome désactivée, je suis prête à suivre vos prochaines directives pour le nettoyages.
Merci

[El Magnifico]

Hello

Votre machine devrait supporter W10 puisqu'il est actuellement en W8.1

Vous pouvez supprimer Avast qui ralenti la machine, normalement Windows Defender inclus dans la machine doit prendre la place et s' activer.

Pour Avast ouvrir l interface d'avast, onglet dépannage , décocher l 'autodéfense puis quitter le programme
Puis désinstallez le avec cet outil : https://files.avast.com/iavs9x/avastclear.exe


Ou, Téléchargez Revo Uninstaller ICI en mode Avancé Choisir la version Free
Un très bon tuto ICI



******************************************************************************************************



=> Je vous invite maintenant à désinstaller, ces programmes inutiles qui ralentissent la machine

Pour obtenir directement l'accés à ces programmes :
Touches Windows + R , tapez ou Copiez / Collez appwiz.cpl puis validez par un clic sur OK

=> AnalogExif (Si pas utilisé)
=> Logiciel: web control version 3.0.7.1(Si pas utilisé)
=> CyberLink(Si pas utilisé)
=> Mozilla Maintenance Service

*******************************************

Commençons par un pré-nettoyage.

Désactivez l' antivirus si celui-ci couine, ces outils sont propres!
Si c' est Le filtre SmartScreen qui déclenche une alerte. Cliquez sur Actions ou Informations complémentaires puis sur Exécuter quand même

• Suivre cette procédure avec l' utilisation de ces 3 outils : ICI


Pour les utilisateurs de W10, lire => ICI

Postez les rapports ici

[buzy87]

Bonjour
J'ai désinstallé Avast comme suggéré.
Par contre, il y a un ancien composant de Magix vidéo dont je n'arrive pas à me débarrasser, même avec Révo Uninstaller. Auriez-vous une solution ? (copie écran jointe)
Voici les rapports générés avec les 3 nouveaux outils :
https://www.cjoint.com/c/KGwpfw1fDTG
https://www.cjoint.com/c/KGwpgcG0GKG
https://www.cjoint.com/c/KGwpgOElnlG
https://www.cjoint.com/c/KGwphuRZJEG
Merci

[El Magnifico]

Hello

Par contre, il y a un ancien composant de Magix vidéo dont je n'arrive pas à me débarrasser, même avec Révo Uninstaller. Auriez-vous une solution ? (copie écran jointe)

je ne vois pas la copie ?

*******

Vous pouvez désinstaller Malwarebytes devenu inutile et ralentit la machine.

Pouvez vous refaire un scan avec ZHPSuite et FRST64
4 rapports sont attendus

[buzy87]

Hello
voila les nouveaux rapports...
https://www.cjoint.com/c/KGynpiLkyjG
https://www.cjoint.com/c/KGynlYMnqrG
https://www.cjoint.com/c/KGynmtfLDHG
https://www.cjoint.com/c/KGynmY50zvG

Je n'arrive pas à joindre l'image de la copie d'écran en PJ, il y a en effet un message d'erreur que je n'avais pas vu hier qui me dit que "le quota de fichiers joints a été atteint"...
https://www.cjoint.com/c/KGynBp0sYAG

Du coup, je la mets aussi sur CJ.
https://www.cjoint.com/c/KGynxh4vUDG

@+

[El Magnifico]

Hello

Avez vous essayé une récupération des "versions précédentes" avec "Shadow Explorer" ?

*****

• Voici un correctif avec FRST
  
  Ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur
  
  
  ENREGISTREMENT du script FixList pour correction.
  
  
  • Desactivez votre antivirus le temps de la correction .
  Ne passer qu'une fois le correctif !
  
  Cliquez sur ce lien : https://www.cjoint.com/data3/KGyo7fB6rQT_Fixlist.txt
  
  Sur la page qui s'ouvre clic droit et " Sélectionner tout ", refaire un clic droit et " Copier "
  
  Pas besoin de faire un "Coller" il se fera automatiquement suivant la procédure.
  
  Maintenant lancez FRST.exe avec un clic droit dessus, puis sur "Executer en tant qu' administrateur"
  
  Que les cases soient cochées ou non, cela n'a pas d'importance !
  
  Cliquez sur puis validez le Disclaimer par "Ok"
  
  
  
  Laissez le travailler, cela peut durer un certain temps.
  
  La machine doit redemarrer seule.
  
  Postez le rapport Fixlog.txt quand celui ci est disponible.
  
  Il se termine de cette manière => ==== Fin de Fixlog 15:59:05 ====
  
  
  
  .........................
  
  
  Redémarrer et dites moi comment se comporte la machine ?