[ Malware Qlocker ] Encryption 7z avec mot de passe

QoolBox

Grand Maître Jedi
si vous vous retrouvez crypté avec vos fichier en .7z avec demande de rançon (ne redémarrez pas votre NAS)

1. Ne rebootez pas le NAS,

2. Connecter a son Nas par ssh

3. Utilisez la commande ci-dessous pour savoir si le ransomware est en cours.

Code:
ps | grep 7z

4. 4. Si 7z est en cours d'exécution, utilisez la commande suivante

Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

5. Attendez quelques minutes, utilisez cat pour grep encrypt key.

Code:
cat /mnt/HDA_ROOT/7z.log

voici la sotie

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD est le mot de passe de décrypage

6. rebootez le NAS et utilisez ce pass pour décryptez
 

QoolBox

Grand Maître Jedi
QNAP a publié une version mise à jour de Malware Remover pour les systèmes d'exploitation tels que QTS et QuTS hero pour répondre à l'attaque du ransomware. Si les données de l'utilisateur sont cryptées ou en cours de cryptage, le NAS ne doit pas être éteint. Les utilisateurs doivent lancer immédiatement une recherche de logiciels malveillants avec la dernière version de Malware Remover, puis contacter le support technique de QNAP à l'adresse https://service.qnap.com/.

Pour les utilisateurs non affectés, il est recommandé d'installer immédiatement la dernière version de Malware Remover et de lancer une recherche de logiciels malveillants par mesure de précaution. Tous les utilisateurs doivent mettre à jour leurs mots de passe pour en choisir de plus forts, et les applications Multimedia Console, Media Streaming Add-on, et Hybrid Backup Sync doivent être mises à jour avec la dernière version disponible. En outre, il est conseillé aux utilisateurs de modifier le port réseau par défaut 8080 pour accéder à l'interface d'exploitation du NAS. Les étapes pour effectuer cette opération se trouvent dans la meilleure pratique de sécurité de l'information proposée par QNAP (https://qnap.to/3daz2n). Les données stockées sur le NAS doivent être sauvegardées ou re-sauvegardées en utilisant la règle de sauvegarde 3-2-1, afin de garantir davantage l'intégrité et la sécurité des données.

Pour plus de détails, veuillez consulter les avis de sécurité QNAP QSA-21-11 (https://qnap.to/3eq7hy) et QSA-21-13 (https://qnap.to/3dygse).

L'équipe de réponse aux incidents de sécurité des produits QNAP (PSIRT) surveille constamment les dernières informations afin de fournir des informations et des mises à jour logicielles actualisées, garantissant ainsi la sécurité des données des utilisateurs. Une fois de plus, QNAP exhorte les utilisateurs à prendre les mesures mentionnées ci-dessus et à vérifier/installer périodiquement les mises à jour logicielles des produits afin de garder leurs appareils à l'abri des influences malveillantes. QNAP fournit également les meilleures pratiques pour améliorer la sécurité des informations personnelles et organisationnelles. En travaillant ensemble pour lutter contre les menaces de cybersécurité, nous faisons d'Internet un endroit plus sûr pour tous.
 

MaximePavie

Nouveau membre
Bonjour

je me suis fait piraté hier avec ce virus... aujourd'hui quand je veux me connecter à mon QTS mon antivirus me signale que cette adresse n'est pas sécurisé... (ça ne me faisait jamais ça avant) , est-ce que je prend le risque d'accéder au QTS ?

Beaucoup beaucoup de mes fichiers ont été cryptés par ce virus... je ne sais pas quoi faire !

Merci
 

QoolBox

Grand Maître Jedi
non sécurisé car tu te connectes en HTTP ... sur ton réseau local ca ne craint pas...
si tu te connecte de l'exterieur passe en HTTP(s)
 

MaximePavie

Nouveau membre
QoolBox a dit:
si vous vous retrouvez crypté avec vos fichier en .7z avec demande de rançon (ne redémarrez pas votre NAS)

1. Ne rebootez pas le NAS,

2. Connecter a son Nas par ssh

3. Utilisez la commande ci-dessous pour savoir si le ransomware est en cours.

Code:
ps | grep 7z

4. 4. Si 7z est en cours d'exécution, utilisez la commande suivante

Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

5. Attendez quelques minutes, utilisez cat pour grep encrypt key.

Code:
cat /mnt/HDA_ROOT/7z.log

voici la sotie

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD est le mot de passe de décrypage

6. rebootez le NAS et utilisez ce pass pour décryptez

Désolé mais je suis un peu novice, je viens d'accèder au NAS et j'ai autorisé la connexion SSH , cela m'affiche numéro de port : 22. , est-ce ok ?

Ensuite, vous dites "utiliser la commande", dois-je comprendre que je dois utiliser le terminal de mon macbook et entrer cette commande ou cela se déroule dans l'interface QTS ?

Merci beaucoup.
 

QoolBox

Grand Maître Jedi
en SSH sur mac, ouvrir Terminal

ssh admin@ipduNAS (remplacer par l'ip de ton NAS)
accepter le certificat
renseigner le mot de passe admin

sur le Menu Terminal Q/N si tu n'as pas désactiver cette option

tu te retrouves avec un Prompt qui attend les commandes
 

MaximePavie

Nouveau membre
QoolBox a dit:
en SSH sur mac, ouvrir Terminal

ssh admin@ipduNAS (remplacer par l'ip de ton NAS)
accepter le certificat
renseigner le mot de passe admin

sur le Menu Terminal Q/N si tu n'as pas désactiver cette option

tu te retrouves avec un Prompt qui attend les commandes

Sur la première partie pas de soucis, quand je rentre mon mot de passe voila ce que le terminal me dit " Connection closed by 192.168.1.59 port 22 " , est-ce normal ?

cela me renvoie donc au début " paviemaxime@MBP-de-Pavie ~ % " et une fois ici lorsque je rentre votre première formule rien ne se passe, j'ai juste ce message
" 25421 ttys000 0:00.00 grep 7z "

sincèrement désolé mais je suis vraiment novice...
 

lolocava

Nouveau membre
Bonjour,
Merci pour cette explication c'est top.

Une fois le mot de passe récupéré, avez-vous une commande pour dézipper récursivement avec l'utilisation du mot de passe ? Ou sans commande sinon ?

Merci d'avance,
 

MaximePavie

Nouveau membre
lolocava a dit:
Bonjour,
Merci pour cette explication c'est top.

Une fois le mot de passe récupéré, avez-vous une commande pour dézipper récursivement avec l'utilisation du mot de passe ? Ou sans commande sinon ?

Merci d'avance,

Hello

as-tu réussi à rentrer toutes les commandes ? de mon côté je n'y arrive pas
 

lolocava

Nouveau membre
MaximePavie a dit:
lolocava a dit:
Bonjour,
Merci pour cette explication c'est top.

Une fois le mot de passe récupéré, avez-vous une commande pour dézipper récursivement avec l'utilisation du mot de passe ? Ou sans commande sinon ?

Merci d'avance,

Hello

as-tu réussi à rentrer toutes les commandes ? de mon côté je n'y arrive pas

Apparemment tu te fais éjecter au moment de te connecter, ça ne sert à rien de faire les commandes suivantes.
Je ne saurais pas te dire pourquoi, je ne suis pas du tout un expert en commande.
 

QoolBox

Grand Maître Jedi
Sur la première partie pas de soucis, quand je rentre mon mot de passe voila ce que le terminal me dit " Connection closed by 192.168.1.59 port 22 " , est-ce normal ?

cela me renvoie donc au début " paviemaxime@MBP-de-Pavie ~ % " et une fois ici lorsque je rentre votre première formule rien ne se passe, j'ai juste ce message
" 25421 ttys000 0:00.00 grep 7z "

sincèrement désolé mais je suis vraiment novice...

ton port 22 est fermé ou SSH/SFTP n'est pas activé sur ce Port verifie dans l'interface du NAS
 

QoolBox

Grand Maître Jedi
lolocava a dit:
Bonjour,
Merci pour cette explication c'est top.

Une fois le mot de passe récupéré, avez-vous une commande pour dézipper récursivement avec l'utilisation du mot de passe ? Ou sans commande sinon ?

Merci d'avance,

se mettre à la racine de .7z

et je pense que la commande suivante devrait faire la rue michel

Code:
ls *.7z | parallel -j+0 --eta '/usr/local/sbin/7z x -p{Password} {} >/dev/null'

remplacer {Password} par le mot de passe

ou encore

Code:
for f in *.7z
do
    /usr/local/sbin/7z e -p{Password} "$f" &
done
 

antoine7681

Nouveau membre
Bonjour désolé, pourriez vous expliquez par etape svp?
je ne comprend pas ou tapper les lignes de codes
tous mes fichiers sont bloquer avec des 7z
et j'ai des attaques d'adresse ip qui essaie de se connecter
pourriez vous m'aider comment faire étape par étape merci beaucoup
 

Freddo_73

Nouveau membre
Bonjour,

J'ai rebooté le NAS avant de lire ce topic..... Quelque chose à faire svp??? votre méthode ne fonctionne pas du coup :cry:

Merci.
 

Vazaha974

Nouveau membre
Je n'ai pas redémarré mon NAS, ni mis à jour QTS pour le moment.
Je cherchais d'abord une solution...

[/usr/local/sbin] # ps | grep 7z
4785 admin 976 S grep 7z
[/usr/local/sbin] # cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
[/usr/local/sbin] # ls -ltr /mnt/HDA_ROOT/*.log
/bin/ls: cannot access /mnt/HDA_ROOT/*.log: No such file or directory
[/usr/local/sbin] #

1) on voit qu'un process 7z est toujours en cours
2) la commande de génération du log ne génère aucun log, malgré une attente de 15 minutes.

Quelqu'un aurait une idée complémentaire à proposer?
 

QoolBox

Grand Maître Jedi
une fois cette commande

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

il faut attendre et visualiser le fichiers /mnt/HDA_ROOT/7z.log afin de connaitre le password

n'oubliez pas de passez un coup de malware remover, la base a été mis à jour
 

Ishido

Maître Jedi
Bonjour à tous,

Bon bah bienvenue au club ... j'ai eu un mail du nas m indiquant que malware remover a supprimé le malware MR2102 et que je devais rebooter le Nas.
Je n'ai rien rebooté et donc pas encore mis à jour le dernier firmware.

Me suis connecté avec putty en ssh sur le nas, et j'ai fais l'étape 2 du tuto de Qoolbox
Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Mais j'ai ça en réponse :

Code:
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'? ^C

J'ai envoyé un mail au support mais je pense qu'ils vont crouler sous les demandes, et mes fichiers de travails entreprise sont cryptés, je ne peux plus bosser... J'ai une sauvegarde de dimanche dernier mais évidemment tous les fichiers créés depuis Lundi à ce jour n'y sont pas ( ça va me servir de leçon, et faire un backup quotidien )

Donc si quelqu'un a une idée de ce que je dois faire car en lisant Permission denied me laisse entendre que la commande ssh n a pas fonctionné.

Merci
 

lolocava

Nouveau membre
QoolBox a dit:
lolocava a dit:
Bonjour,
Merci pour cette explication c'est top.

Une fois le mot de passe récupéré, avez-vous une commande pour dézipper récursivement avec l'utilisation du mot de passe ? Ou sans commande sinon ?

Merci d'avance,

se mettre à la racine de .7z

et je pense que la commande suivante devrait faire la rue michel

Code:
ls *.7z | parallel -j+0 --eta '/usr/local/sbin/7z x -p{Password} {} >/dev/null'

remplacer {Password} par le mot de passe

ou encore

Code:
for f in *.7z
do
    /usr/local/sbin/7z e -p{Password} "$f" &
done

Merci pour vos pistes.

La commande parallel ne fonctionne pas car non installée.
La première fonctionne mais de façon non récursive.
Je l'ai donc modifié pour descendre dans l'arborescence :

Code:
for f in $(find . -name '*.7z')
do
    /usr/local/sbin/7z e -p{password} "$f" &
done

Par contre tous les fichiers dézippés se retrouvent à la racine, comment faire pour qu'il garde leur chemin ?

Merci d 'avance,
 
Haut Bas