Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe
- Auteur du sujet QoolBox
- Date de début
bonjour à tous
une petite réflexion de néophyte , si cela a été zip par un logiciel qui pignon sur rue , ce logiciel ne peut il pas donner une solution pour dézipper ? et que pensez vous de l'action de crypto shérif ?
bonne journée a tous
une petite réflexion de néophyte , si cela a été zip par un logiciel qui pignon sur rue , ce logiciel ne peut il pas donner une solution pour dézipper ? et que pensez vous de l'action de crypto shérif ?
bonne journée a tous
schwinny a dit:AntoineMasselot a dit:
d'apres ce que j'aurais lu, une partie de la faille serait due a un identifiant ROOT codé en dur dans le code de l'appli....
j'essaye de retrouver ou j'ai lu cela
trouvé:
...
How exactly is the ransomware getting onto people's network-attached storage systems? Well, look no further than these three critical vulnerabilities that QNAP patched this month, the first two highlighted today in its warning to customers:
CVE-2020-36195 aka QSA-21-11: An SQL injection flaw in the Multimedia Console and the Media Streaming add-on that can be exploited to ultimately gain control of the box. This was patched on April 16, just days before the latest ransomware outbreak kicked off.
CVE-2021-28799 aka QSA-21-13: Hard-coded login credentials were found and removed in HBS 3 Hybrid Backup Sync. If you know these creds, you can gain control of the device via this backdoor access. Though its advisory suggests the bug was fixed today, it was actually patched in version 16.0.0415 released on April 16.
CVE-2020-2509 aka QSA-21-05: A command-injection vulnerability in QTS and QuTS hero that can be exploited to seize control of a box. This was also patched on April 16.
source: https://www.theregister.com/2021/04/22/qnap_nas_ransomware_qlocker_ech0raix/
Bonjour schwinny,
Donc si je résume les failles étaient dans :
- Multimédia Console dont la dernière mise à jour date du 19/02/2021
- HBS3 qui a multiplié les mise à jour avec celle du 16/04 ; 22/04 et 23/04
- Media Streaming add-on avec des mise à jour du 11/01 ; 01/04 et 16/04
![Doc1-page-0001.jpg]](https://i.postimg.cc/8zQ7j850/Doc1-page-0001.jpg])
https://postimg.cc/crhxbbfR
Pour ma part, lors de mon infection le 21/04 :
- Multimédia Console était à jour
- HBS3 n'était pas à jour, je n'avais pas encore appliqué la mise à jour du 16/04
- Media Streaming add-on avait la mise à jour du 11/01, je ne peux pas mettre à jour avec celles du 01/04 ou du 16/04 car QNAP ne me le propose pas (c'est peut-être pour une autre version de QTS)
Donc on dirait que j'ai été infecté à cause de HBS3 car j'ai raté la mise à jour datant de 5 jours....
Tu en penses quoi ?
a++
voici le mail que je reçois de qnap ce jour 
ear Philippe,
I am sorry that you are having problems with ransomware and can only forward it to our support.
https://service.qnap.com/
Unfortunately, most of the time you cannot recover the data from Ransomware unless you have the encryption key.
Mit freundlichen Grüßen/ Best Regards,
Manfred Schneider
Field Application Engineer
Traduction ; si tu as besoin de rien tu peux nous écrire !!!!!!
ear Philippe,I am sorry that you are having problems with ransomware and can only forward it to our support.
https://service.qnap.com/
Unfortunately, most of the time you cannot recover the data from Ransomware unless you have the encryption key.
Mit freundlichen Grüßen/ Best Regards,
Manfred Schneider
Field Application Engineer
Traduction ; si tu as besoin de rien tu peux nous écrire !!!!!!
Hello, un peu plus de 6500 fichiers chiffré pour ma part. Par contre, j'ai fait l'inventaire et seulement certains type de fichiers sont chiffré.
Pour ma part, j'avais pas mal de vidéos dessus et j'en ai trouvée aucune de chiffrée.
Par contre, j'avais des ebooks et 90% sont chiffrés... Bon, j'ai toujours les fichiers originaux donc ça va
J'ai fait l'inventaire succin et j'ai uniquement les extensions suivantes touchées : pdf, epub, cbr, cbz, jpg, txt, gba, iso, cso.
Ma théorie c'est qu'il a pas eu le temps de terminer le chiffrage, il a commencé le 21/04 et il a été supprimé par malware remover le 23/04, il y avait plusieurs tera à faire. Impossible de récupérer la clé de chiffrage par contre.
Pour ma part, j'avais pas mal de vidéos dessus et j'en ai trouvée aucune de chiffrée.
Par contre, j'avais des ebooks et 90% sont chiffrés... Bon, j'ai toujours les fichiers originaux donc ça va
J'ai fait l'inventaire succin et j'ai uniquement les extensions suivantes touchées : pdf, epub, cbr, cbz, jpg, txt, gba, iso, cso.
Ma théorie c'est qu'il a pas eu le temps de terminer le chiffrage, il a commencé le 21/04 et il a été supprimé par malware remover le 23/04, il y avait plusieurs tera à faire. Impossible de récupérer la clé de chiffrage par contre.
AntoineMasselot a dit:schwinny a dit:AntoineMasselot a dit:T
Donc si je résume les failles étaient dans :
- Multimédia Console dont la dernière mise à jour date du 19/02/2021
- HBS3 qui a multiplié les mise à jour avec celle du 16/04 ; 22/04 et 23/04
- Media Streaming add-on avec des mise à jour du 11/01 ; 01/04 et 16/04
https://postimg.cc/crhxbbfR
Pour ma part, lors de mon infection le 21/04 :
- Multimédia Console était à jour
- HBS3 n'était pas à jour, je n'avais pas encore appliqué la mise à jour du 16/04
- Media Streaming add-on avait la mise à jour du 11/01, je ne peux pas mettre à jour avec celles du 01/04 ou du 16/04 car QNAP ne me le propose pas (c'est peut-être pour une autre version de QTS)
Donc on dirait que j'ai été infecté à cause de HBS3 car j'ai raté la mise à jour datant de 5 jours....
Tu en penses quoi ?
a++
Pour moi la plus grande faille au delà des erreurs ( ou des naïvetés pour rester correct et polis ) de programmation c'est de pas avoir sonner tocsin et trompette par mails etc etc dès le 16 ou le 17 quand ca été avéré et signalé . Les mails ne doivent pas servir qu'a t’inonder de promotions ...
Certes, leurs propension a t'asperger de pub aurait certainement conduis beaucoup d'entre nous a rediriger cela direct dans les spams, mais elle aurait au moins pus servir de cache sexe.
J'entend les explications comme quoi la perfection en informatique est une quête sans fin. Et que des failles il en existeras malheureusement toujours. Mais la faute la plus importante a mes yeux relève plus d'une communication très déficiente et totalement inadéquate avant pendant et certainement après car pour beaucoup d'entre nous c'est pas finis ....
J'ai pour ma part envoyer une demande d'aide a 7zip (le contact français ) on verra bien la réponse
Ok j'ai envoyé un fichier infecté et le fichier read me. Mais je n'y crois pas trop, je continu de faire un inventaire des data importantes qui sont touchées ( sur les 60 000 fichiers au total touchés ), et voir ce qui est sur les sauvegardes et voir ce qui est perdu. Je tenterai la méthode testdisk, mais c'est tout de même pas accessible aux débutants.
ph lumiere a dit:
Hello, il faut relire ce sujet...
Tes fichiers sont malheureusement compressés avec mot de passe... le .7z est le format de compression.
Bon courage
Merci pour ta réponse.
Pour le moment, j'ai désactivé HB3.
Si c'est ça, ça me fait chi**** car une mise à jour ratée à 5 jours c'est abusé....
Question finale : La mise à jour automatique des applis, c'est une bonne chose en cas général ??
a++
Pour le moment, j'ai désactivé HB3.
Si c'est ça, ça me fait chi**** car une mise à jour ratée à 5 jours c'est abusé....
Question finale : La mise à jour automatique des applis, c'est une bonne chose en cas général ??
a++
Bonjour
Si j'arrive là, c'est que j'ai été bien impacté aussi. Je vais reprendre le fil de la discussion car je n'ai pas eu le temps de tout lire mais je voulais juste ajouter que mes vidéos ( toutes) et quelques fichiers Word n'ont pas été piratés. Pour le reste .... Des dizaines de milliers de photos et pas mal d'administratif.
Si j'arrive là, c'est que j'ai été bien impacté aussi. Je vais reprendre le fil de la discussion car je n'ai pas eu le temps de tout lire mais je voulais juste ajouter que mes vidéos ( toutes) et quelques fichiers Word n'ont pas été piratés. Pour le reste ....
Des dizaines de milliers de photos et pas mal d'administratif.