Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe

[FX Cachem]

Juste pour rappel : ça ne touche pas que les NAS QNAP. https://www.nextinpact.com/article/...locker-et-demande-rancon-synology-nous-repond

Ce n'est a mon sens pas comparable.
Dans le cas de Syno, le ransomware attaqué en août 2014 des NAS qui n'avais pas été mis a jour depuis décembre 2013 !

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

Et de mémoire, c'est surtout des utilisateurs avec Xpenology qui avaient été victimes. [edit] J'ai retrouvé https://www.cachem.fr/synolocker-demande-0-6-bitcoin-debloquer-synology/ j'avais fait une actualisation régulière sur 2 jours. Pour rappel, attaque en août 2014 avec une faille corrigé en décembre 2013.

Quoiqu'il en soit, aucun système n'est infaillible... Aucun ! Ce qui arrive est vraiment dramatique et j'espère que vous allez pouvoir récupérer un maximum de vos précieuses données dans les prochaines heures ou dans les prochains jours.

 

[Boutefeu]

Bonjour,

je suis un peu comme schwinny, j'ai eu l'info le 23 avril grâce au site de Fx (que je remercie) et j'ai fait le soir même les maj de Video station, HBS 3 et Malware Remover; lancé un scan sans que celui-ci ne me trouve quelque chose.
Le Nas étant déjà en version 4.5.2.1630 depuis le 06/04, les ports par défaut changés et le NAS n'étant exposé à internet que via myQNAPcloud Link et DDNS je me croyais tranquille (pas de redirection de ports sur le routeur ou d'upnp).

Malware remover lancé ce matin -> RAS ce matin.

Mais aujourd'hui j'ai eu la surprise de recevoir vers 13h une alerte de Malware Remover : "Removed vulnerable files or folders. Malware ID: MR2102"
Après investigations, je n'ai pas trouvé de fichiers lockés ou de fichiers "READ_ME.txt" sur mon Nas. Je suppose donc que Malware Remover a shooté le malware avant qu'il ne fasse des dégâts.
En complément j'ai donc désactivé myQNAPcloud Link, DDNS et j'ai mis à jour Music Station dont une maj été sortie depuis ma dernière connexion de hier soir. Puis j'ai refais un scan et de nouveau Malware Remover n'a rien trouvé.
J'espère que cela sera suffisant pour ne plus être attaqué.

En tout cas merci à tous ceux qui ont apporté leur aide sur ce forum et dans les différents articles que j'ai pu lire.

 

[AntoineMasselot]

@Bigorno,
J'ai effectivement lu sur le site se QNAP cette information qui date du 22/04.

J'ai été infecté le 21/04...

HBS3 a demandé une mise à jour le 16/04 une le 22/04 et une le 23/04...

Donc quand j'ai été infecté, j'avais la dernière mise à jour...

De plus il est très dur pour un particulier de suivre heure par heure les eventuelles mises à jour....

 

[QoolBox]

Merci...

message suite à la MaJ de MR est normal...

[Malware Remover ] Removed vulnerable files or folders . MALWARE ID MR2102

il fait flipper mais en fait il veut juste dire, que malware remover à supprimer les fichiers/repertoires permettant à Qlocker de s'installer
donc si vous n'êtes pas infecter ... cela sécurise le serveur

 

[coeur51]

Je pense mettre tout de même la double authentification... ca ne coute pas grand grand chose. e
Finalement, comment ils ont injecté ce virus ?
Ca n'a pas l'air d'être par une authentification ?

Hello,

De mémoire (à confirmer), il me semble que HBS 3 stocke en dur nos identifiants et c'est grâce (à cause) d'une vulnérabilité SQL Injection que le code a été implémenté.

Bonne journée

 

[Oomingmak]

Bonjour à tous,

Comme beaucoup j'ai été touché par ce souci.
Tout un volume a été crypté le 21/04. Je ne m'en suis aperçu que le 25/04.
Le cryptage est donc terminé, la log 7z plus possible à intercepter et donc pas possible de récupérer le mdp de cryptage.
N'ayant que des sauvegardes partielles des fichiers touchés je vais me pencher sur la solution TestDisk / PhotoRec même si elle est imparfaite (fichiers potentiellement récupérés non nommés / structurés).

Par contre je suis sur Mac.
Je ne sais pas comment effectuer la première partie "Créer un partage SMB".
Est ce que l'un d'entre vous aurait une procédure à dérouler pour effectuer cette première partie sur un Mac ?

Merci d'avance pour votre aide et bon courage à tous dans cette épreuve bien galère.

 

[schwinny]

Suppression mesAge

 

[Oomingmak]

une fois le partage fait dans le nas, sur le Mac dans le Finder, tu clique en haut sur ALLER/se connecter au serveur:

smb://IP_DU_NAS/NOMDUPARTAGE

il va te demander les identifiants, tu mets ceux que tu utilise pour l'utilisateur du nas

Bonjour,

Je crois comprendre qu'il faut faire l'inverse (dans la procédure pour Windows) : créer un partage sur un disque de récupération connecté au Mac (pour avoir le volume de stockage nécéssaire à la récupération des fichiers).
Puis se connecter au NAS en ssh et monter le volume partagé pour qu'il soit vu du NAS.

Le problème est que je ne sais pas comment créer ce dossier partagé sur un disque externe connecté au Mac (ou sur le disque du Mac ce qui doit être à peu près la même chose)

 

[schwinny]

Autant pour moi.
Je regarde et te dit ça

 

[bigorno]

Bonjour à tous,

Comme beaucoup j'ai été touché par ce souci.
Tout un volume a été crypté le 21/04. Je ne m'en suis aperçu que le 25/04.
Le cryptage est donc terminé, la log 7z plus possible à intercepter et donc pas possible de récupérer le mdp de cryptage.
N'ayant que des sauvegardes partielles des fichiers touchés je vais me pencher sur la solution TestDisk / PhotoRec même si elle est imparfaite (fichiers potentiellement récupérés non nommés / structurés).

Par contre je suis sur Mac.
Je ne sais pas comment effectuer la première partie "Créer un partage SMB".
Est ce que l'un d'entre vous aurait une procédure à dérouler pour effectuer cette première partie sur un Mac ?

Merci d'avance pour votre aide et bon courage à tous dans cette épreuve bien galère.

Bonjour, il faut aller dans les Préférences Système, puis dans Partage.
Et là, indiquer un dossier à partager.

 

[MaximePavie]

Bonjour à tous,

Comme beaucoup j'ai été touché par ce souci.
Tout un volume a été crypté le 21/04. Je ne m'en suis aperçu que le 25/04.
Le cryptage est donc terminé, la log 7z plus possible à intercepter et donc pas possible de récupérer le mdp de cryptage.
N'ayant que des sauvegardes partielles des fichiers touchés je vais me pencher sur la solution TestDisk / PhotoRec même si elle est imparfaite (fichiers potentiellement récupérés non nommés / structurés).

Par contre je suis sur Mac.
Je ne sais pas comment effectuer la première partie "Créer un partage SMB".
Est ce que l'un d'entre vous aurait une procédure à dérouler pour effectuer cette première partie sur un Mac ?

Merci d'avance pour votre aide et bon courage à tous dans cette épreuve bien galère.

Salut

je suis sur Mac aussi, peux-tu m'expliquer quelle est cette solution testdisk / photorec ? Merci beaucoup

 

[Oomingmak]

Bonjour à tous,

Comme beaucoup j'ai été touché par ce souci.
Tout un volume a été crypté le 21/04. Je ne m'en suis aperçu que le 25/04.
Le cryptage est donc terminé, la log 7z plus possible à intercepter et donc pas possible de récupérer le mdp de cryptage.
N'ayant que des sauvegardes partielles des fichiers touchés je vais me pencher sur la solution TestDisk / PhotoRec même si elle est imparfaite (fichiers potentiellement récupérés non nommés / structurés).

Par contre je suis sur Mac.
Je ne sais pas comment effectuer la première partie "Créer un partage SMB".
Est ce que l'un d'entre vous aurait une procédure à dérouler pour effectuer cette première partie sur un Mac ?

Merci d'avance pour votre aide et bon courage à tous dans cette épreuve bien galère.

Salut

je suis sur Mac aussi, peux-tu m'expliquer quelle est cette solution testdisk / photorec ? Merci beaucoup

Bonjour,

C'est une méthode de récupération a postériori qui a été décrite sur un forum anglais, qui a du être reprise et traduite dans ce topic (il faut chercher plus haut dans le fil).
Quelqu'un a meme mis la procédure en video :
https://youtu.be/qv9mri_xHg0

Par contre, il y a des inconvenients :
- les fichier récupérés n'ont pas leur nom d'origine mais des noms génériques
- il ne sont pas structurés dans leurs dossiers d'orgine
- et donc beaucoup de tri et de rangements à faire

Ca permet tout de même de récupérer des fichiers sains en l'absence du mdp de décryptage
Par contre je ne sais pas quelles sont les limites de la manip car je ne comprends pas comment ca fonctionne vraiment.
Je crois que c'est un outil de récupération de fichiers supprimés. Il faut donc je pense qu'il n'y ait pas eu trop de "mouvements" sur le disque du NAS depuis le cryptage pour pouvoir récupérer le plus de fichiers possibles.

 

[Oomingmak]

Bonjour à tous,

Comme beaucoup j'ai été touché par ce souci.
Tout un volume a été crypté le 21/04. Je ne m'en suis aperçu que le 25/04.
Le cryptage est donc terminé, la log 7z plus possible à intercepter et donc pas possible de récupérer le mdp de cryptage.
N'ayant que des sauvegardes partielles des fichiers touchés je vais me pencher sur la solution TestDisk / PhotoRec même si elle est imparfaite (fichiers potentiellement récupérés non nommés / structurés).

Par contre je suis sur Mac.
Je ne sais pas comment effectuer la première partie "Créer un partage SMB".
Est ce que l'un d'entre vous aurait une procédure à dérouler pour effectuer cette première partie sur un Mac ?

Merci d'avance pour votre aide et bon courage à tous dans cette épreuve bien galère.

Bonjour, il faut aller dans les Préférences Système, puis dans Partage.
Et là, indiquer un dossier à partager.

Merci Bigorno, je vais essayer ça quand j'aurais un peu de temps ...

 

[VINOT]

Bonjour à tous,

j'ai aussi été victime de l'attaque, et tente de limiter les dégâts.
j'ai lancé malware remover qui est à jour quotidiennement et na détecte aucun problème, mon étonnement est qu'il n'a rien détecté le jour de l'attaque et ne détecte toujours rien ?
Est ce que cela signifie que qlocker n'est pas ou plus sur mon NAS ?
Ayant effectué des sauvegardes sur disque externe, finalement je m'en pas trop mal .
je voudrais s'avoir si je peux réintégrer mes données sur le NAS sans risque qu'elle soit à nouveau compromissent.
Encore merci à tous les intervenants qui nous apportent des réponses et solutions.

 

[lgrnr]

"[...] je suis sur Mac [...] quelle est cette solution testdisk/photorec? [...]"

La solution "testdisk/photorec" a été fournie sur ce même "Topic" par "metalx94" à cette adresse-ci [Cliquer ici...]
En voici un petit extrait:

"[...] La première chose à effectuer est de couper les accès extérieurs à votre NAS (garder uniquement l’accès local). Mon NAS n'a pas été redémarré [...] Pour que votre sauvegarde soit externe, mettez vous bien dans le répertoire /mnt/rescue-share (dernière commande cd)
1. Créer un répertoire partagé
[...]
5. Savoir si vous avez un NAS en 64 bits(x86_64) ou 32 bits (i386) avec la commande "uname -a"
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux
6. Suivant le résultat du uname -a , télécharger la version adéquate
i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2
x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2
7. Décompresser le téléchargement et ajouter les droits d'exécutions au script photorec_static ou photorec suivant votre architecture
tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static [...]"

Source : Le "Forum des NAS", post de "metalx94" sur ce "Topic" [ici même...]

Et la vidéo rapportée par "Oomingmak" est également intéressante sur le sujet:

"[...] une méthode de récupération a postériori qui a été décrite sur un forum anglais, qui a du être reprise et traduite dans ce topic [Cliquer ici...]. Quelqu'un a même mis la procédure en vidéo:
>> https://youtu.be/qv9mri_xHg0 [...]"

 

[Ishido]

Merci...

message suite à la MaJ de MR est normal...

[Malware Remover ] Removed vulnerable files or folders . MALWARE ID MR2102

il fait flipper mais en fait il veut juste dire, que malware remover à supprimer les fichiers/repertoires permettant à Qlocker de s'installer
donc si vous n'êtes pas infecter ... cela sécurise le serveur

J'ai également eu cette deuxième alerte de MRemover.
Si on est infecté ( fichiers cryptés sur le nas, mais Malware remover a indiqué avoir supprimé le malware MR2102 dans la nuit de Jeudi à Vendredi ), on fais quoi ?

1/ On reboot pas le nas
2/ On reboot et on installe la dernière maj du firmware
3/ Autre chose

Merci

J'ai fais un thread de synthèse des solutions pour le malware et pour tenter de récupérer les data, vu le nombre de pages ici même, voici un thread " clean "
https://www.forum-nas.fr/viewtopic.php?f=19&t=15993

 

[bigorno]

Merci...

message suite à la MaJ de MR est normal...

[Malware Remover ] Removed vulnerable files or folders . MALWARE ID MR2102

il fait flipper mais en fait il veut juste dire, que malware remover à supprimer les fichiers/repertoires permettant à Qlocker de s'installer
donc si vous n'êtes pas infecter ... cela sécurise le serveur

J'ai également eu cette deuxième alerte de MRemover.
Si on est infecté ( fichiers cryptés sur le nas, mais Malware remover a indiqué avoir supprimé le malware MR2102 dans la nuit de Jeudi à Vendredi ), on fais quoi ?

1/ On reboot pas le nas
2/ On reboot et on installe la dernière maj du firmware
3/ Autre chose

Merci
(...)

Bonjour,
si vous ne pouvez pas récupérer vos données, vous pouvez redémarrer et réutiliser votre NAS comme avant. Il s'agit de l'exploitation d'une faille qui a priori n'a pas laissé de processus s'exécutant après un reboot. Mais justement j'espère que le post mortem de QNAP nous donnera plus d'infos là-dessus.
Sinon on répare et on recommence à vivre. Ah non, attendez une minute, y'a toujours le COVID !

 

[Ishido]

Ok je vais reboot uniquement quand j'aurai tenté la méthode de récupération de data avec testdisk , je rebooterai ensuite.

 

[FD8792]

Bonjour,

Je pense que la question à se poser est maintenant, que faire pour ne pas se retrouver (à nouveau !) avec des fichiers cryptés ? En tous les cas, c'est la question que je me pose. Car pour le moment j'ai réussi à passer à travers l'orage sur mes deux NAS... Pas de fichiers cryptés, pas de trace de Qlocker ...

J'ai parcouru ces derniers jours plusieurs forum sur ce malware. On voit que les NAS ont été infectés même avec le firmware à jour, même patchés sur les appli multimédia, certains même patchés sur HBS3, et même avec le port 8080 désactivé et le 443 modifié avec autre chose. Perso je n'ai pas patché dès le premier jour et le port 443 n'a pas été changé.
Ma seule particularité est que j'ai paramétré ma box sur laquelle sont branchés mes NAS pour ne pas rediriger les ports de façon "directe". Explications : Ma box ne fait pas de redirection du port WAN 443 vers le 443 du NAS. J'ai pris un port au hasard (sup à 10000) pour le rediriger vers le 443 du NAS. Ainsi il faut indiquer le "bon" port pour accéder au NAS depuis Internet. Cela complique, je pense, un peu la tache aux hackers s'il faut tester 65535 ports. Et faire une tentative de connexion avec le 443 n'aboutit à rien.

Par ailleurs je reste perplexe sur le fait que des NAS ont été infectés alors que le port HTTPS 443 avait été changé. D'autre part l'attaque a été massive sur plusieurs milliers de machines. J'en viens à me demander si QNAP cloud link n'a pas été piraté chez QNAP à Taiwan, car il contient si je ne trompe pas l'adresse IP et le num de port. Ainsi avec une faille dans HBS3 qui contient les droits admin en dur et la bonne adresse IP + num port, cela devient assez facile d'injecter du code pour un pirate... A vérifier. Et surtout une attaque peut se renouveler très facilement si une nouvelle faille est trouvée sur HBS3 !!

Mais je me trompe peut-être. Je ne suis pas informaticien, seulement un utilisateur des NAS QNAP pour mon usage perso et familial depuis 12 ans.
Au final, ma recommandation (et elle n'engage que moi avec mes maigres connaissances) est :
1- si connexion Internet nécessaire, ne pas utiliser les ports standards et faire des "redirections indirectes" sur la box avec des ports pris au hasard
2- ne pas utiliser myqnapcloud.com mais un autre DDNS ou reverse proxy d'un FAI, ou encore l'IP de la box si IP fixe.
3- bien évidemment patcher dès que QNAP met des MAJ en ligne.

Je pense à ceux qui galèrent pour retrouver leurs fichiers. Courage !!

 

[Guib]

sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share

<USERNAMEOFREMOTECOMPUTER> est ton compte Windows
XXX.XXX.XXX.XXX est l'adresse IP de ton PC windows sur lequel tu as créé ton partage
<NAMEOFYOURSHARE> est le nom du partage

Pour rappel, il faut que ton compte Windows soit protégé par un mot de passe
Il sera requis pour y accéder depuis le QNAS.

Merci pour cette aide.

C'est à mon tour de bloquer dans l'application de la procédure. (et de me poser des questions existentielles )

à l'étape 5: comment on regarde l'architecture?
L'architecture de quel appareil? (le NAS ou le PC)?

étape 6: où se télécharge le logiciel "testdisk"?

étape 7: on va dans quel répertoire ?

étape 8: on recherche quel volume?
comment on le recherche?

étape 9: on ouvre photo rec. il sort d'où celui là? comment on l'ouvre?

étapes 10 à 13: on choisi plein de truc! mais là je ne sais pas encore comment car je n'y suis pas arrivé (vous l'aviez deviné...)


Désolé pour toutes ces questions de novice, mais je viens de recevoir la réponse de l'assistance QNAP qui m'envoie vers la solution de ce forum.
Merci pour votre aide, et pas merci à QNAP qui répond de manière un peu légère il me semble (cher client, débrouille toi sur les forums internet ...)