Infection par le ransomware Nobu

[lynyrd]

Bonjour,
En allumant mon PC ce matin, j'ai constaté avoir été infecté par le ransomware nobu, je n'ai plus la possibilité d'ouvrir la plupart de mes fichiers.
J'ai acheté Spy Hunter et fait une analyse de mes disques dur, mis en quarantaine tout ce qu'il avait trouvé, mais les fichiers sont toujours cryptés.

Voici ce qu'il y a dans les dossiers cryptés: https://cjoint.com/c/JLhq5Oex4yE

Si vous avez une solution pour les récupérer, d'avance merci.

[zelandonii]

Bonjour @lynyrd,

Je tague @Christian-S et @Firebird.

[calisto06]

Note de la modération 

Dans le cas présent éviter de demander aux helpers de télécharger des Pièces si elles sont créées sur le PC infecté : faire un copier collé du rapport  directement dans le post 

Ce ransomware n'ayant pas de décrypteur les fichiers cryptés devront attendre que cet outil soit disponible sur les sites des éditeurs ayant les capacité à le développer (ça peut être long) 

@Firebird et @Christian-S t'indiqueront la meilleure option suivant si tu as des données essentielles à récupérer ou si elles ont été sauvegardées ailleurs sur un support non connecté 

[lynyrd]

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-j3hj0RjttJ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
[email protected]

Reserve e-mail address to contact us:
[email protected]

Your personal ID:
0269OrjkQhvyFG8auEvMH7FTUSv3lf9gJXWwSZkURRcA7muK

[zelandonii]

Je pense que tu sais qu'il ne faut surtout pas payer, car même si tu le fait rien ne dit que tu retrouveras tes fichiers.

Et si tu payes une fois...

il y a 51 minutes, lynyrd a dit :

Discount 50% available if you contact us first 72 hours, that's price for you is $490.

N'empêche qu'ils ont une drôle de notion du black friday...

[Firebird]

Bonjour @lynyrd

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

Merci de respecter les consignes suivantes pour la bonne efficacité de cette désinfection.

• Ne te fais pas aider ailleurs pendant la procédure.
• Exécute exactement les actions que je te demande, attentivement et complètement.
• N'installe pas de nouveau logiciel pendant cette désinfection.

\*/ Sans réponse de ta part dans les 5 jours, ce sujet sera retiré de mes suivis.\!/.

  Quels sont les symptômes ?

• Citation

  En allumant mon PC ce matin, j'ai constaté avoir été infecté par le ransomware nobu, je n'ai plus la possibilité d'ouvrir la plupart de mes fichiers.

  
  Peux-tu démarrer Windows en mode normal ?

• Citation

  J'ai acheté Spy Hunter et fait une analyse de mes disques dur, mis en quarantaine tout ce qu'il avait trouvé, mais les fichiers sont toujours cryptés.

  Il aurait mieux valu confier la totalité de la désinfection au forum Le Crabe Info, plutôt que de commencer le nettoyage toi-même.
• Si tu as conservé des rapports de SpyHunter, transmets-les via Cjoint.
• Sais-tu comment le ransomware Nobu a infecté ton PC, par exemple téléchargement d’un fichier indésirable, visite d’un site Web dangereux, partage de fichiers P2P, pièce jointe de courriel indésirable, ou autre méthode ?
• Des indications précises sur ton ennui nous aideront à le résoudre.

  Conseils pour désinfecter un ransomware

• Ne paie surtout pas la rançon.
• Pour stopper la propagation, débranche les disques externes, isole l'ordinateur du réseau local,
  pour que les fichiers intacts ne soient pas chiffrés à leur tour.
• Conserve précieusement tous tes fichiers chiffrés.
  On essaiera de les déchiffrer après la désinfection de ton PC.

  Désinfection - Faire en premier ZHPSuite + FRST

=> Procédure détaillée.

Attendus 3 rapports : ZHPDiag.txt, FRST.txt, Addition.txt.

À te relire.

Modifié le 8 décembre 2020 par Firebird

[Firebird]

Hello @calisto06

Citation

Dans le cas présent éviter de demander aux helpers de télécharger des Pièces si elles sont créées sur le PC infecté : faire un copier collé du rapport  directement dans le post 

Le DA @lynyrd a hébergé sur Cjoint la note de rançon de Nobu (fichier sain), donc aucun risque de contamination du PC du helper.
 

Citation

Ce ransomware n'ayant pas de décrypteur les fichiers cryptés devront attendre que cet outil soit disponible sur les sites des éditeurs ayant les capacité à le développer (ça peut être long) 

C'est à vérifier, un outil développé par Emsisoft fonctionne dans certains cas.

[lynyrd]

Le 08/12/2020 à 01:39, Firebird a dit :

Bonjour @lynyrd

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

Merci de respecter les consignes suivantes pour la bonne efficacité de cette désinfection.

• Ne te fais pas aider ailleurs pendant la procédure.
• Exécute exactement les actions que je te demande, attentivement et complètement.
• N'installe pas de nouveau logiciel pendant cette désinfection.

\*/ Sans réponse de ta part dans les 5 jours, ce sujet sera retiré de mes suivis.\!/.

  Quels sont les symptômes ?

• 
  Peux-tu démarrer Windows en mode normal ?
• Il aurait mieux valu confier la totalité de la désinfection au forum Le Crabe Info, plutôt que de commencer le nettoyage toi-même.
• Si tu as conservé des rapports de SpyHunter, transmets-les via Cjoint.
• Sais-tu comment le ransomware Nobu a infecté ton PC, par exemple téléchargement d’un fichier indésirable, visite d’un site Web dangereux, partage de fichiers P2P, pièce jointe de courriel indésirable, ou autre méthode ?
• Des indications précises sur ton ennui nous aideront à le résoudre.

  Conseils pour désinfecter un ransomware

• Ne paie surtout pas la rançon.
• Pour stopper la propagation, débranche les disques externes, isole l'ordinateur du réseau local,
  pour que les fichiers intacts ne soient pas chiffrés à leur tour.
• Conserve précieusement tous tes fichiers chiffrés.
  On essaiera de les déchiffrer après la désinfection de ton PC.

  Désinfection - Faire en premier ZHPSuite + FRST

=> Procédure détaillée.

Attendus 3 rapports : ZHPDiag.txt, FRST.txt, Addition.txt.

À te relire.

Bonjour et merci de votre aide,

Oui, je peux démarrer normalement.

Téléchargement d'un logiciel gratuit.

Les fichiers sont cryptés et ce terminent par l'extension + nobu.

Fichiers: jpeg, mp3, logiciels,  sauf ce qui se trouve dans programme (x86),

Rapports:

ZHPDiag- https://www.cjoint.com/c/JLkm47Uf5tE

FRST - https://www.cjoint.com/c/JLkm6FOXs7E

Addition - https://www.cjoint.com/c/JLkm7JcYB0E

Modifié le 10 décembre 2020 par lynyrd

[calisto06]

Le 08/12/2020 à 01:46, Firebird a dit :

C'est à vérifier, un outil développé par Emsisoft fonctionne dans certains cas.

Oui il faut voir avec eux https://www.emsisoft.com/ransomware-decryption-tools/ 

[lynyrd]

Il y a 1 heure, calisto06 a dit :

Oui il faut voir avec eux https://www.emsisoft.com/ransomware-decryption-tools/ 

Je l'ai déjà essayé, il ne sait rien faire, les fichiers sont toujours cryptés.

 

[calisto06]

Donc ça veut dire qu'aucun décrypteur spécifique n'a été développé 

[Firebird]

Bonjour,

@calisto06
Merci de ne pas intervenir dans une désinfection prise en charge par un helper sécurité.

Le déchiffrement des fichiers, s'il est possible, ne doit être effectué qu'après la désinfection.

Le 08/12/2020 à 01:39, Firebird a dit :

Conserve précieusement tous tes fichiers chiffrés.
On essaiera de les déchiffrer après la désinfection de ton PC.

Modifié le 10 décembre 2020 par Firebird

[Firebird]

Bonjour @lynyrd

Merci pour les rapports et les réponses à mes questions.
 

Citation

Téléchargement d'un logiciel gratuit.

Quels sont le logiciel et le lien de téléchargement ?

  Comme je te l'ai indiqué, il est essentiel de désinfecter complètement le PC avant de tenter de déchiffrer les fichiers chiffrés.

  SpyHunter n'est pas un outil de désinfection sérieux, mais un rogue.
=> Infos ici : Rogue SpyHunter.

Ce PC est infecté et comporte de nombreux éléments superflus.

  Cracks d'activation Microsoft

Des produits Microsoft sont activés illégalement sur ce PC.

Attention: Aucune désinfection ne sera menée sur un système Windows illégal.
Si tu souhaites conserver des cracks d'activation, mon intervention s'arrête ici.
Sinon, le script FRST suivant les supprimera.

  Antivirus

Windows Defender, antivirus intégré à Windows 10, est très efficace pour la protection de ton PC.
=> Infos ici : Efficacité de Windows Defender.
Je te conseille fortement de désinstaller AVG Antivirus et Emsisoft Anti-Malware via le menu Paramètres de W10 (voir ci-dessous Désinstallation de programmes) et de compléter par les outils spécifiques AVG Clear et Emsiclean.

  Choix du navigateur

Je te conseille de désinstaller Google Chrome, peu respectueux de la vie privée et gourmand en ressources.
=> Infos ici : https://assiste.com/Logitheque/Google_Chrome.html.

Je te recommande de naviguer sous Mozilla Firefox (ton navigateur par défaut) ou Microsoft Edge.

  Désinstallation de programmes

Je te conseille de désinstaller tous les programmes que tu n'utilises pas et les programmes suivants.

• µTorrent => Client P2P Torrent vecteur d'infections
• AVG Antivirus gratuit
• Bonjour => Dispensable et intrusif
• Emsisoft Anti-Malware
• Google Chrome
• iTunes => Logiciel obsolète, dispensable et gourmand en ressources
• Nvidia GeForce Experience => Application gourmande en ressources, intrusive, source de bugs et de BSOD, inutile pour le fonctionnement de ta carte graphique Nvidia et la MAJ de ses pilotes, et dispensable.

=> Menu Paramètres > Applications > Applications et fonctionnalités > Clic sur le programme à supprimer > Désinstaller.

Si tu ne parviens pas à désinstaller un programme par les Paramètres de W10, désinstalle-le via Revo Uninstaller Portable.
=> Tutoriel Revo Uninstaller.

  Si tu ne désinstalles pas Google Chrome
=> Désactive la synchronisation du compte Google et Réinitialise Chrome.  => Important

Désactiver la synchronisation

• Sur ton PC, ouvre Google Chrome.
• En haut à droite, clique sur Plus, puis sur Paramètres.
• En haut de l'écran, dans la section "Personnes", clique sur Désactiver puis sur Désactiver.

Réinitialise Google Chrome via ResetBrowser.
Pour t'aider : Tutoriel ResetBrowser
Ensuite, installe l'extension uBlock Origin, bloqueur de publicités efficace.

  Correctif FRST

Avertissement
Ces instructions ne concernent que ce PC. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager.
Le temps de téléchargement du script a été volontairement limité à 4 jours. Passé ce délai il ne sera plus disponible.

• Clique sur ce lien fixlist.
• Sur la page qui s'ouvre, fais un clic droit et Tout sélectionner, refais un clic droit et Copier ou utilise la séquence de touches Ctrl A et Ctrl C.
• Relance FRST par clic droit sur FRST64.exe, puis choisis Exécuter en tant qu'administrateur pour le lancer.
• Clique une seule fois sur Corriger et patiente le temps de la correction.
• Ce n'est pas la peine de coller, car FRST se sert du Presse-papier pour utiliser le script.
• L'outil va créer un rapport de correction Fixlog.txt.
• Héberge ce rapport sur Cjoint et poste le lien dans ta prochaine réponse.

  Nettoyage avec ZHPCleaner

• Télécharge et enregistre ZHPCleaner à partir de ce lien.
• Exécute-le en cliquant sur le bouton droit de la souris et en choisissant "Exécuter en tant qu'administrateur".
• Accepte les conditions d'utilisation.
• Clique sur le bouton Scanner, puis sur [Nettoyer].
• Si des détections malveillantes sont mises en évidence, clique sur le bouton [Nettoyer].
• Une fenetre Réparation s'ouvre avec l' affichage des rubriques et des détections.
• Tout est précoché. Pour tout supprimer clique sur [Nettoyer].
• Accepte la création d'un point de restauration.
• Patiente pendant la réparation, puis accepte le redémarrage si demandé.
• Le rapport ZHPCleaner(R).txt est présent sur le bureau.
• Ce rapport se trouve aussi dans le dossier utilisateur.
  => Touches Windows[/COLOR] + R[/COLOR], tape ou Copie/Colle %appdata%\ZHP\ puis valide par OK.
• Héberge le rapport ZHPCleaner-R-.txt sur Cjoint et colle le lien créé dans ta réponse.

  Effectue une nouvelle analyse ZHPSuite et une nouvelle analyse FRST.

Attendus 5 rapports : Fixlog.txt, ZHPCleaner-R-.txt, ZHPDiag.txt, FRST.txt, Addition.txt.

Comment se comporte désormais le PC ?

À te relire.

Modifié le 11 décembre 2020 par Firebird

[lynyrd]

Merci de ton aide.

Le logiciel à été téléchargé par mon fils, il en a téléchargé plusieurs, quand j'ai vu que j'étais infecté, j'ai désinstallé tous les logiciels que je n'avais pas téléchargé moi-même.

Voici les rapports demandé:

https://www.cjoint.com/c/JLlmxYihvXE

https://www.cjoint.com/c/JLlmBuxDD5E

https://www.cjoint.com/c/JLlmGBLPngE

https://www.cjoint.com/c/JLlmHsPq7aE

https://www.cjoint.com/c/JLlmJtayNzE

 

[Firebird]

Bonjour @lynyrd

Merci pour les rapports et la désinstallation des programmes.

  Tu as transmis le rapport ZHPDiag de la première analyse au lieu d'un nouveau rapport.

  Tu n'as pas répondu à ma question : "Comment se comporte désormais le PC".

Mon premier script FRST a fait un bon nettoyage.
Il reste encore des éléments superflus, que le script FRST suivant va supprimer.

  Correctif FRST

Avertissement
Ces instructions ne concernent que ce PC. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager.
Le temps de téléchargement du script a été volontairement limité à 4 jours. Passé ce délai il ne sera plus disponible.

• Clique sur ce lien fixlist.
• Sur la page qui s'ouvre, fais un clic droit et Tout sélectionner, refais un clic droit et Copier ou utilise la séquence de touches Ctrl A et Ctrl C.
• Relance FRST par clic droit sur FRST64.exe, puis choisis Exécuter en tant qu'administrateur pour le lancer.
• Clique une seule fois sur Corriger et patiente le temps de la correction.
• Ce n'est pas la peine de coller, car FRST utilise le Presse-papier pour traiter le script.
• L'outil va créer un rapport de correction Fixlog.txt.
• Héberge ce rapport sur Cjoint et poste le lien dans ta prochaine réponse.

  Nettoyage avec AdwCleaner

• Télécharge AdwCleaner de Xplode.
• Enregistre ce fichier sur ton Bureau et pas ailleurs.
• Ferme toutes les applications, y compris ton navigateur.
• Lance l'exécutable par clic-droit > Exécuter en tant qu'administrateur.
• Sur le menu principal, clique sur Analyser Maintenant.
• Cliquer sur Mettre en quarantaine.
  Ne supprime pas les logiciels préinstallés.
• Un redémarrage est demandé, valide par OK.
• Le nettoyage terminé, un rapport est créé et sauvegardé sous C:\AdwCleaner\Logs\AdwCleaner[C**].txt.
• Héberge ce rapport sur Cjoint et poste le lien dans ta prochaine réponse.

  Effectue une nouvelle analyse ZHPSuite et une nouvelle analyse FRST.

Attendus 5 rapports : Fixlog.txt, AdwCleaner[C**].txt, ZHPDiag.txt, FRST.txt, Addition.txt.

Comment se comporte désormais le PC ?

À te relire.

Modifié le 11 décembre 2020 par Firebird

[lynyrd]

Bonsoir,

J’ai un problème plus grave, j’avais un disque dur externe  qui était  passé en RAW,  j’ai pris le logiciel testdisk, mais j’ai du faire une fausse manœuvre, le PC ne redémarre plus comme il devrait voici ce que j’ai au démarrage du PC.

 

J’attends, ensuite il bascule sur ça.

Modifié le 12 décembre 2020 par lynyrd

[Firebird]

Bonjour,

Citation

j’avais un disque dur externe  qui était  passé en RAW,  j’ai pris le logiciel testdisk, mais j’ai du faire une fausse manœuvre.

Effectivement ! L'utilisation de testdisk sur un DDE est sans impact sur le démarrage de Windows. Veille à être plus prudent à l'avenir dans tes manipulations.

Donc tu te retrouves dans le Bios.

Que se passe-t-il quand tu fais Clic without saving  => Yes ?

Sinon Clic without saving  => No ?

À te relire.

Modifié le 12 décembre 2020 par Firebird

[lynyrd]

Bonjour,

que je fasse l’un ou l’autre, rien ne change, j’ai également fait Optimized defaults.

voici le bios:

Modifié le 12 décembre 2020 par lynyrd

[Firebird]

Bonjour @lynyrd

TestDisk est un outil puissant, mais complexe à utiliser, il est donc fréquent de commettre des erreurs.
=> Tutoriel TestDisk. Le Crabe Info est une riche en ressources informatiques.

Je suppose que tu ne sais pas quelle fausse manipulation tu as effectuée.
Pendant une désinfection, il faut exécuter seulement les actions demandées par le helper, cf. les consignes de mon premier message.

Ton PC est-il celui-ci GP72MVR 7RFX Leopard Pro ?
As-tu modifié volontairement des paramètres du BIOS avant le plantage du démarrage de Windows ?

  Change l'ordre des priorités de Boot dans le BIOS.

Mets Hard Disk en Boot Option #1 au lieu de CD/DVD. => Tutoriel.

 

  Si cette modification ne te permet pas de démarrer Windows correctement.

  Répare le démarrage de Windows 10 via une clé USB d'installation de Windows 10.

Crée une clé USB d'installation de Windows 10 depuis un autre PC.

Accède aux Options de démarrage avancées depuis la clé USB d'installation de Windows 10.

Répare le démarrage de Windows 10.
Dépannage > Options avancées > Outil de redémarrage système.

Comment se comporte désormais le PC ?

À te relire.

Modifié le 12 décembre 2020 par Firebird

[lynyrd]

il y a 30 minutes, Firebird a dit :

Bonjour

Ton PC est-il celui-ci GP72MVR 7RFX Leopard Pro ?

oui

As-tu modifié volontairement des paramètres du BIOS avant le plantage du démarrage de Windows ?

non, je n’aI rien changé 

  Change l'ordre des priorités de Boot dans le BIOS.

Mets Hard Disk en Boot Option #1 au lieu de CD/DVD. 

Je l’ai déjà fait, il ne démarre pas, j’ai toujours no média présent.

 

Modifié le 13 décembre 2020 par lynyrd

[Firebird]

Hello @lynyrd

Citation

Je l’ai déjà fait, il ne démarre pas, j’ai toujours no média présent.

Essaie d'être plus précis.
Compare la rédaction de mes messages à la tienne ! J'y passe beaucoup de temps.

Effectue la deuxième étape de mon précédent message.

  Répare le démarrage de Windows 10 via une clé USB d'installation de Windows 10.

  Si la réparation du démarrage de Windows 10 ne fonctionne pas
Sauvegarde tes fichiers personnels, puis effectue une installation nouvelle de Windows 10.

À te relire.

Modifié le 13 décembre 2020 par Firebird

[lynyrd]

Désolé. 

Je dois me rendre demain chez un ami pour faire une clé de démarrage.

je te dirai si ça a fonctionné.

Bonne nuit. 

[Firebird]

Hello @lynyrd

D'accord.

Bonne réparation et tiens-moi au courant.

À te relire.

[lynyrd]

Bonsoir Oiseau de feu,

Je reviens vers toi.

J'ai installé windows 10 sur une clé USB avec Rufus, changé le boot du bios en USB Hard Disk.

Je lance le Pc, voilà ce que j'ai:

Je fais Startup Repair:

Advanced options, j'ai ceci:

Et ensuite, je reviens sur ceci:

je ne devrais pas plutôt faire UEFI Firmware Settings ?

Modifié le 13 décembre 2020 par lynyrd

[Firebird]

Bonjour @lynyrd

Tu as choisi W10  version anglaise, pourquoi pas ?

il y a 35 minutes, lynyrd a dit :

Je ne devrais pas plutôt faire UEFI Firmware Settings ?

Tu ne me donnes pas de détails sur les manipulations que tu as effectuées avant de planter le système et après pour essayer de réparer par tes propres moyens.
Je ne sais donc pas ce que tu as modifié dans le BIOS.

Pourquoi veux-tu changer les paramètres de configuration BIOS/UEFI ?
=> Tutoriel Accéder à l'utilitaire de configuration du BIOS/UEFI.

  Commence par essayer de réparer le démarrage de Windows 10, comme je te l'ai précédemment indiqué.

À te relire.

Modifié le 13 décembre 2020 par Firebird