QNAP [ Malware Qlocker ] Encryption 7z avec mot de passe

[bigorno]

(...) Personnellement, mon NAS est exposé sur Internet et il reçoit plus de 1500 tentatives de connexions journalière toutes bloquées par mon firewall. Celles qui arrivent à passer cette protection sont bloquées par une autre protection. Cela étant, j'ai 5 % de malchance que l'attaque aboutisse. Jusqu'à présent, mon NAS est toujours passé au travers. Pourvu que ça dure

Bon courage à vous et je souhaite un prompt rétablissement aux NAS impactés.

Ca m'intéresse : qu'est-ce que tu utilises comme solution de firewall ? Tu filtres le niveau 3/4 ou tu vas plus haut, au niveau applicatif (mod security pour Apache peut-être, https://fr.wikipedia.org/wiki/Web_application_firewall) ? Parce que là, même si la CVE a été publiée avant l'attaque, c'est quasi un zéro Day. Et s'il s'agit d'une injection de code, un firewall basique n'y verra pas grand chose.
Et si c'est trop chaud, je veux bien les infos en message privé. Merci !
Allez, il fait encore beau aujourd'hui

 

[bigorno]

(...)
Mais bon on digresse ( et la aussi j'ai ma part de responsabilité ) et revenons a nos moutons.

Est ce que quelqu’un a entendu parler d'une solution autre que celle décrite par Ishido dans son topic de synthése ( grand merci a lui pour l'idée et les liens ) , notamment pour ceux qui ont eux l'infortune ou de redémarrer ou de voir le processus de crytptation allez a son terme et qui n'ont donc pas accès au fameux code ?

Peut-être créer un fil (qui existe peut-être déjà ?) sur la sécurisation de son NAS ?
J'ai opté pour une mise à jour auto des applications. Tant pis pour les régressions. Et j'ai supprimé l'accès externe à la webUI. Je passerai par le VPN ou un proxy socks si je veux y accéder de l'extérieur. Pour le moment en tout cas.
Mes meilleures pensées accompagnent ceux et celles qui sont dans la panade.

 

[Ishido]

Pour ma part je suis en colère contre Qnap et moi même.

Moi même car j'avais bien mis en place des procédures de sauvegardes ( 2 différentes ), avant de me rendre compte qu'elles ne fonctionnent plus depuis des mois, sans que j en sois alerté. Je m en veux de ne pas avoir vérifié régulièrement ( tout fonctionnais parfaitement j'ai vérifié l automatisation et le bon fonctionnement du backup pendant des semaines au début et tout était Ok, j'ai donc plus passé mon temps à vérifier , grosse connerie )

Et contre Qnap, car me dire qu'ils ( Qnap Taiwan ) ont fait le job, c'est indéfendable. L'attaque est d'une ampleur mondiale et c'est pas juste 2 ou 3 bugs en conséquences mais perte des data avec chantage et rançon.

Je passe pas mon temps sur Facebook, ou aller sur les sites des fabricants pour avoir les dernières news, et je me connecte pas à Qts tous les jours.

Qnap nous envoi de la pub quasi chaque semaine sur nos mails enregistrés sur le nas pour nous vanter de nouveaux produits, mais en cas d'attaque mondiale sur leurs Nas, 0 mail, voir même Sms ( mon mobile est enregistré ), ce n'est pas normal.

Envoyer un mail, ça ne coûte pas des millions de $ à l'entreprise. De plus j'ai souvenir au début quand j'ai eu mon Qnap ( 2017 ) avoir reçu un mail d'alerte de la part de Qnap, pour mettre absolument à jour le firmware car une faille critique était détectée, c'est donc possible, et même si certain ne réagiront pas, ça augmente tout de même le nombre de Nas mis à jour plus rapidement.

Je ne sais pas si Qnap aura une solution pour décrypter, mais je n'y crois pas trop vu la longueur de la clé de cryptage, donc je pars du principe que c'est mort pour mes data. Mais on est tous très nombreux à attendre une réponse ( j'espère Lundi ? ) pour savoir si on peux reboot OUI ou NON le nas, comme nous le demande Malware Remover, sachant que le cryptage sur mon nas n'est plus en cours ( les data cryptées sont toujours cryptées mais il n'y a plus de nouvelles data cryptées ).

Un célèbre adage dit : je ne perd jamais, sois je gagne sois j'apprends.

La leçon a été violente pour mes data, mais je suis en train de revoir 100% mes procédures de backup et je vais investir dans des hdd et nouveaux services ( certaine Ibm cloud, à voir si je reste chez Ovh )

Bon courage à tous et également à l'équipe FR Qnap.

 

[ghost207]

je relais les informations trouvé chez bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/?p=5173318
Un grand merci à Christophe GRENIER de cgsecurity.org pour les nouvelles étapes et la nouvelle archive testdisk.

https://www.forum-nas.fr/viewtopic.php?f=19&t=15987&p=102864&hilit=testdisk#p102864
original
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22#entry5171398

 

[Ishido]

je relais les informations trouvé chez bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/?p=5173318
Un grand merci à Christophe GRENIER de cgsecurity.org pour les nouvelles étapes et la nouvelle archive testdisk.

https://www.forum-nas.fr/viewtopic.php?f=19&t=15987&p=102864&hilit=testdisk#p102864
original
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22#entry5171398

Y a du nouveau par rapport au message de Qoolbox page 4, qui a également relayé cette méthode ? Merci

 

[greg6215]

autres solution de bleeping :https://www.bleepingcomputer.com/fo...crypting-with-extension-7z-read-metxt/page-23

FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK


MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER



The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.

You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)



1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)

HowTo: https://pureinfotech.com/setup-network-file-sharing-windows-10/

You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)



2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.



3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.



4. Connect to your samba share:

mkdir /mnt/rescue-share
sudo mount -t  cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share

5. look for your architecture (uname -a) for i386 or x86_64

Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux

6. Download testdisk

i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2

x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2

7. Untar testdisk, go to the directory and change the permissions of the executable

tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static

8. Search for your volume. At me it was '/dev/mapper/cachedev1' (You can use df -h for it) and note it

Filesystem Size Used Available Use% Mounted on
none 300.0M 272.7M 27.3M 91% /
devtmpfs 938.4M 8.0K 938.4M 0% /dev
tmpfs 64.0M 3.1M 60.9M 5% /tmp
tmpfs 949.7M 156.0K 949.6M 0% /dev/shm
tmpfs 16.0M 0 16.0M 0% /share
/dev/mmcblk0p5 7.7M 46.0K 7.7M 1% /mnt/boot_config
tmpfs 16.0M 0 16.0M 0% /mnt/snapshot/export
/dev/md9 493.5M 140.1M 353.4M 28% /mnt/HDA_ROOT
cgroup_root 949.7M 0 949.7M 0% /sys/fs/cgroup
/dev/mapper/cachedev1
898.3G 573.5G 324.3G 64% /share/CACHEDEV1_DATA
/dev/md13 417.0M 387.7M 29.3M 93% /mnt/ext
tmpfs 48.0M 72.0K 47.9M 0% /share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs 16.0M 0 16.0M 0% /mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share
1.8T 104.7G 1.7T 6% /mnt/samba_spar_abo_share

9. open photorec_static with 'sudo ./photorec_static'


10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)

11. choose the ext2/3/4 partition

12. choose ext2/ext3 option
13. choose FREE option

14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)



15. wait and the files would be recover in folders named 'recup_dir.X' on the share



16. sort the results (HAVE FUN xD)



Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!

Merci pour tes Remonter mais en revanche j'aurais une question .
Pour les novices en informatique peut tu dire ce que l'on doit mettre ici

mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share[/code]

(Ce que j'ai mis en couleur rouge)

Merci par avance

 

[Vazaha974]

sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share

<USERNAMEOFREMOTECOMPUTER> est ton compte Windows
XXX.XXX.XXX.XXX est l'adresse IP de ton PC windows sur lequel tu as créé ton partage
<NAMEOFYOURSHARE> est le nom du partage

Pour rappel, il faut que ton compte Windows soit protégé par un mot de passe
Il sera requis pour y accéder depuis le QNAS.

 

[AntoineMasselot]

Bonjour à tous,

Je viens de faire le constat des dégâts de cette attaque sont mon NAS 4To et je pense avoir eu de la chance :

J'ai fait une recherche sur mon NAS de tous les fichiers *.7z et j'en ai trouvé 12 028 pour 5,79Go de données compressées
J'ai fait une recherche sur mon NAS de tous les fichiers !!!READ_ME.txt et j'en ai trouvé 1964

J'ai trié ces fichiers par date pour me rendre compte que le premier date du mercredi 21/04 à 23h35 et le dernier du jeudi 22/4 à 1h27 soit un peu moins de 2h de cryptage
Malware remover a détecté le malware MR2102 le vendredi 23/04 à 3h durant son scan journalier
Je me suis rendu compte du problème vendredi 23/04 vers 9h
Malware remover m'a proposé la dernière mise de l'application le vendredi 23/04 dans l'après midi


J'ai donc 3 questions :

Pourquoi chez moi le cryptage n'a duré que 2h ?
Pourquoi Malware remover n'a detécté le malware que dans son scan du vendredi et non dans celui du jeudi alors que le mal était déjà fait ?
Pourquoi QNAP n'a libéré la mise à jour de Malware remover le vendredi après-midi alors que nous étions tous entrain de chercher des solutions ?

Si vous avez des pistes ?

a++

Antoine

 

[neoprene]

Bonjour
Mon NAS a été complètement infecté ( application personnel) , pour le moment j'ai uniquement changé les ports.
Je ne suis pas informaticien , j'ai choisi QNAP pour la simplicité.
J'attends vraiment une prise en main total de ce problème qui est la responsabilité de l'entreprise QNAP .
J'imagine que les équipes sont à 200% sur le sujet et c'est pour cela qu'i faut je pense, un peu de temps pour une solution.
Je suis confiant et j'espère ne pas me tromper.

 

[sqmp]

Bonjour,

Même sentence. Nas complétement crypté,.

Je ne me suis d'ailleurs pas rendu compte de l'attaque avant aujourd'hui. Je trouve effectivement un peu limite, la communication de QNAP sur le sujet.
Ils savent effectivement envoyer beaucoup de mail pour de la PUB (pour des serveurs avec des capacités énormes pour des grosses entreprises, alors qu'on a un NAS Perso 2 disques..), mais communiquer sur une attaque d'envergure, là, pas de son pas d'image...

Bref, dans mon malheur, ma synchro QNAP n'etait pas effective, mais pour ma copine, elle perd actuellement pas mal de choses.

Malware supprimé par MR, Nas non rebooté, accès a distance supprimé.
En attente d'une solution de décryptage.

 

[Tchoupietdoudou]

question mais si on veut tout supprimer et que l'on avait une sauvegarde ailleurs qui est ok , y a t il un risque de se faire de nouveau crypter les données ?

ce virus se trouve t il a la racine ou y a t'il 0 risques ?

auquel cas je reformate tous mes disques et repart de 0

 

[lepiaf37]

Bonjour
Mes 2 Nas ont été infectés, je n'ai pas suivi les recommandation car mon premier reflexe a été de tout coupé et ensuite de voir la démarche.
Cependant après redemarrage, je constate les dégats suivant :
-Celvin Q700, Photo/documents 100% cryptés mais musiques/vidéo épargnés a 99% (pas d antimalware)
-TS351 Photo/documents/musiques 100% crytés mais dossier video épargné à 99% malware removal à détecté la menace et l'a supprimé un peu tard...
le 3eme disque qui contenait une sauvegarde de "document et photo" a vu ses backups cryptés a l'exception d'un, ce qui m'a permis de remettre l'ensemble en état rapidement après mise a jour des applications et du firmware.

j'avais aussi activé le snapshoot sur le 3eme disque..... d'une totale inefficacité visiblement.
Etant presque parano il me restait une sauvegarde recente sur hdd externe ainsi qu'une autre sur le pc.

j'espère que Qnap retiendra la leçon et fera le nécessaire afin d'éviter que cela se reproduise.

 

[sqmp]

Je pense que l'on ne pourra pas compter sur QNAP sur le sujet :

Reponse support :
le mot de passe fait 32 caracter en Alphanumérique et upper / lower case
imaginez les miliards de combinaison...

je ne pense pas qu'il y aura de solution de décryptage
mais vous pouvez très bien faire un recovery comme indiqué sur les forum avec le testdisk

Cordialement,

Stéphane,

 

[Ishido]

ça serai bien qu'ils publient la solution ( et les conditions techniques à avoir / prévoir pour que ça fonctionne ) avec testdisk en Français car le tuto est entièrement en anglais, perso je ne comprend pas.

Sinon on fais une petite cagnotte pour Fx pour une vidéo en Français, on le sponsorise lol :-D

 

[Ishido]

Je viens d'avoir un mail de Malware Remover :

NAS Name: QNAP-TS451A
Severity: Warning
Date/Time: 2021/04/26 13:23:51

App Name: Malware Remover
Category: Malware Removal
Message: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102

Cette saloperie de Malware soi disant supprimé de mon Nas, à priori ne l'est pas ou est revenu. Je ne comprend pas comment vu que j'ai normalement supprimé l'accès au nas depuis l'extérieur et fais les mises à jours des applications ( pas du firmware car obligation de reboot, j attend toujours les consignes de Qnap )

 

[AntoineMasselot]

Hello,
Je viens de faire un scan et j'ai aussi le MR2102 détecté à nouveau !
QNAP que doit-on faire ??
a++
Antoine

 

[Marmitte]

Idem

Mais j'ai vu qu'il y a une mise a jour de music station et j'imagine que c'est une nouvelle rustine pour lutter contre les infections mise par Qnap.

Donc j'ai fait deux tour de malware remover et la mise a jour de music station

La je vais mettre le NAS hors ligne et donc en quarantaine de net pendant une dizaines de jour. Le temps que Qnap puisse avoir une réponse un peu plus structurer que celle qu'il nous fournisse actuellement.

Sans le redémarrer cependant des fois que ...

Courage a tout ceux qui se débattent dans ce bourbier et surtout a ceux qui professionnellement ne peuvent pas se permettre de quarantaine.

 

[AntoineMasselot]

J'ai fait comme toi.
Détection du malware
Mise à jour de Music
Plus de détection du malware...
Je pense que je vais aussi enlever le cable ethernet sans éteindre.
Par contre si on fait ça et que le malware tourne, on ne sera pas alerté et on ne peut rien vérifier.....

 

[metalx94]

Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré

Je teste la procédure en ce moment de testdisk avec photorec. J'ai pu récupérer des photos. Par contre, c'est tres long et il va falloir les trier. J'en ai pour au moins deux jours

https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-23
J'ai traduit en francais si ca peut aider.

1. Créer un répertoire partagé sur windows (ca doit marcher sur linux ou mac)

lien : https://pureinfotech.com/setup-network-file-sharing-windows-10/

Vous devez utiliser votre compte windows ou en créer un nouveau. je vous conseille de créer le répertoire partager sur un disque dur externe relié avec windows car cela prends de la place.

2. Connectez vous en ssh avec le logiciel putty avec le compte admin du nas

3. Apres le login,Vous avez un menu. Pressez la lettre 'Q'. (Confirm it with 'Y') pour rentrer sur le shell. Prompt #

4. Création du répertoire et montage du répertoire vers votre windows. Vous devez changer mettre votre utilisateur windows et l'adresse ip et le chemin de votre repertoire partagé.

mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<VOTREUTILISATEURWINDOWS> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share

Pour que votre sauvegarde soit externe, mettez vous bien dans le repertoire /mnt/rescue-share ( derniere commande cd)

5. Savoir si vous avez un nas en 64 bits(x86_64) ou 32 bits (i386) avec la commande "uname -a"
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux

6. Suivant le résultat du uname -a , télécharger la version adéquate

i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2

x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2

7. Décompresser le téléchargement et ajouter les droits d'executions au script photorec_static ou photorec suivant votre architecture

tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static

8. Chercher le volume de votre disque. Ici c'est '/dev/mapper/cachedev1' (utilisez la commande df -h for it)

Filesystem Size Used Available Use% Mounted on
none 300.0M 272.7M 27.3M 91% /
devtmpfs 938.4M 8.0K 938.4M 0% /dev
tmpfs 64.0M 3.1M 60.9M 5% /tmp
tmpfs 949.7M 156.0K 949.6M 0% /dev/shm
tmpfs 16.0M 0 16.0M 0% /share
/dev/mmcblk0p5 7.7M 46.0K 7.7M 1% /mnt/boot_config
tmpfs 16.0M 0 16.0M 0% /mnt/snapshot/export
/dev/md9 493.5M 140.1M 353.4M 28% /mnt/HDA_ROOT
cgroup_root 949.7M 0 949.7M 0% /sys/fs/cgroup
/dev/mapper/cachedev1
898.3G 573.5G 324.3G 64% /share/CACHEDEV1_DATA
/dev/md13 417.0M 387.7M 29.3M 93% /mnt/ext
tmpfs 48.0M 72.0K 47.9M 0% /share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs 16.0M 0 16.0M 0% /mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share
1.8T 104.7G 1.7T 6% /mnt/samba_spar_abo_share

9. Executer la commande 'sudo ./photorec_static' ou 'sudo ./photorec' (voir etape uname)

10. Choisissez votre volume vue dans l 'etape 8 /dev/mapper/cachedev1 disk

11. Choisissez ext2/3/4 partition

12. Choisissez ext2/ext3 option
13. Choisissez FREE option

14. Chossisez le repertoire de destination des fichier recuperer et appuyer sur la lettre c pour commencer Vous devriez etre dans le repertoire de destination /mnt/rescue-share

15. Attendez et retrouver les fichiers recupéres dans les repertoires 'recup_dir.X' sur votre windows dans votre repertoire partagé

 

[saeba]

Hello,
Je viens de faire un scan et j'ai aussi le MR2102 détecté à nouveau !
QNAP que doit-on faire ??
a++
Antoine

Idem de mon coté alors que je viens de réinitialiser le NAS !!!!