Asustor J'ai été affecté par la rançongiciel Deadbolt comment retrouver l'accès à ADM?

Dami1

Dami1

Représentant ASUSTOR
23 Décembre 2013
7 872
191
153
45
France
www.asustor.com
FACEBOOK
ASUSTORNASFRANCE
TWITTER
ASUSTORIncFr
FMajBklaMAAm8WV.jpeg
En introduction : ASUSTOR Inc ne dispose pas, à ce jour, de logiciel de déchiffrement des fichiers chiffrés ("cryptés"). L'application disponible, dans le lien ci-dessous ne permet aucunement cela.

Voici comment retrouver accès à ADM tout en le patchant.
J'invite par ailleurs toujours à suivre cette documentation créée fin 2020 pour vous prémunir d'éventuelles autres attaques et à poursuivre les efforts sauvegardes comme la sauvegarde 3-2-1 comme expliqué dans cet excellent article.

Autres suggestions de sécurité :
- désactiver Ez-routeur (ADM - Réglages - Connexion Manuelle - Ez-Routeur) qui utilise le protocole UPnP qui est toujours dangereux en 2022 => https://www.upguard.com/blog/what-is-upnp et utiliser la redirection manuelle de ports de votre box
- télécharger Geo-IP et ajouter des continents/pays/IP dans la liste noire
- activer l'authentification en 2 étapes https://www.asustor.com/fr/online/College_topic?topic=122
- désactiver le compte Guest s'il n'est pas utilisé dans ADM - Contrôle d'Accès - Utilisateurs Locaux
- mettre à jour automatiquement ADM et les applications
- rediriger http vers https dans ADM - Réglages - Général
- n'ouvrez pas smb et afp en dehors du LAN
- installer uniquement des applications à partir d'App Central
- activer les notifications (e-mails ou AiMaster ou sms)
- utiliser des protocoles sécurisés : FTPS, Rsync over ssh, WebDav SSL
- utiliser DR Asustor, vérifier et appliquer ses conseils
- télécharger et utiliser ClamAV (scan programmé) - ne prémunit pas des rançogiciels mais neutralise les virus

Je vous joins par ailleurs, une sorte de "logigramme interne" illustratif, ci-dessous, qui, j'espère, vous aidera à comprendre la doc


Logigramme 1 sur 2.png
Logigramme 2 sur 2.png
 
Dernière édition:
Bonjour Dam1,

Pour la clé de déchiffrement, je suppose qu'il faut passer par la case Paiement en BTC ou le virus à été casser et la clé Universel est disponible?

Pour l'application du Store, est ce recommandé de l'installé si on est pas infecté ? (Sa mérite d'être soulevé)
 
  • J'aime
Réactions: Dami1
merci pour tes questions
je n'ai pas plus d'info pour le moment. je les mets en temps quasi réel.
il ne faut installer l'application du store uniquement dans le cas où tu es face à l'écran d'initialisation et que tu veux effectivement payer en BTC pour espérer (car rien ne dit que la clé sera communiquée, qu'elle fonctionnera ou que les rigolos qui ont créé ça ne demanderont pas encore plus de BTC)
 
Salut @Dami1 , j'ai installé la mise a jour au démarrage du Nas (page d'initialisation) comme sur le schéma, je n'ai pas perdu le volume n°2 et ses 15to de données (j'ai une sauvegarde sur disque externe aussi). Par contre le bureau ADM était pleins d'appli mortes comme tout le système s'est fait bouffer par le Ransomware, mais j'ai retrouvé tout mes paramètres. Tu saurais comment vérifier si il reste des fichiers .deadbolt dans le système a purger ? Car depuis ADM, on a pas accès a grand chose et mes connaissances en ligne du code sur Putty laisse à désirer ?. La MAJ effectuée permet bien de virer le Ransomware du système ? Car comme j'ai mis a jour et que j'ai retrouvé mon ADM d'avant je voudrais pas que ça recommence ?. Merci pour ton aide et content de rien avoir perdu sauf les applis et refaire la configuration ??
 
  • Haha
Réactions: Drthrax74
Bonjour Dami1 et merci pour ton travail.
Mon nas est infecté, en mode initialisation.
Lors de la mise à jour et restauration d' ADM, mon raid 5 est-il formaté? Car j'aimerais récupérer quelques dossier avant de formater le système. Je ne pense pas que beaucoup de données soit cryptées.
Message automatiquement fusionné :

Kogoro a dit:
Salut @Dami1 , j'ai installé la mise a jour au démarrage du Nas (page d'initialisation) comme sur le schéma, je n'ai pas perdu le volume n°2 et ses 15to de données (j'ai une sauvegarde sur disque externe aussi). Par contre le bureau ADM était pleins d'appli mortes comme tout le système s'est fait bouffer par le Ransomware, mais j'ai retrouvé tout mes paramètres. Tu saurais comment vérifier si il reste des fichiers .deadbolt dans le système a purger ? Car depuis ADM, on a pas accès a grand chose et mes connaissances en ligne du code sur Putty laisse à désirer ?. La MAJ effectuée permet bien de virer le Ransomware du système ? Car comme j'ai mis a jour et que j'ai retrouvé mon ADM d'avant je voudrais pas que ça recommence ?. Merci pour ton aide et content de rien avoir perdu sauf les applis et refaire la configuration ??
Cliquez pour agrandir...
Et ton volume 1? Ou alors tu n'as que ADM sur ton volume 1? Cela voudrait dire que les volumes ne sont pas formatés lors de la mise à jour et restauration d'ADM?

Pendant la procédure tu sais s'il y a un formatage de certains volumes?
 
  • J'aime
Réactions: Dami1
antoine_la a dit:
Bonjour Dami1 et merci pour ton travail.
Mon nas est infecté, en mode initialisation.
Lors de la mise à jour et restauration d' ADM, mon raid 5 est-il formaté? Car j'aimerais récupérer quelques dossier avant de formater le système. Je ne pense pas que beaucoup de données soit cryptées.
Message automatiquement fusionné :


Et ton volume 1? Ou alors tu n'as que ADM sur ton volume 1? Cela voudrait dire que les volumes ne sont pas formatés lors de la mise à jour et restauration d'ADM?

Pendant la procédure tu sais s'il y a un formatage de certains volumes?
Cliquez pour agrandir...
Alors non, pour moi cela ne m'a pas formaté mes volumes en sélectionnant "mise a jour". Il a mis a jour ADM sur le volume 1. J'ai deux volumes, le 1 où il y a le système et les app et le volume 2 avec toutes les données.
 
  • J'aime
Réactions: Dami1
Bonjour à tous,

Je viens de faire la mise à jour d'ADM sans connection internet.

Cela a parfaitement fonctionné. Je suis en train de récupérer tous mes fichiers. Je n'ai pas trouvé de fichiers deadbolt dans mes fichiers. Il n'y a que certaines applications qui sont grisés, et le système est clairement plus lent. Plus de peur que de mal, et un peu de temps. Mais je suis soulagé.

Sauvegarde, et je pense formater chaque disque dur un par un puis réinitialisation complète.

Merci Dami1.
 
  • J'aime
Réactions: Dami1 et FX Cachem
Bonjour

J ai fait la maj sur mes deux Nas sans savoir s il était contaminer ou pas car j ai pas vraiment trouver le moyen de savoir, j ai parcouru mes différents répertoires. Sans trouver de fichier .deadbolt mais j ai pas accès au répertoire racine.

Je voudrais savoir quelqu un sait ce qui se passe si on a fait la maj alors qu on est infecté ?
 
Bonsoir,
j'ai mis a jour mon NAS, viré tous les fichiers .deadbolt..........
Bon j'ai perdu quelues fichies , toute ma musique mais pas mes photos donc moindre mal !!!
j'ai du désinstallé / réinstallé un paquet d'application, par contre toujours un soucis avec geo ip , il est installé mais grisé , et je ne peux pas sélectionner quoi que se soit dans adm defender......
demain je m'occupe du reste changement de port et le reste.
bonne soirée
Ps : je ne peux pas faire de sauvegarde interne ......cela m'indique paramètre de configuration incorrecte (ref 5302) .........?????
 
Dernière édition:
marsusu a dit:
Bonsoir,
j'ai mis a jour mon NAS, viré tous les fichiers .deadbolt..........
Bon j'ai perdu quelues fichies , toute ma musique mais pas mes photos donc moindre mal !!!
j'ai du désinstallé / réinstallé un paquet d'application, par contre toujours un soucis avec geo ip , il est installé mais grisé , et je ne peux pas sélectionner quoi que se soit dans adm defender......
demain je m'occupe du reste changement de port et le reste.
bonne soirée
Ps : je ne peux pas faire de sauvegarde interne ......cela m'indique paramètre de configuration incorrecte (ref 5302) .........?????
Cliquez pour agrandir...
Pour la sauvegarde interne à l’endroit où c est marquer échec en rouge tu as du texte il doit indiquer que tu as un fichier trop lon un truc du genre tu dois avoir le moyen d identifier le répertoire en question si tu vire le répertoire en question si devrais pouvoir faire la sauvegarde.
C est ses fichiers cheloux qui m’ont fait éteindre mon serveur
 
Dernière édition:
actarus a dit:
Pour la sauvegarde interne à l’endroit où c est marquer échec en rouge tu as du texte il doit indiquer que tu as un fichier trop lon un truc du genre tu dois avoir le moyen d identifier le répertoire en question si tu vire le répertoire en question si devrais pouvoir faire la sauvegarde
Cliquez pour agrandir...
Et non je n' ai rien d indiqué en rouge ......
J ai essayé différents dossier partagés ,différents noms de sauvegarde,différents options.......
 
@Dami1 J'ai pu récupéré l'accès à ADM, mais lorsque j'ai redémarré le NAS il ne m'a pas proposé de passer par la réinitialisation, simplement l'ADM et la mise à jour (que j'ai faite).

J'ai supprimé la majorité des fichiers infectés dont je disposais d'une sauvegarde. Mais bizarrement ma corbeille ne s'est pas remplie, et je n'ai presque plus d'espace sur mes 8To alors que j'avais environ 2,5To de libre avant...
Quand j'accède à la corbeille, il n'y a aucuns fichiers. Où sont planqués ces fichiers .deadbolt qui me prennent de l'espace mais sont inaccessibles ?
 
bdou a dit:
@Dami1
Quand j'accède à la corbeille, il n'y a aucuns fichiers. Où sont planqués ces fichiers .deadbolt qui me prennent de l'espace mais sont inaccessibles ?
Cliquez pour agrandir...

Le NAS tourne-t-il sous Linux ? As-tu accès au NAS via une console SSH depuis un autre ordinateur ?
Si oui, tu peux visualiser tous les fichiers incriminés avec la commande suivante :

Code: 
sudo find . -name ".deadbolt" -type f

La recherche se fera à partir du répertoire dans lequel tu te trouves et donnera un résultat comme celui-ci :

-bash-5.0$ find . -name ".deadbolt" -type f
./dir1_2/.deadbolt
./dir1_1/dir1_1_1/.deadbolt
./dir1_1/.deadbolt
./.deadbolt

Pour supprimer tous les fichiers et non seulement les afficher :

Code: 
sudo find . -name ".deadbolt" -type f -delete

Attention : "-delete" doit se situer à la toute fin de la ligne.

La visualisation permettra de vérifier que les fichiers listés sont bien les bons, et après tu peux passer à la suppression. Pas besoin de vider la corbeille après car les fichiers sont directement supprimés et pas mis à la corbeille. Ton mot de passe te sera demandé après avoir saisi la première commande.
 
Merci pour ta réponse @Gosseyn , mais je ne maitrise pas du tout. C'est un NAS Asustor. Qu'est-ce qu'une console SSH ?
 
bdou a dit:
Merci pour ta réponse @Gosseyn , mais je ne maitrise pas du tout. C'est un NAS Asustor. Qu'est-ce qu'une console SSH ?
Cliquez pour agrandir...
Malheureusement, je ne connais pas ce type de NAS, donc je ne peux pas vraiment t'aider. Peut-être que d'autres ont plus l'habitude de ce matériel. Mais comme beaucoup d'appareils de ce genre, ils tournent grâce au système d'exploitation Linux. Sur Linux, tu as une console (fenêtre) qui permet d'entrer des commandes à la main. On appelle ça la ligne de commande. Généralement, sur les NAS ou appareils en réseau, tu peux accéder à cette console :
  • Après avoir activé cette option au niveau du NAS (accès distant par SSH). Cela activera l'accès au NAS via la commande SSH depuis n'importe quel ordi en réseau.
  • Il te faut néanmoins connaitre le login et le mot de passe d'accès au compte administrateur, ou bien à ton propre compte, mais à condition que ton compte puisse ensuite passer admin (fait via la commande "sudo").
  • Il faut que sur l'ordinateur à partir duquel tu te connectes sur le NAS, tu disposes de la commande "ssh".
    • Sur Linux ou sur Mac, il suffit d'ouvrir l'application "Terminal"
    • Sur PC Windows, et si tu as un PC récent sous Windows 10, la commande ssh est désormais incluse au système.
  • Pour accéder au NAS via la commande SSH, tu dois taper : ssh identifiant@nommachine.domaine ou bien ssh identifiant@addresse_IP. Tu as ensuite un message te demandant confirmation pour enregistrer la clé de sécurité, et puis tu devras saisir ton mot de passe. Une fois connecté au NAS, tu peux taper des commandes qui vont agir directement sur le système du NAS.
  • Tu as aussi des programmes graphiques sous Windows comme Putty qui te permettent d'ouvrir une console SSH.
Pour plus d'infos voir ici (pour Asustor) : https://www.justegeek.fr/tuto-asustor-activer-service-ssh-adm/

Gosseyn.
Message automatiquement fusionné :

bdou a dit:
Quand j'accède à la corbeille, il n'y a aucuns fichiers. Où sont planqués ces fichiers .deadbolt qui me prennent de l'espace mais sont inaccessibles ?
Cliquez pour agrandir...
Je précise que sous Linux/Unix, les fichiers dont le nom commencent par un point sont cachés de l'utilisateur. Mais la commande "find" que j'ai indiquée te permettra de les trouver néanmoins. La commande "ls -a" permet aussi de les afficher en plus de tous les autres fichiers du répertoire.
 
Dernière édition:
bdou a dit:
Merci pour ta réponse @Gosseyn , mais je ne maitrise pas du tout. C'est un NAS Asustor. Qu'est-ce qu'une console SSH ?
Cliquez pour agrandir...
Bonjour, si tu es sur Windows, le plus simple est d'installer Putty. la tu auras la possibilité de mettre l'adresse ethernet de ton NAS sur le LAN, par exemple 192.168.1.xxxx. et tu spécifie le port utilisé par SSH sur ton NAS
Il faut que tu aies au préalable démarré le service ssh sur le NAS.
Conseil : vérifie que EZ-Routeur n'est pas actif afin d'eviter d'ouvrir SSH sur l'extérieur.
tu va arriver dans une console qui va te demander le nom d'utilisateur et le mot de passe. Tu mets ceux de ton admin NAS.
A partir de la tu seras sur le systeme linux du NAS, et tu pourras saisir les commandes indiquées.
Pense à arrêter le service SSH ensuite une fois terminé.
Bon courage :)
 
  • J'aime
Réactions: Gosseyn
Bonjour,

Sous Windows 10, l'outil SSH est installé nativement .
Tu ouvre le Menu Démarrer puis tu tape Invite de commande DOS ensuite sa t'affiche une fenêtre DOS.

Tu tape la commande suivante:
Bash: 
ssh USER@IP_NAS -p <PORT SSH>


Pour ma part le SSH est autorisé mais le Pare-feu autorise que les IP CIDR définis.
Code: 
LAN: 192.168.1.0/24
VPN: 192.168.2.0/24

@Dami1 : Il faudrait un petit tutorial qui explique la manière pour un Néophyte de protéger son NAS .
 
Dernière édition:
  • J'aime
Réactions: Gosseyn

Simple et couteuse


Pour récupérer les données d’un NAS, le plus simple, c’est de reprendre un autre modèle du même constructeur. En effet, dans ce cas de figure, il vous suffit de remettre les disques dans le nouveau boitier et de redémarrer. Le NAS rentrera dans un mode migration. En moins de 10 minutes, vous retrouverez votre NAS sur le réseau avec l’intégralité de vos données et applications. Malheureusement, cette solution est très couteuse...

Edit Modération : Attention la procédure ci-dessus ne s'applique pas en cas d'attaque par ransomware. Le changement de matériel ne permet pas de retrouver "intégralité de vos données et applications".

Etant bloqué et ne voulant aller plus loin avec mes HDD contaminés, j'ai pu démarrer et faire la MàJ d'ADM...
mais de que je pensais faisable dans le paragraphe ce dessus, rentrer en mode migration, semble ne pas être réalisable avec mes HDD !
Je voudrai faire une sauvegarde du contenu de mes HDD, ext4, Raid O, avant de les formater...
Je dois mal m'expliquer, car à ce jour, je n'ai toujours aucune réponse !
Si la solution proposée est de formater les HDD, de changer des ports, après avoir fait une MàJ, je n'appelle pas ça une solution !!!
Quand on achète une voiture neuve, c'est pour s'en servir... si le moteur est mort et que le véhicule ne peut servir, le constructeur est tenu de remédier au problème, obligation de résultats...
J'estime être dans le même cas, j'ai acheté un NAS, à crédit, je suis vérolé suite à une faille connue depuis Décembre 2021,
et pas d'assistance, si, "éteignez votre nas", j'ai opté pour le sérieux d'Asus, étant très déçu du WD MyCloud EX2 Ultra et par une assistance impossible, 2 mois après, même problème avec Asustor, j'avoue être un peu, beaucoup, dégouté !!!

Capture 2 erreur asustor.png
Message automatiquement fusionné :

je viens de redémarrer mon nas et.... j'arrive dans le menu !Capture d’écran 2022-03-03 100723.png!!
pratiquement tous les fichiers sont infectés...
une MàJ m'est proposée:
Que faire ?
maintenant que j'ai accès à ADM, je peux envisager de faire une sauvegarde de mes données, même vérolées et de faire après, une grand ménage...
 

Pièces jointes

  • Capture erreur asustor.png
    Capture erreur asustor.png
    49.5 KB · Affichages: 1
Dernière édition par un modérateur:
Tu pourras faire une sauvegarde de tes fichiers vérolés après la mise à jour
La mise à jour ne touche pas aux fichiers des utilisateurs seule le system et ses fichiers sont mise à jour
(Enfin j'espère ne pas dire de bêtises)
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour