Qnap Deadbolt... Aïe :/ HELP

D

Djudelsol

Nouveau membre
17 Avril 2018
2
0
1
Bonjour à tous,

en revenant de congés j'ai eu la mauvaise surprise d'avoir ce pxxxxxx de message deadbolt lorsque j'essaye d'accéder à mon nas (TS-453 mini) via mon pc depuis l'adresse ip (en http://NAS_IP:8080)

Par contre j'ai réussi à m'y connecté en rajoutant /cgi-bin/index.cgi à la fin. J'en ai profité pour mettre à jour le firmware avec la dernière version puis lancé malware remover (qui n'a rien trouvé). Antivirus lancé également sans succès

J'ai bien accès à l'intégralité de mes données via le nas et je vois bien que certaines ont une extension en .deadbolt. J'ai supprimé ces données infectées ou j'ai enlevé l'extension .deadbolt


Pour résumer :


Actuellement j'ai bien accès à l'ensemble des mes données importantes (celles que j'ai supprimées n'étaient pas importantes, c'est pas grave) mais j'ai toujours le message deadbolt en me connectant via http://NAS_IP:8080 mais pas de message depuis http://NAS_IP:8080/cgi-bin/index.cgi

Pas non plus de problème d'accès depuis mon smartphone via l'application qnap ou depuis ma tv/pc via plex


Ma question est la suivante :

Est-ce que je peux rester comme ça en attendant une éventuellement solution de l'équipe qnap ?

Vaut-il mieux réinitialiser le nas ? Si oui dois-je copier les données sur d'autres disques (ça risque d'être compliqué vu la taille des données à copier) ou il y a t-il une solution pour réinitialiser le nas sans perdre mes données tout en virant ce message deadbolt ? (A noter que j'ai 4 disques sans raid, chaque disque ayant des données propres)


Merci d'avance pour vos conseils ;)
 
Bonjour djudelsol,

Je suis aussi victime de Dead Bolt alors que j'étais passé au travers....

Je sollicite l'aide du forum car mon NAS contient beaucoup de données personnelles auxquelles je tiens...

J'ai :
1) déconnecté mon NAS d'internet
2) exécuté Malware Remover en me connectant depuis http://IPNAS:8080/cgi-bin/index.cgi

je constate que mes données sont en .deadbolt

3) mis à jour photo station
4) payé la rançon demandée 0.05 bitcoins par le biais de binance.com en type retrait portefeuille spot

Est ce bien le bon type de virement à faire car je ne parviens pas à trouver la clé de déchiffrement car le code 0P_RETURN n'est pas présent dans ma transaction (en utilisant le site internet blockchain explorer).

Savez vous comment et ou trouver ce code ?

Est ce génant d'avoir exécuté Malware Remover ?
Je me demande si je pourrais toutefois effectuer le déchiffrement avec la clé (si je la trouve ...)

Je sollicite votre aide, car je suis assez désemparé ...

Par avance, merci et bon courage.

jckfun
 
Salut,
Je t'es rep sur Cachem ;)
www.cachem.fr

QNAP - Une nouvelle attaque DEADBOLT en cours sur les NAS... - Cachem

L'année 2022 est compliquée pour ceux qui disposent d'un NAS. En effet, les attaques se multiplient et aujourd'hui encore... Deadbolt est de retour sur les boîtiers QNAP. Si votre NAS est exposé sur Internet, nous vous recommandons de désactiver son accès et de contrôler qu'il soit bien à jour...
www.cachem.fr www.cachem.fr

Salut,
Je t’invite a contacté le support QNAP en indiquant avoir payé la rançon et en leur donnant le lien de la transaction. Il pourrons t’aider dans le processus de récupération.
Aussi, il faut s’avoir que la transaction / retour de 0P_RETURN n’est pas instantanée, cela peut prendre plusieurs heures.
Cliquez pour agrandir...
 
Merci EVOTk pour ta réponse.

je vais contacter le support QNAP ce jour.

Sais tu ou trouver le code 0P_RETURN ?

Grace à quel site web et ou le trouver stp ?

Bonne journée
 
Il faut que tu regarde les détails de ta transactions
je ne sais pas si c'est encore pareil pour cette version de deadbolt, mais une des procédure etait d'aller sur https://blockchair.com/fr/bitcoin avec le numéro de sa transaction, ensuite en cliquant sur hash de la transaction, tu as le détails sur cette forme :

xbaI355.png



7KeWJtp.png


Il me semble que quand on renseigne la clé OP_RETURN, il ne faut pas indiquer d- uniquement le reste de la clé.

Voici quelques liens utiles : ( il faut garder en tete que tous ces liens ont etait rédigé pour l'ancienne version du malware, rien ne garantie que la procédure / fonctionnement est le meme.

How to decrypt Deadbolt files using Windows if I have decryption key?
What should I do if I found the NAS encrypted by Deadbolt?
I have paid and got decryption key for Deadbolt, but the "Decrypt Files" button does not work, what should I do?
 
Dernière édition:
  • J'aime
Réactions: QoolBox
Cher tous,

J'ai enfin réussi à lancer le déchiffrement de mon NAS après avoir payé la ranson

Voici les étapes que j'ai suivies, si cela peut servir à quelqu'un.

J'ai :
1) déconnecté mon NAS d'internet
2) exécuté Malware Remover en me connectant depuis http://IPNAS:8080/cgi-bin/index.cgi
3) vérifié que j'avais bien la derniere mise à jour de firmware QTS
4) j'ai vérifié et constaté que mes données sont en .deadbolt à la fin du nom du fichier
5) mis à jour photo station
4) payé la rançon demandée de 0.05 bitcoins en faisant
- création de compte sur BINANCE
- ajout de carte VISA
- paiement depuis la carte VISA en vérifiant qu'avec les frais cela fait bien 0.05 BITCOIN
- initiant une crypto transaction nommée retrait. Portefeuille/Portefeuille Spot (depot et retrait)/Retrait/
- Entrer l'adresse du hacker (trouvée sur la page principale du Dead Bolt)
5) Après environ 1 minute la transaction est validée
6) Aller sur le site https://blockstream.info et copier coller l'adresse du hacker
7) Aller dans la rubrique transaction et dans la sous rubrique dédiée à votre transaction (elle comporte le numero)
8) Cliquer sur le bouton + DETAILS
9) Faire une recherche dans la page de "OP_RETURN"
10) copier coller le code situé après la phrase "OP_RETURN OP_PUSHBYTES_16". Il doit comporter 32 caracteres
11) Aller sur la page principale de Dead Bolt https://IP_DE_VOTRE_NAS et coller ce code dans le champs dédié
12) Cliquer sur decrypt files now. Le déchiffrement commence ...

La vidéo Youtube d'une japonaise est très bien faite à ce sujet :

Cordialement,
 
Aie, il m'arrive la même chose que @Djudelsol, je rentre de congés et me rend compte que je suis infecté.

Que faut-il faire ? Dans le ticket résolu, il n'y a rien pour les NAS infectés.

J'ai des sauvegardes des choses vraiment importantes de mon NAS mais si je pouvais récupérer les autres, ça serait pas plus mal...

Merci pour votre aide
 
Feudor a dit:
Que faut-il faire ? Dans le ticket résolu, il n'y a rien pour les NAS infectés.
Cliquez pour agrandir...
Faire un ticket au support, précise que tu n'a pas une sauvegarde de tout tes fichiers.
Il essayerons de trouver la clé.

Même s'il est peu probable qu'il trouve la clé, cela a était possible pour certains.

Ensuite, s'il ne trouve pas la clé, soit tu conserve dans un coin tes fichiers chiffré, car une solution peut etre trouvé plus tard, soit tu fait une croix dessus et tu reinitialise le NAS.

S'il trouve la clé, tu déchiffre tout, tu backup tout sur un périphérique externe, et tu reinitialise le NAS
 
Ok merci, pas la meilleur nouvelle de la journée mais bon...
Par contre Malware remover n'a pas l'air de m'avoir supprimer quoi que ce soit ! Il faut plutôt lancer l'antivirus ?
 
Feudor a dit:
Ok merci, pas la meilleur nouvelle de la journée mais bon...
Cliquez pour agrandir...
J'en suis désolé :( mais rien ne sert de tourner autour du pot malheureusement.

Feudor a dit:
Par contre Malware remover n'a pas l'air de m'avoir supprimer quoi que ce soit ! Il faut plutôt lancer l'antivirus ?
Cliquez pour agrandir...
Non non c'est bien malware remover qui s'en charge.
 
Je sais que j'ai vu des cas passer ou il n'y avais pas eu de notification mais je ne serai pas te dire plus. Tu na pas de notifications te disant que Malware Remover n'arrive pas a se mettre a jour ? Tu as vérifier que tu avait bien la derniere version ?
www.qnap.com

App Center - QNAP

QNAP conçoit des serveurs de stockage en réseau (NAS) de qualité et des solutions professionnelles d'enregistrement vidéo en réseau (NVR) destinés aux utilisateurs particuliers ou professionnels, allant des petites bureaux aux PME et aux grandes entreprises.
www.qnap.com www.qnap.com

Il te faut faire un ticket pour cela, et laisser QNAP prendre la main. Eux pourront te dire.
 
Bonjour à tous, je me permets de faire ce message car j'ai effectué la procédure trés explicite de @jckfun

J'ai donc payé la ranson ...

Toutefois, je ne sais pas trop quel clé de décryptage utiliser car je n'ai pas de 'OP_RETURN OP_PUSHBYTES_16' mais un 'OP_0 OP_PUSHBYTES_20'.

1662634460528.png

Sachant que j'ai utilisé MALWARE REMOVER, je n'ai plus la page web deadbolt, j'ai donc essayé en ligne de commande.


Pourriez-vous me venir en aide ?

D'avance merci,
 
bartsec a dit:
Bonjour à tous, je me permets de faire ce message car j'ai effectué la procédure trés explicite de @jckfun

J'ai donc payé la ranson ...

Toutefois, je ne sais pas trop quel clé de décryptage utiliser car je n'ai pas de 'OP_RETURN OP_PUSHBYTES_16' mais un 'OP_0 OP_PUSHBYTES_20'.

Voir la pièce jointe 6170

Sachant que j'ai utilisé MALWARE REMOVER, je n'ai plus la page web deadbolt, j'ai donc essayé en ligne de commande.


Pourriez-vous me venir en aide ?

D'avance merci,
Cliquez pour agrandir...
Bonjour Bartec,

Dans la partie DETAILS, tu as forcement le code OP_RETURN.

Envoie moi en MP l'adresse du Hacker et ton numero de transaction.

Je pourrais te donner un coup de main si tu veux.

Cordialement,
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour