NAS WD My Cloud Mirror infecté par un RansomWare

[ReynaldB]

Bonjour et meilleurs vœux à toute la communauté de la bestiole à pinces,

Voici mon problème : mon NAS WD My Cloud Mirror a été infecté par un cryptolocker et je voudrais savoir si l'un(e) d'entre vous pourrais me donner une procédure pour m'y reconnecter sans risque (il est debranché de mon réseau) et essayer de récupérer au moins les photos qui sont dessus et qui sont cryptées par cette saleté. Si ce n'est pas possible, je souhaiterai effacer proprement les données et nettoyer les disques pour que ça ne recommence pas.

Je précise que le reste du réseau n'a pas été contaminé et qu'il est probable que les rançonneurs ce soient connectés directement au NAS par Internet en utilisant une faille de sécurité.
Merci à l'avance de l'aide que vous pourrez m'apporter
Reynald

Question subsidiaire : est-ce que vous connaissez ce logiciel et est-il efficace? https://www.emsisoft.com/ransomware-decryption-tools/

[calisto06]

Bonjour @ReynaldB , pour pouvoir décrypter les fichiers il faut qu'une clé de décryptage ait été créé : si le ransomware est connu tu vas pouvoir le faire , le site emisoft et aussi https://www.nomoreransom.org/fr/decryption-tools.html te permet de voir si un outil de décryptage a été développé ou pas (si le ransomware est connu tu as plus de chances d'avoir un outil développé)  . Chaque ransomware doit faire l'objet d'une création d'un outil spécifique : en clair les développeurs doivent déchiffrer l'algorithme du code .

Donc première chose ne pas connecter le wd au réseau , si tu souhaites récupérer un fichier pour analyse fais le d'un appareil non connecté à ton réseau LAN (qui n'aura pas accès aux autres PC ou appareils) dont tu pourras formater complètement le disque après (les virus et autres cochonneries ne résistent pas au formatage) pour être sur qu'il ne restera aucune traces de cette cochonnerie .

Si rien n'a été développé il faudra attendre qu'un outil soit créé donc laisser ce NAS de coté sans le connecter en attendant .

 

[ReynaldB]

Bonjour @Callisto06,

Merci de ta réponse.
En fait, le NAS est déconnecté depuis avril 2019! Je l'ai installé en février et dès avril il a été infecté! Depuis j'attendais pour qu'une solution soit disponible.

Heureusement je suis d'un naturel prudent et j'avais tous les fichiers ou presque sur d'autres supports! Je n'ai un doute que pour une partie des photos, c'est pour ça que j'aurais bien tenté de les récupérer pour vérifier...

Si je déconnecte physiquement tous les autres ordis du réseau sauf celui qui va me servir à me connecter au NAS et je coupe le wi-fi de la Livebox 4 pendant l'opération est-ce que ce sera suffisant? (Sachant que l'ordi que j'utiliserai pour intervenir est un portable avec AVAST Internet Security + Malwarebyte Premium)... 

Est-ce que ces précautions te semblent suffisantes?

 

[Anon142]

Bonjour,

il y a une heure, ReynaldB a dit :

Est-ce que ces précautions te semblent suffisantes?

Ça dépend du comportement du virus. Le plus sage serait de cloisonner comme tu le décris, puis de démarrer le PC sur lequel tu comptes relier au NAS depuis un outil de désinfection bootable.

Exemples :

https://support.kaspersky.com/fr/14226

https://forums.cnetfrance.fr/topic/1322031-comodo-rescue-disk--creer-un-cd-de-secours/

https://forums.cnetfrance.fr/topic/1292651-bitdefender--creer-une-cle-usb-de-secours-bootable/

[calisto06]

@Anon142 bonjour , il faut déjà savoir si un outil décrypteur spécifique à ce ransomware a été créé car si c'est non impossible de décrypter les fichiers sans formater le disque du NAS et impossible de supprimer les fichiers à proprement parlé du ransomware qui sont sur le disque .

Edit : si tout a été sauvegardé ailleurs dans ce cas oui tu peux formater depuis un support bootable qu'il vaudra mieux ne plus réutiliser : un LIVE CD  devrait faire l'affaire : éviter la clé USB qui peut devenir le vecteur de l'infection , le CD ne pourra pas être infecté après le gravage au contraire d'une clé USB .

Modifié le 3 janvier 2020 par calisto06

[ReynaldB]

Le 03/01/2020 à 20:30, calisto06 a dit :

@Anon142 bonjour , il faut déjà savoir si un outil décrypteur spécifique à ce ransomware a été créé car si c'est non impossible de décrypter les fichiers sans formater le disque du NAS et impossible de supprimer les fichiers à proprement parlé du ransomware qui sont sur le disque .

Edit : si tout a été sauvegardé ailleurs dans ce cas oui tu peux formater depuis un support bootable qu'il vaudra mieux ne plus réutiliser : un LIVE CD  devrait faire l'affaire : éviter la clé USB qui peut devenir le vecteur de l'infection , le CD ne pourra pas être infecté après le gravage au contraire d'une clé USB .

(Suite de mes "aventures"...)

Merci de vos conseils. J'ai identifié le coupable du cryptage de mes fichiers, c'est Nampohyu un dérivé de Megalocker un "cadeau" de nos "amis" russes. Il parait que "nampoyiu" veut dire un truc du genre "on s'en bat les c." On appréciera l'humour! En avril 2019, il a provoqué des dégâts assez considérables un peu partout mais surtout en France où la sécurité des données n'est pas assez prise au sérieux.
A l'époque, il était recommandé par les éditeurs d'antivirus de déconnecter les systèmes infectés et de patienter en espérant que quelqu'un trouve comment générer les clés de décryptage.

Voici leur prose :

What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using NamPoHyu Virus.
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
Your unique id: 02DCED685XXXXXXXXX*****
What do I do ?
You can buy decryption for 1000$.
But before you pay, you can make sure that we can really decrypt any of your files.
To do this:
1) Download and install Tor Browser ( https://www.torproject.org/download/ )
2) Open the http://qlcd3bgmyv4kvztb.onion/index.php?id=02DCED685XXXXXXXXX3C0DFD0E2***** web page in the Tor Browser and follow the instructions.
FAQ:
How much time do I have to pay for decryption?
You have 10 days to pay for the ransom after decrypting the test files.
The number of bitcoins for payment is fixed at the rate at the time of decryption of test files.
Keep in mind that some exchangers delay payment for 1-3 days! Also keep in mind that Bitcoin is a very volatile currency,
its rate can be both stable and change very quickly. Therefore, we recommend that you make payment within a few hours.
How to contact you?
We do not support any contact.
What are the guarantees that I can decrypt my files after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment.
Depending on your location, you can pay the ransom in different ways.
Use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends.
Here are some links: https://buy.blockexplorer.com – payment by bank card
https://www.buybitcoinworldwide.com
https://localbitcoins.net
How can I decrypt my files?
After confirmation of payment (it usually takes 8 hours, maximum 24 hours)
you will see on this page ( http://qlcd3bgmyv4kvztb.onion/index.php?id=02DCED685XXXXXXXXX3C0DFD0E2***** ) a link to download the decryptor and your aes-key
(for this, simply re-enter (refresh) this page a day after payment)
Download the program and run it.
Attention! Disable all anti-virus programs, they can block the work of the decoder!
Copy aes-key to the appropriate field and select the folder to decrypt.
The program will scan and decrypt all encrypted files in the selected folder and its subfolders.
We recommend that you first create a test folder and copy several encrypted files into it to verify the decryption.

J'ai bien fait d'attendre, Emsisoft a trouvé! https://www.emsisoft.com/ransomware-decryption-tools/

Avec leur outil très facile d'utilisation j'ai pu décoder ce dernier weekend les quelques milliers de photos et comparer avec mes sauvegardes. J'ai pu ainsi m'apercevoir que j'en avais pas mal qui manquaient. Mes sauvegardes n'étaient pas assez rigoureuses et surtout pas très régulières. Ça me servira de leçon!

J'ai mis à jour le firmware du NAS WD MyCloudMirror et je m'apprête à le formater et à le réinstaller. Les antivirus et anti ransomwares sont efficaces contre cette saleté maintenant, et le fabricant Western Digital a reconnu qu'il y avait une faille de sécurité dans le système de partage Samba et dit l'avoir corrigée, idem pour Microsoft.

Plus de peur que de mal, mais quand même beaucoup de temps perdu!
Merci de vos conseils

Reynald

 

[calisto06]

Merci pour le retour @ReynaldB  .