Bonjour  
 
Ce matin j'ai eu le malheur de découvrir que le disque dur connecté à mon Wdmycloud avait tout ces fichiers renommés avec des .caleb provenant du groupe Phobos (Si j'ai bien compris).
A priori seul celui si a été contaminé, par contre je ne vois pas vraiment d’où ça peux provenir, ni ou se trouve  .exe responsable.
 
Quelqu'un aurait-il déjà  fait fasse à ce problème et aurait une idée?
 
Merci
 
 
EDIT: Par contre je n'ai pas reçu de demande de rançon, ni quoi que ce soit  
Dans le doute j'ai quand même débranché le DD et je continue mes sauvegardes sur le cloud
EDIT2: J'ai BitDefender comme antivirus

Wdmycloud est un disque dur réseau ? Il est accessible depuis internet ?
 
Quand je vois ça, il inspire peu confiance :
https://www.nextinpact.com/brief/na [...] e-5521.htm

Comme celui la (encore pire ), il y a un port USB à l'arrière pour connecter un disque dur et c'est uniquement ce disque qui a été contaminé

 
En plus il était Maj qu'en j'y pensais
Et l'accès a distance était activé  

Vue que l'article est assez récent BD ne l'a peut être pas vue.
Mais ça m'étonne parce que l'antivirus est mentionné dans la partie "Detection name"  
 
Par contre le site propose de téléchargé SpyHunter, c'est encore une belle merde, ou c'est vraiment utile   ?
 
Par contre j'avais l'analyse des disques réseaux désactivés

First.
Le site référence placé au message précédent (pcrisk.com), est un site de conseil en sécurité FAKE.
Prétexte pour télécharger SpyHunter qui est une arnaque.   «« Y a plein de site comme ça, à éviter. »»
 
Le site référence en ransomware, est BleepingComputer ; https://www.bleepingcomputer.com/fo [...] ansomware/
Ce ransomware proviendrait de "Phobos ransomware" ; https://blog.malwarebytes.com/threa [...] ansomware/
Mbam devrait donc le prendre en charge.
 
 
 
Généralement les ransomware se désinstallent après leurs actions.  Ce qui pourrait expliquer l'absence d'.exe en cause.
Sauf qu'ici vous dites ;  
- qu'aucun autre disque de données n'a été affecté,
- et qu'il y a aucun fichier .txt .hta laissés par le ransomware, après qu'il a accompli sa tâche de cryptage.    
Étrange.  
L'ordi a t-il été fermé durant le cryptage ?    
Ou est-ce que BitDefender "via son cloud" a fini par réagir ?  Après tout ce ransomware daterait de presqu'un an.
 
 
Aussi.
Chercher l'.exe partout sur le C, via la date de cryptage est une chose.
Plus rapide, serait via les points de chargement traditionnels ; le Démarrage ou les Tâches (les services ne devraient pas être en causes).
 
 
À propos.
Un disque dur externe ««de sauvegarde de sécurité»» qui reste branché, n'est pas très utile.
Pareil avec les cloud dont le processus reste activé en permanence.

@zagobar => Flash à bien vendu oneDrive pendant le Black friday , j'ai eu quelques soucis de sauvegarde de photo et quelques effacement malheureux  
 
@Wizdo => Merci pour vos conseils , coté Mbam rien du tout.
 

• Pour donner plus d'info c'est un dd qui servait(et sert toujours) aussi à sauvegarder des films de vacances  
• Par ailleurs tous les fichier du DD n'ont pas été encrypté. J'ai noté 6 photos qui ne l'ont pas été.
• Vue que c'est une extension d'un Nas de stockage il est allumé H24
• Pas de .hta non plus

J'ai aussi chercher dans le registre et msconfig/démarrage, ce qui était lancé au démarrage et rien qui sorte de l'ordinaire.
 
Je dirais que c'est peut être un ransomware installé sur le WDmycloud (Système linux et j'avais activé le ssh), mais jusqu’à ici aucune des autres partitions touchées.
 
Pour moi c'est un vrai mystère