Asustor Asustor Deadbolt

[lanthalas]

Je vais faire ma mauvaise tête mais je trouve quand même un peu léger le comportement de ce forum. Des infos sont balancées pour restaurer les NAS, elles ne sont pas vérifiées, contradictoire, pas claires, et ca génères des pages et des pages de commentaires ou a la fin on se perd. Ce n'est pas possible d'attendre quelques heures / jours que l'info et la procédure officielle arrive par Dami1? Quand on aura fait un grosse boulette pas réparable on fera comment?

 

[eccureuil]

+1 avec Ianthalas.

 

[The Burgund]

J'ai attendu les infos officielles de Damien...

 

[kiki_du_91]

Je cherche désespérément une idée pour réussir à récupérer mes datas. Et j'ai pensé à un truc mais je ne sais pas si ca peux marcher.
Je m'explique :
Si je met un disque vierge dans le NAS en retirant mes disques qui étaient en place et que j'installe ADM et tout le reste.
Et après je remet en place mes 3 disques en RAID5
Sur quoi le NAS va booter (le disque 'seul' ou sur le RAID5)?

Si quelqu'un a une bonne idée pour moi.

 

[davidou]

j'ai reçu un mail d'asustor cette nuit :

Deadbolt Elimination Steps​

In response to Deadbolt affecting ASUSTOR devices, ASUSTOR has formulated articles that help customers eliminate the ransomware from affected NAS devices as quickly as possible. There are different steps for different situations. Please click here to learn more about how to attempt data recovery. In response to the increasing amounts of different types of ransomware. ASUSTOR has committed to an internal review of policies and will increase efforts to monitor and eliminate potential hazards. ASUSTOR remains committed to strengthening network security while continuing to provide solutions that make protection of data and proper backups easy.​

j'ai pas encore tout saisi ce que cela permettait.

Message automatiquement fusionné : 25 Février 2022

Je vais faire ma mauvaise tête mais je trouve quand même un peu léger le comportement de ce forum. Des infos sont balancées pour restaurer les NAS, elles ne sont pas vérifiées, contradictoire, pas claires, et ca génères des pages et des pages de commentaires ou a la fin on se perd. Ce n'est pas possible d'attendre quelques heures / jours que l'info et la procédure officielle arrive par Dami1? Quand on aura fait un grosse boulette pas réparable on fera comment?

je suis d'accord avec toi mais le message que j'ai reçu est officiel : qu'attendre de plus ?

 

[Kogoro]

j'ai reçu un mail d'asustor cette nuit :

​

​ ​ ​ Deadbolt Elimination Steps​

​ ​ ​ In response to Deadbolt affecting ASUSTOR devices, ASUSTOR has formulated articles that help customers eliminate the ransomware from affected NAS devices as quickly as possible. There are different steps for different situations. Please click here to learn more about how to attempt data recovery. In response to the increasing amounts of different types of ransomware. ASUSTOR has committed to an internal review of policies and will increase efforts to monitor and eliminate potential hazards. ASUSTOR remains committed to strengthening network security while continuing to provide solutions that make protection of data and proper backups easy.​

j'ai pas encore tout saisi ce que cela permettait.

Message automatiquement fusionné : 25 Février 2022

je suis d'accord avec toi mais le message que j'ai reçu est officiel : qu'attendre de plus ?

D'avoir plus d'informations, la c'est pas marqué clairement mais d'après ce que je comprend, tu perds tout tes volumes si tu fait la procédure. Ya des gens qui ont leurs second volume non crypté et sain qui aimerait bien le récupérer . J'ai bien une technique qui avait fonctionné autrefois mais j'attends une réponse personnalisée avant. Si ya confirmation que les procédures que on me proposera fait perdre le second volume, je tenterai ma procédure que j'avais découvert en testant un passage du système d'un disque a un autre sans paumer le volume (alors oui on paume les apli et tout le reste mais pas le second volume en question ??)

 

[arno.]

D'avoir plus d'informations, la c'est pas marqué clairement mais d'après ce que je comprend, tu perds tout tes volumes si tu fait la procédure. Ya des gens qui ont leurs second volume non crypté et sain qui aimerait bien le récupérer . J'ai bien une technique qui avait fonctionné autrefois mais j'attends une réponse personnalisée avant. Si ya confirmation que les procédures que on me proposera fait perdre le second volume, je tenterai ma procédure que j'avais découvert en testant un passage du système d'un disque a un autre sans paumer le volume (alors oui on paume les apli et tout le reste mais pas le second volume en question ??)

Si ton deuxième volume est sain, tu le connectes à un ordinateur et tu récupères les données dessus.
Il y a effectivement plein d'informations, et ça manque de fils de forums différents.
Mais il y a plein de situations différentes, alors ce n'est pas forcément très étonnant.

 

[EndMove]

D'avoir plus d'informations, la c'est pas marqué clairement mais d'après ce que je comprend, tu perds tout tes volumes si tu fait la procédure. Ya des gens qui ont leurs second volume non crypté et sain qui aimerait bien le récupérer . J'ai bien une technique qui avait fonctionné autrefois mais j'attends une réponse personnalisée avant. Si ya confirmation que les procédures que on me proposera fait perdre le second volume, je tenterai ma procédure que j'avais découvert en testant un passage du système d'un disque a un autre sans paumer le volume (alors oui on paume les apli et tout le reste mais pas le second volume en question ??)

Si ton deuxième volume est sain, tu le connectes à un ordinateur et tu récupères les données dessus.
Il y a effectivement plein d'informations, et ça manque de fils de forums différents.
Mais il y a plein de situations différentes, alors ce n'est pas forcément très étonnant.

Bonjour @Kogoro et @arno. ,

La procédure de mise à jour permet de conserver tous les volumes y compris celui contenant les fichiers du virus, vous ne perdez donc aucune données restés saines. Il faudra par la suite effectuer vous même le nettoyage en suppriment les .deadbolt et en réinstallant toutes les applications ADM chiffrées par le malware.

La mise à jour est très fortement conseillée par l'équipe technique d'ASUSTOR. Néanmoins si vous souhaitez repartir de zéro et vider tous vos disques vous pouvez aussi sauter l'étape de mise à jour, et dans ce cas là, le server effectuera une réel réinstallation complète.

Cordialement,
Jérémi N.

 

[lanthalas]

Bonjour,

Quand je lis la procédure, il y a u truc que je ne comprends pas. Si on a le message du ransomware , on redémarre sans disque et on remet les disque au fur et à mesure. A ce moment la que ce passe t'il? il y a reformattage des disque ou pas?

 

[Dami1]

Bonjour,

Quand je lis la procédure, il y a u truc que je ne comprends pas. Si on a le message du ransomware , on redémarre sans disque et on remet les disque au fur et à mesure. A ce moment la que ce passe t'il? il y a reformattage des disque ou pas?

non reformatés
regarde l'image celui qui a fait des snapshots les a encore et peut les restaurer

 

[antoine_la]

Merci pour tout Dami1. Je te soutiens dans tout ce que tu fais et as fait pour nous, clients asustor. Comment aujourd'hui des personnes peuvent penser qu'asustor est en faute? Le zéro faille n'existe pas. Quand on cherche, on finit toujours pas trouver. Il est toujours facile de critiquer derrière son écran.



Sinon j'ai une question liée à ma situation:



Je suis en raid 5 (3 disques), mon nas est en mode initialisation.



Mon dernier snapshots BTFRS est un peu trop vieux (environ 15jours) et j'aimerais récupérer un dossier qui est protégé par mot de passe. Je dois le monter quand je redémarre mon nas.



En suivant la procédure asustor, les données seront effacées sauf si j'ai une clef de décryptage? C'est bien ça?



Sinon qui a la même problématique? Quelqu'un a-t-il déjà effectué une procédure (Linux etc...), tout en sachant que j'ai un dossier protégé par mot de passe asustor.


J'ai cru comprend sur le forum anglophone, qu'on pouvait récupérer les données (les non cryptées) en initialisant le nas avec autre disque (vierge), l'éteindre et ensuite insérer les disques composant le RAID 5 et le redémarrer. Vous confirmez?


Si j'utilise la méthode asustor, et que j'utilise la procédure pour revenir sur la page de deadbolt, puis-je monter ce dossier autrement que par l'interface ADM? Aimaster ne le permet pas il me semble?

 

[lanthalas]

non reformatés
regarde l'image celui qui a fait des snapshots les a encore et peut les restaurer

Merci DAMI1 pour ta réponse. J'ai pas mal de question en relisant la procédure, merci de m'aider.

Pour remettre le contexte, j'utilise mon NAS en raid 5 sur 3 disques de la manière suivante :

• "sauvegarde" de premier niveau de mes PCs
• Mise au réseau de données partagées en particulier pour mon lecteur multimédia en réseau
• Hébergement de site web personnel qui sont accessibles depuis l'extérieur via le domaine asustor lié à mon nom.

J'ai la chance d'avoir des sauvegardes récentes de mes données multi média dans la mesure ou j'utilise myarchives. J'ai 2 disques my archives :
1 pour les médias qui n'est pas installé en permanence dans le NAS, et un second pour faire une archive de 2eme niveau des données de mon PC et qui est présent en permanence. Les 2 "myarchives" sont saines. Donc globalement pas de perte de données. Ouf.

A cette occasion je me pose pas mal de question pour remonter le NAS. En fait en y réfléchissant bien, je l'utilise à 99% en local, les seuls accès extérieurs sont pour des sauvegardes ftp de mes sites web de prod, et pour certains membres de ma famille par FTP également.

Du coup j'aimerai savoir :
Avez vous identifié la faille (j'imagine que oui) et peut on avoir plus d'information? Par ou est ce passé? pour ma part j'avais des mots de passe fort, le compte admin changé, peu de port ouverts, un blocage assez important des IP dans le firewall du NAS avec une liste noir auto activée.
Quelles sont les protections additionnelles à mettre en plus au delà de ce qui est déjà indiqué? Comment est ce que je peux rendre le NAS invisible du réseau, et finalement n'ouvrir les accès que lorsque j'en ai besoin? Est ce que continuer l'accès par le domaine myasustor.com est sécurisé ou faut il avoir un domaine en propre?

Ensuite dans la procédure, il propose de mettre un myarchive. Dans mon cas j'en ai 2, je mets lequel?, et qu'est ce que cela fait? juste une recopie au bon endroit des fichier? Est ce très différent de démarrer sans myarchive, accéder aux fichiers existant sur le RAID5 et les supprimer, et recopier le myarchive?

Ensuite je me dis que cela peut être l'occasion de repartir from scratch et de remonter le juste nécessaire. J'ai vu qu'il reste des traces d'applications supprimées par exemples à certains endroits. Et auquel cas comment fais ton? est ce que je reformatte les disques sur un PC avant de les insérer?

Autre question idiote : c'est quoi les snapshot?? le terme anglais que je comprends me laisse à penser que c'est une photo mais un photo de quoi? tout le NAS? j'ai 6To de données ca me fait une photo de 6To??

Voila, si tu peux répondre à mes questions je te remercie d'avance.

 

[Kogoro]

J'ai suivi les instructions d'Asustor et j'ai mis a Jour ADM et mon NAS fonctionne correctement. J'ai retrouvé mon volume 2, le Ransomware ne s'est pas attaqué au volume 2, ni au dossier "Home" ni au dossier "web". J'ai fini de restaurer et réinstaller/configurer les applications. Mon NAS est donc désormais fonctionnel. J'ai changé les ports ADM. Par contre j'ai laissé les ports originaux pour le webserver malgré les indications car le reverse Proxy ne fonctionne pas avec le virtualHost du serveur web (les redirections ne se font pas, où le fait mais avec tout les sous domaine et impossible d'avoir plusieurs sous domaines assigné aux applications ou plusieurs site sur le NAS). J'ai continué à faire comme avant pour le serveur web, j'ai des page html avec une URL de redirection qui redirige vers la bonne adresse/port de l'application (en gros: https adresse serveur - le virtualHost redirige sur une page html du dossier web - la page html contient un lien qui redirige vers "nom de domaine du serveur + port spécifique"). Je'ai tente de faire de même avec le reverse Proxy mais non, ça ne marche pas comme je veux hélas.

donc, dans le malheur, j'ai eu beaucoup de chance de ne rien perdre (bon, j'ai tout sur des disques externe mais plus de 15to c'est très long a copier)

 

[augerd]

bonjour a tous,

un état des lieux de mes NAS:

- AS5002T: infecté, mais grâce a l'info sur Linux Reader, je peux récupérer plus de 80% de mes datas non infectés (entre D et Z) les 20% restant (entre A et C) récupérable en partie sur une ancienne sauvegarde !
c'est beaucoup de temps a passer pour compiler l'ensemble et le sauvegarder sur un NAS OMV5, mais une fois fait, je pourrais réinitialiser le 5002 en Raid1 et tout remettre dessus ...

- AS602T: pas touché, ouf, et j'ai de suite installé l'ADM 3.5.9.RQ02

donc merci aux intervenants du forum, et surtout merci aux équipes Asustor d'avoir en 4 jours mis a dispo de leurs clients des patches pour endiguer cette m**** de Deadbolt, et ce même sur des anciennes machines (vieilles mais pas obsolètes disait Papy Terminator) : on appelle ça le respect du client


Dominique, qui sait vers quelle marque il ira naturellement lors d'un prochain achat

 

[Numat]

Bonjour à tous,
Je suis aussi touché par DeadBolt.
J'ai éteins mon nas hier soir comme recommandé par Asustor.
Aujourd'hui, je le redémarre mais je n'ai pas le statut d'initialisation dans Control Center. J'ai bien accès au nas à partir du portail web et tous mes fichiers ont bien l'extension deadbolt.
J'ai commencé à lire la procédure décrite par Clinton Hall mais je ne trouve pas d'éxécutable avec 5 chiffres dans volume0/usr/builtin.

Pas moyen non plus de renommer les fichiers suivant la procédure : find . -type f -name "*.deadbolt" -exec bash -c 'for f; do base=${f##*/}; mv -- "$f" "${f%/*}/${base//.deadbolt/}"; done' _ {} +
Ça me retourne à chaque fois l'erreur no such file or directory.
Par contre, j'ai essayé de renommer un fichier à la main et j'ai bien eu accès à ce dernier.
Y-a-t-il une procédure pour renommer en masse ?

Merci et bonne soirée !

Edit : J'ai un AS-602T et je viens de voir que j'avais bien la version 3.5.9.RQO2 d'ADM sans avoir rien fait pour avoir cette maj.

Message automatiquement fusionné : 26 Février 2022

Bonjour à tous,
Je suis aussi touché par DeadBolt.
J'ai éteins mon nas hier soir comme recommandé par Asustor.
Aujourd'hui, je le redémarre mais je n'ai pas le statut d'initialisation dans Control Center. J'ai bien accès au nas à partir du portail web et tous mes fichiers ont bien l'extension deadbolt.
J'ai commencé à lire la procédure décrite par Clinton Hall mais je ne trouve pas d'éxécutable avec 5 chiffres dans volume0/usr/builtin.

Pas moyen non plus de renommer les fichiers suivant la procédure : find . -type f -name "*.deadbolt" -exec bash -c 'for f; do base=${f##*/}; mv -- "$f" "${f%/*}/${base//.deadbolt/}"; done' _ {} +
Ça me retourne à chaque fois l'erreur no such file or directory.
Par contre, j'ai essayé de renommer un fichier à la main et j'ai bien eu accès à ce dernier.
Y-a-t-il une procédure pour renommer en masse ?

Merci et bonne soirée !

Edit : J'ai un AS-602T et je viens de voir que j'avais bien la version 3.5.9.RQO2 d'ADM sans avoir rien fait pour avoir cette maj.

Je m'auto-réponds

J'ai pensé à réinstaller les PowerToys sont mon ordinateur et grâce à PowerRename, je suis en train de supprimer l'extension deadbolt de tous les fichiers. J'espère après ça pouvoir les lire et ensuite faire un backup complet et une réinstallation complète du nas.

 

[Kogoro]

Petite question, depuis le passage a la nouvelle version, j'ai des problèmes avec la lectures des enregistrements de Surveillance Center. Ça enregistre bien sur le n'as dans le dossier voulu, mais si j'essaie de les lire depuis le PC avec l'application dédié c'est impossible il se passe rien et si je tente depuis l'application Android c'est encore pire ça l'a fait planter. Je n'avais pas ça avant. J'ai réinstallé plusieurs fois l'appli mais non, rien y fait. Les enregistrements sont bons car si j'ouvre les fichiers sur Windows (lecteur réseau) ça fonctionne très bien je peux les lire avec Vlc et autres appli de lecture. Je suis le seul a avoir ce problème ?

EDIT: je viens de lire
"Le mode d’affichage local de Surveillance Center, après mise à jour vers ADM 4.0, ne sera plus disponible."

Ça serait la cause ? Car c'est pas très clair la manière dont c'est écrit "mode affichage local". J'espère que il y aura des mise a jour pour que cela refonctionne.

 

[Alexsustor]

Asustor Portal semble ne pas fonctionner chez moi après la maj.
Je tente la desinstall reinstall mais ca ne vas pas au bout...
Quelqu'un d'autre a un problème avec portal ?

 

[marsusu]

Asustor Portal semble ne pas fonctionner chez moi après la maj.
Je tente la desinstall reinstall mais ca ne vas pas au bout...
Quelqu'un d'autre a un problème avec portal ?

Bonjour, il faut désinstaller tout ce qui un rapport avec (exemple python xorg etc ) regardez dans app central ils sont grisés.
Désinstallez tout et recommencé.

 

[lanthalas]

Bonjour A tous,

Je viens de redémarrer mon NAS. Je vous fait un petit REX sur le sujet.

Redémarrage :
Je savais que j'étais infecté. J'ai donc d'emblée appliqué la procédure de redémarrage sans disque.
Premier point, trouver son NAS. Effectivement bien qu'il soit normalement en IP Fixe, il ne l'était plus. J'ai donc du retrouver son adresse réseau sur ma box pour pouvoir y accéder.
La page de connexion m'a redemandé de mettre un disque, ce que j'ai fait puis j'ai mis successivement les 2 autres disques du RAID 5.
Une fois cela fait je suis arrivé sur la page demandant le chargement de l'upgrade, ce que j'ai fait.
Le redémarrage a eu lieu et j'ai pu me reconnecter sur l'IP fixe précédente.

La j'ai pu voir l'étendue des dégâts Ben tout y est passé, c'est simple. SAUF : mes archives de sauvegarde que je génère avec Acronis.
A l'heure ou j'écris ce message je suis en train de tout supprimer pour recharger mes backup.

Je suis allé faire un tour dans les log du system. Constats :
Depuis finalement le début de l'année, beaucoup de tentatives de connexion sur les port SSH et SFTP. Comme j'ai une liste noir auto réglée au mini, a chaque fois login failure et blacklistage de l'adresse. juqu'au 21/02/22 14:32. Puis plus rien, et à partir de 15h15, passage de la CPU à plus de 90%, ca a du commencer la.
Ma liste noir auto été régler pour n'accepter que les connexion d'europe.
J'avais mis en place le service d'alerte par mail en cas d'avertissement, etc... Je n'ai rien reçu l'on t'il désactivé??

Maintenant j'ai encore plus appliqué les règles proposé par asustor. aucun port ouvert sur EZ-Routeur, et j'ai vérifié que je n'avait rien d'ouvert sur ma box qui route vers le NAS. Pour mon utilisation courante ca me convient bien, je n'ai finalement pas d'accès vers l'extérieur. J'ouvrirai occasionnellement quelques service quand ce sera nécessaire.
De mémoire Let's encrypt à besoin d'un port FTP pour se mettre à jour.

Ensuite pas mal d'applications à désinstaler et réinstaller. Ca va être le plus ennuyeux de tout reconfigurer. mais bon....
voila pour les nouvelles.

Bon courage à tous.

Asustor Portal semble ne pas fonctionner chez moi après la maj.
Je tente la desinstall reinstall mais ca ne vas pas au bout...
Quelqu'un d'autre a un problème avec portal ?

tu veux dire l'accès au port 8000 pour te connecter? regarde dans ta box l'adresse IP de ton NAS, il y a de forte chance que tu ne sois pas sur l'IP d'origine. Il a du prendre une adresse par le DHCP. Ca m'est arrivé, et j'ai retrouvé le portail d'accès grâce à ca.

EDIT : j'ai essayé de renommer les fichier en retirant l'extension deadbolt. Peine perdu, c'est encrypté...

 

[JacquesNAS]

Nan, Portal n'est pas ADM ; c'est le portail en mode smartTV pour les NAS qui ont une sortie HDMI à relier à la TV ou à un moniteur HDMI.

lanthalas, je serai intéressé de :
_ connaitre comment tu gères Acronis ; sur un NAS de backup, sur un fs dédié du même NAS, ..... ?
_ savoir si tu exposais jusqu'ici tes ports SSH et SFTP sur internet ? Cela m'a toujours paru border line en terme de sécurité de faire cela mais mon niveau de connaissance en sécurité est assez limité.

Par ailleurs, j'ai une question plus générale qui persiste :
J'ai l'impression que si on passe par INTERNET <-> proxy <-> NAS, on échappe à l'attaque mais j'aimerai bien avoir l'avis d'un réel expert sur la question.

Vous qui avez été touché, vous exposiez des ports de votre NAS directement sur le Net, via votre BOX (NAS <-> BOX <-> Internet) ? Sans cela, en passant par une connexion sur un équipement tiers (routeur, proxcy, etc.) l'attaque n'aurait pas marché ? Si c'est bien cela pourquoi ?

Je ne sais pas si on connait le mécanisme algorithmique de l'attaque mais l'identifier permettrait de refaire notre retard sur les préconisations à mettre en œuvre .... jusqu'à de nouvelles attaques plus vicieuses encore !

Bon courage à tous.