QNAP [ Malware Qlocker ] Encryption 7z avec mot de passe

[greg6215]

Bonjour,

Si le NAS à était Rebooter et t'il toujours possible de faire quoi que se soit??

Merci à vous de votre réponse.

c'est Dead en effet

C'est quand même fou de pas pouvoir avoir de sécurité sur ce type de produit.
Pour ma part j’espère avoir des nouvelles lorsqu'on a redémarrer le NAS parce que mes donnés sont vraiment important pour ma société toute la comptabilité et dedans mes factures....
On pense être tranquille avec ce type de stockage et pour la fin je me rend compte que QNAP et bien moins sécuriser que d'autre fabricant, je met plus de 400€ pour un serveur avec les DD et pour finir je me retrouve dans la M****** :x :x :x :x :x :x

 

[Ishido]

Bonjour,

Si le NAS à était Rebooter et t'il toujours possible de faire quoi que se soit??

Merci à vous de votre réponse.

c'est Dead en effet

C'est quand même fou de pas pouvoir avoir de sécurité sur ce type de produit.
Pour ma part j’espère avoir des nouvelles lorsqu'on a redémarrer le NAS parce que mes donnés sont vraiment important pour ma société toute la comptabilité et dedans mes factures....
On pense être tranquille avec ce type de stockage et pour la fin je me rend compte que QNAP et bien moins sécuriser que d'autre fabricant, je met plus de 400€ pour un serveur avec les DD et pour finir je me retrouve dans la M****** :x :x :x :x :x :x

Je ne veux pas faire l'avocat de Qnap, mais en temps normal il faut faire des sauvegardes, et ENCORE PLUS si il y a des data entreprise importantes. Je suis comme toi avec des data de mon entreprise sur le Nas, j'étais plutôt serein car j'avais 1 sauvegarde cloud et 1 sur un hdd externe, sauf que je me rend compte que ces sauvegardes n ont pas fonctionnés comme prévue sans que j ai un message d alerte ( ça fonctionnais parfaitement , mais je n ai pas re vérifier récemment ... ).

Tu as 0 sauvegarde ??

Par contre où je ne comprend pas, c'est que je lis des messages comme quoi ça fais déjà plusieurs jours que cette faille est exploitée et que certain ont des soucis, pourquoi tous les utilisateurs de Qnap n ont pas reçu un mail d alerte pour qu on puisse agir ou du moins tenter d agir avant que tout soit crypté ou même que le processus soit commencé....

 

[greg6215]

c'est Dead en effet

C'est quand même fou de pas pouvoir avoir de sécurité sur ce type de produit.
Pour ma part j’espère avoir des nouvelles lorsqu'on a redémarrer le NAS parce que mes donnés sont vraiment important pour ma société toute la comptabilité et dedans mes factures....
On pense être tranquille avec ce type de stockage et pour la fin je me rend compte que QNAP et bien moins sécuriser que d'autre fabricant, je met plus de 400€ pour un serveur avec les DD et pour finir je me retrouve dans la M****** :x :x :x :x :x :x

Je ne veux pas faire l'avocat de Qnap, mais en temps normal il faut faire des sauvegardes, et ENCORE PLUS si il y a des data entreprise importantes. Je suis comme toi avec des data de mon entreprise sur le Nas, j'étais plutôt serein car j'avais 1 sauvegarde cloud et 1 sur un hdd externe, sauf que je me rend compte que ces sauvegardes n ont pas fonctionnés comme prévue sans que j ai un message d alerte ( ça fonctionnais parfaitement , mais je n ai pas re vérifier récemment ... ).

Tu as 0 sauvegarde ??

Par contre où je ne comprend pas, c'est que je lis des messages comme quoi ça fais déjà plusieurs jours que cette faille est exploitée et que certain ont des soucis, pourquoi tous les utilisateurs de Qnap n ont pas reçu un mail d alerte pour qu on puisse agir ou du moins tenter d agir avant que tout soit crypté ou même que le processus soit commencé....

Non je n'ai aucune sauvegarde j'ai 2TO de copies de facture.. et l'entreprise tourne depuis plus de 8ans et une solution de cloud pour autant de données me couté un bras voila pourquoi je suis parti sur un serveur NAS, et je ne vais pas en plus du premier serveur en ajouter un second qui copiera le premier 400+400=800€ de matos :? sa me semble pas vraiment utile
Oui pourquoi QNAP n'a rien fait pour prévenir tout les utilisateurs de leurs matériel?? Pour envoyer leurs newsletters chaque semaine sa ils savent le faire...

 

[pierreaxel.vp]

Bonjour à tous et merci pour vos différents retours qui m'aident beaucoup, n'y connaissant beaucoup moins que vous.

3 questions :

J'ai eu une notification de Malware Remover indiquant qu'il avait supprimé le malware et me demandant de redémarrer. Ce que j'ai fait.

- Une fois le redémarrage et la suppression (et la mise à jour sur l'app center des applis), le cryptage est considéré comme terminé, plus de risque que d'autres fichiers soient atteints ?

J'ai suivi les test en SSH de Qnap, voici ce que j'ai eu avec "ps | grep 7z" : 11965 admin 1004 S grep 7z
Ne comprenant pas ce que cela voulait dire, j'ai tapé la seconde commande et j'ai obtenu ça :
"v 7z.sh 7z;DA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; m
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'?"

- Quelqu'un peut-me dire ce que ça signifie ? Cela aidera sûrement d'autres personnes dans ma situation.

J'utilise Resilio pour ma sauvegarde vers le NAS et malheureusement c'est bi-directionnel donc les fichiers de mon mac ont été remplacés.

- Est-il possible de mettre Resilio en unidirectionnel ? Je n'ai pas trouvé sur internet comment faire. Y a t'il un danger pour mon mac avec ces fichiers "infectés" dessus ?

Enfin, un simple merci à Cachem, Qoolbox et membres du forum que je suis à mon petit niveau sur ce forum car j'ai pu sur leurs conseils penser à faire des sauvegardes 3-2-1 ce qui limite la casse de mon côté a priori...

Merci pour vos retours à venir !

 

[Ishido]

@pierreaxelvp je suis dans le même cas que toi, Malware remover a priori viré le malware MR2102 , ce qui je pense a interrompu le process de cryptage. Par contre je n ai pas reboot le nas car dans toutes les solutions pour tenter de decrypter les data, il est noté de ne pas rebooter.

Mais si quelqu'un a des infos sur ce qu il faut faire avec le message :

v 7z.sh 7z;DA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; m
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'?"

Merci

 

[AntoineMasselot]

Bonjour à tous et merci à @QoolBox pour ses conseils.

Comment savoir si le processus de cryptage est terminé ? :
- J'ai des dossiers infectés et d'autres non
- MR2102 a été supprimé cette nuit à 3h par Malware Remover sans redémarré le NAS
- Les méthodes 1 et 2 de @QoolBox ne donnent rien, impossible de lire le fichier 7z.log qui semble ne pas exister
- J'ai enlevé le câble Ethernet du NAS quand je me suis rendu compte que quelque chose clochait (il est rebranché maintenant)

Mes PCs connectés au réseau peuvent-ils être infectés ?
- Mes dossiers qui étaient synchronisés avec QSync se sont malheureusement synchronisé sur mon PC (Je pensais avoir activé la synchronisation que dans un sens... rrhh je m'en veux)
- Pour le moment, j'ai tout deconnecté du réseau (sauf 1 PC que j'utilise pour écrire...)
- Et les téléphones portables connecté au réseau
- Et les box domotiques connectées au réseau

Je sais ça fait beaucoup de question, mais avant de trouver un moyen de résoudre le problème, j'aimerai sauvé un maximum de chose

a++

Antoine

 

[webmail]

c'est Dead en effet

Est il possible de supprimer les dns et la passerelle par défaut du nas pour empêcher ce genre d'attaque à l'avenir ou cela ne change rien?
Le nas serait du coup uniquement en local.

semblerait ca passe par le 8080 d'après ce que j'ai compris (après je suis en congé cette semaine donc pas trop trop d'info) Donc si ce port est exposé et utiliser ...
toujours faire du HTTPS ou connexion SSL de l'extérieur... injection SQL à partir de MultiMedia console et Hybrid Backup Sync 3

toujours n'ouvrir que les ports nécessaires sur le NET ... on le répètera jamais assez souvent

et avoir des backups fiables et vérifiés

 

[QoolBox]

Bonjour à tous et merci à @QoolBox pour ses conseils.

Comment savoir si le processus de cryptage est terminé ? :
- J'ai des dossiers infectés et d'autres non
- MR2102 a été supprimé cette nuit à 3h par Malware Remover sans redémarré le NAS
- Les méthodes 1 et 2 de @QoolBox ne donnent rien, impossible de lire le fichier 7z.log qui semble ne pas exister
- J'ai enlevé le câble Ethernet du NAS quand je me suis rendu compte que quelque chose clochait (il est rebranché maintenant)

Mes PCs connectés au réseau peuvent-ils être infectés ?
- Mes dossiers qui étaient synchronisés avec QSync se sont malheureusement synchronisé sur mon PC (Je pensais avoir activé la synchronisation que dans un sens... rrhh je m'en veux)
- Pour le moment, j'ai tout deconnecté du réseau (sauf 1 PC que j'utilise pour écrire...)
- Et les téléphones portables connecté au réseau
- Et les box domotiques connectées au réseau

Je sais ça fait beaucoup de question, mais avant de trouver un moyen de résoudre le problème, j'aimerai sauvé un maximum de chose

a++

Antoine

tout se passe en SSH

ps | grep 7z

te diras si le processus tourne si tu as que un "grep 7z " ne pas en tenir compte
ne le redémarrre surtout pas... ouvre un ticket avec un accés a distance normalement le mot de passe crypte doit apparaitre si le processus tourne
(il a peut être fini sa tache de cryptage, rajoute peut être des fichiers... ca incrémentera les logs)

ton PC n'a rien a craindre (sauf si tu as des montages réseau NAS --> PC et non l'inverse) et autres périphériques

 

[QoolBox]

autre exemple (désolé pas le temp de trad)

Method1

Install Malware Remover from APP Center and run it manually;
Connect nas over ssh
Use the command below to find if ransomware is still in progress.

cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public

If command back ‘No such file or directory’ means the NAS has been rebooted or encryption process has finished,
if that is the case, unfortunately there is nothing that can be done to help;

If command has been executed without issue, you can see 7z.log in NAS at the Public folder, which will include password;

Password will look like bellow:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password

You can reboot NAS and use the password to decrypt the files;
If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

Method2

Connect NAS over ssh;

https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh

Use the command below to find out if ransomware is still in progress.

ps | grep 7z

If there is no 7z, it means the NAS has been rebooted or the encryption process has been finished, if that is the case, unfortunately there is nothing that can be done to help;
If 7z is running, copy/paste command below and press enter(1 line)

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Wait a couple minutes to use cat to grep password;

cat /mnt/HDA_ROOT/7z.log

It will look like bellow:

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD is password

You can reboot NAS and use the password to decrypt the files;
If you don’t know how to read the password, please, you may send to QNAP Support the complete message with the NAS diagnostic log.

 

[AntoineMasselot]

Bonjour @QoolBox, encore merci

[~] # ps | grep 7z
25673 admin       968 S   grep 7z

voilà ce que j'obtiens : Ca crypte encore ou pas ?

J'ai fouillé partout et impossible de mettre la main sur 7z.log, le fichier semble ne pas exister.
Pour info, tous mes dossiers ne sont pas cryptés.

Antoine

 

[Ishido]

ps | grep 7z

Quand ça donne cette réponse :

14617 Ishido      928 S   grep 7z

Sommes nous d'accord oui ou non que cela veut dire que le processus est actif ? car j ai malware remover qui me dit qu il a supprimé le malware et mes fichiers ne sont pas tous cryptés, j essai de voir si ça progresse ou pas.

Mais il n'y a rien dans le dossier public.

Sais tu quoi faire pour ceci :

[Ishido@QNAP-TS451A sbin]$ cat /mnt/HDA_ROOT/7z.log
cat: /mnt/HDA_ROOT/7z.log: No such file or directory
[Ishido@QNAP-TS451A sbin]$ cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'?

Merci

 

[piko]

Bonjour à tous,

Je semble être moi aussi touché...
Pour faire court:
- Je n'ai pas redémarré le NAS
- Voici ce que j'ai :

[/usr/local/sbin] # ps | grep 7z                    
16569 admin       984 S   grep 7z

Et les chiffres bougent.
- J'ai bien le fichier 7z.log dans Public, mais il ne semble pas contenir le mot de passe:

/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/26169:/bin/sh
Uid:	0	0	0	0
/proc/18941:/bin/sh
Uid:	0	0	0	0
/proc/18938:/bin/sh
Uid:	0	0	0	0
/proc/16454:/bin/sh
Uid:	0	0	0	0
/proc/16453:/bin/sh
Uid:	0	0	0	0
/proc/4478:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/proc/9650:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.7z"
/proc/26358:/bin/sh
Uid:	0	0	0	0
/proc/18941:/bin/sh
Uid:	0	0	0	0
/proc/18938:/bin/sh
Uid:	0	0	0	0
/proc/16454:/bin/sh
Uid:	0	0	0	0
/proc/16453:/bin/sh
Uid:	0	0	0	0
/proc/4478:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/proc/9650:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/usr/local/sbin/7z.orig "x" "-so" "./data.tar.xz"
/proc/8219:/bin/sh
Uid:	0	0	0	0
/proc/31647:/bin/sh
Uid:	0	0	0	0
/proc/31646:/bin/sh
Uid:	0	0	0	0
/proc/30018:/bin/sh
Uid:	0	0	0	0
/proc/30015:/bin/sh
Uid:	0	0	0	0
/proc/21368:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/proc/9650:/usr/local/sbin/qpkgd
Uid:	0	0	0	0

- Et quand je fais la commande cat, voici ce que j'ai:

[/usr/local/sbin] # cat /mnt/HDA_ROOT/7z.log
cat: /mnt/HDA_ROOT/7z.log: No such file or directory

Donc en résumé il me semble que je n'ai pas le code, malgré que le processus soit en cours... Vous confirmez ?
Comment puis-je obtenir le code ?

Merci de vote aide !

 

[JMBZ]

Bonjour même problème que tout le monde :

cat: /mnt/HDA_ROOT/7z.log: No such file or directory

une idée ?

 

[webmail]

si vous faites

cd  /mnt/HDA_ROOT

puis

ls -la

est-ce que le fichier 7z.log apparaît dans la liste?

 

[piko]

si vous faites

cd  /mnt/HDA_ROOT

puis

ls -la

est-ce que le fichier 7z.log apparaît dans la liste?

Non, il n'y apparait pas. Il est peut-être ailleurs ?

 

[AntoineMasselot]

Bonjour,
Idem pour moi, pas de fichier 7z.log
J'ai fouillé partout le NAS, avec Putty, avec Total Commander
Rien
Je pense que le cryptage est arrêté (sans avoir terminé ! ouf! ) et donc que le fichier n'est plus là
a+
Antoine

 

[Ishido]

Après pas mal d'heures de lecture un peu partout sur le net, j'ai l'impression que ça fonctionne ainsi : Tant que le cryptage est en cours, il y a ce fameux fichier 7z.log sur le nas, où il y a le mot de passe.

Une fois que le cryptage des data est terminé à 100 % ou si le Nas a été reboot / arrêté , ce fichier est supprimé.

Je ne sais pas si c'est exact mais en tout cas pour ma part le fichier n'est pas présent, et en théorie le cryptage n'est plus en cours vu que malware remover a supprimé le malware ( donc interrompu en théorie le cryptage ).

Si c'est exact finalement le mieux était d'avoir le cryptage en cours et chopper au vol le mot de passe en clair.

Je suis assez pessimiste sur une solution si ce fichier n'est pas présent.....

Pour ceux qui ont dû mal à comprendre comment faire pour faire les lignes de commandes en ssh, voici une vidéo Youtube en anglais ( mais on comprend bien avec les images ) qui détaille les opérations. Toutes les commandes ssh à injecté sont donné par Qoolbox sur le premier message page 1

https://www.youtube.com/watch?v=aq_cIdY_ksQ

 

[piko]

J’ai l’impression d’être dans une situation entre deux:
- d’un côté le cryptage semble en cours : les chiffres changent lors de la commande « cr | ... ». Et j’ai bien le fichier 7z.log dans public.

- en revanche, quand j’ouvre le fichier ou quand je passe la commande sensée récupérer le mot de passe, je n’ai rien.

 

[QoolBox]

petite video de démonstration

 

[LoicDauv]

Bonsoir,

Si n'avez pas encore eu le témoignage du mec qui ne connait pas grand chose à l'informatique et qui cumule les emmerdes.

alors... J'utilise un QNAS pour mes sauvegardes... J'ai deux disques 1 de sauvegarde, un deuxieme qui copie le premier.
Dans la nuit de mercredi à jeudi, nous avons perdu internet (je suis chez Free).
Dans la journée de jeudi, nous avons eu une panne de courant électrique. Je suppose donc que le nas a rebooté au démarrage.

Je viens de récupérer internet (vendredi 16h30). Je souhaite récupérer des dossiers sur le nas... et là ! Bingo ! Tous mes fichiers sont vérouillés avec 7 zip.
Je viens de lire les pages de ce forum mais je pense que je comprendrais mieux le mandarin littéraire.

Bref, que me conseillez vous de faire.

Merci pour votre aide précieux...