Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe

[FX Cachem]

Bref, que me conseillez vous de faire.

Contacte le support QNAP https://service.qnap.com/fr-fr L'équipe est sur le front et multiplie les interventions à distance. Bravo à eux et bon courage pour les jours à venir (Ratana et Stéphane) !

 

[Ishido]

Déjà que c'était pas vraiment le club med pour eux, mais là ça doit être la folie car quand je vois sur le net le nombre de message, c'est mondial...

Tu as été impact Fx ?

 

[JeanPaul]

Bonjour a tous,

Je n'arrive pas à tout comprendre. J'ai procédé aux manips, j'ai l'impression que le process de compression tourne.
j'ai mis toutes le commandes en ssh, et je ne trouve pas le fichier log.

Ce qui est bizarre est que j'ai l'impression que j'arrive à ouvrir tout mes fichiers. Je n'y comprends rien

 

[coeur51]

Un truc tout simple c'est de vérifier si vous avez un fichier nommé !!!READ_ME.txt

cd ..
find -iname "!!!READ_ME.txt"

Si vous ne trouvez pas ce fichier, c'est que vous n'êtes pas (encore) infecté

 

[JeanPaul]

Un truc tout simple c'est de vérifier si vous avez un fichier nommé !!!READ_ME.txt

cd ..
find -iname "!!!READ_ME.txt"

Si vous ne trouvez pas ce fichier, c'est que vous n'êtes pas (encore) infecté

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

 

[coeur51]

Un truc tout simple c'est de vérifier si vous avez un fichier nommé !!!READ_ME.txt

cd ..
find -iname "!!!READ_ME.txt"

Si vous ne trouvez pas ce fichier, c'est que vous n'êtes pas (encore) infecté

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

Bas, nickel

 

[JeanPaul]

Un truc tout simple c'est de vérifier si vous avez un fichier nommé !!!READ_ME.txt

cd ..
find -iname "!!!READ_ME.txt"

Si vous ne trouvez pas ce fichier, c'est que vous n'êtes pas (encore) infecté

Bas, nickel

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

Qu'est ce que c'est que ces chiffres quand je tape cette commande alors ?
[/] # ps | grep 7z
5650 admin 1020 S grep 7z

Merci. Je suis en train de tout sauvegarder sur un disque externe.

 

[LoicDauv]

Bref, que me conseillez vous de faire.

Contacte le support QNAP https://service.qnap.com/fr-fr L'équipe est sur le front et multiplie les interventions à distance. Bravo à eux et bon courage pour les jours à venir (Ratana et Stéphane) !

Merci ! Je l'ai fait...

Pour information, le répertoire musique a disparu de mon nas (mais si ce n'est que cela... ce n'est pas grave).
Et j'ai trouvé un fichier en date du 22/04/2021... qui n'est pas de moi... Il se nomme : ulog_HeadlightsCC_AppCrash__c0473737-af26-49bd-b35c-ad40352f31dd_0.xml

 

[pierreaxel.vp]

Bas, nickel

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

Qu'est ce que c'est que ces chiffres quand je tape cette commande alors ?
[/] # ps | grep 7z
5650 admin 1020 S grep 7z

Merci. Je suis en train de tout sauvegarder sur un disque externe.

Nous sommes plusieurs à nous poser cette question de la signification de ce message :
"[/] # ps | grep 7z
5650 admin 1020 S grep 7z"

Si quelqu'un à la réponse est-il possible de l'ajouter au premier post afin que nous puissions savoir ce que ça veut dire.

J'ai l'impression que nous sommes nombreux à réussir à faire la manipulation mais beaucoup moins à déchiffrer ce qu'il en résulte

Merci !

 

[piko]

Un truc tout simple c'est de vérifier si vous avez un fichier nommé !!!READ_ME.txt

cd ..
find -iname "!!!READ_ME.txt"

Si vous ne trouvez pas ce fichier, c'est que vous n'êtes pas (encore) infecté

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

Bas, nickel

Attention, je n'en serais pas si sur, car je suis bien infecté, j'ai bien des README dans chacun de mes dossiers touchés, mais je n'ai aucun retour quand je fais cette commande...

 

[Ishido]

Tu vois vite si tu es infecté, tu as des fichiers Read me ! à la racine des dossiers, et les fichiers dans les dossiers sont en .7z ( comme un zip ) , et si tu tentes de les décompresser on te demande un mot de passe.
Peu importe le fichier, si c'est des photos par exemple, tu ne peut plus visionner tes .jpg car en .7z

 

[JeanPaul]

J'ai sondé plusieurs répertoires et je n'ai pas de fichier README...
J'ai ouvert un ticket à l'assistance après avoir lancé le malware.

 

[coeur51]

J'ai tapé comme ça :
[~] # cd ..
f[/] # find -iname "!!!READ_ME.txt"
-sh: !READ_ME.txt": event not found

Bas, nickel

Attention, je n'en serais pas si sur, car je suis bien infecté, j'ai bien des README dans chacun de mes dossiers touchés, mais je n'ai aucun retour quand je fais cette commande...

C'est bien pour ça que dois te mettre à la racine de ton disque

Sinon :

 find -iname "READ_ME.txt"

sans les !!! et toujours à la racine de ton disque

 

[JeanPaul]

voilà
[~] # cd ..
[/] # find -iname "READ_ME.txt"
find: ./proc/4126: No such file or directory

Je suis soulagé, bon j'espère que je ne serai pas attaqué d'ici la mise à jour du firmware

 

[antoine7681]

Bonjour, je pense qu'il faut attendre!! Même si vous avez redémarez le Nas ce qui est mon cas!! Qnap travaille a trouvé un correctif alors oui il faut attendre!! mais ils ont pris conciense de la problématique. Je comprend nous sommes tous bloquer après j'espère une solution rapide!! j'ai 9 to de bloquer donc voila !! je suis par contre d'accord que la faille dois être corriger au plus rapide si quelq'un a une idée je suis prevenur

 

[AntoineMasselot]

Bonjour à tous,

Effectivement QNAP va avoir du boulot.
Malheureusement je ne vois pas comment ils vont pouvoir faire quelque chose pour ceux qui n'ont pas réussi à récupérer la 7z.log contenant le mot de passe.
D'ailleurs il semble que les hackers ont modifié les scripts de leur malware pour que les nouveaux infectés ne puissent plus avoir accès à ce fichier même pendant qu'il est en marche.

Perso J'ai perdu pas mal de truc mais tous mes dossiers n'ont pas été cryptés. J'ai débranché le câble Ethernet du Nas ce matin quand j'ai vu ce qu'il se passait. Je pense que ça a interrompu le cryptage mais ça m'a peut-être empêché de récupérer le mot de passe.

Pour le moment wait and see...

Bon courage à tous

a++

Antoine

 

[Fabien59]

le statement officiel de Qnap

Nous vous recommandons donc fortement de mettre à jour la console multimédia, HBS3 et le module Media Straming Add-on vers la dernière version via l'App Center. Modifiez également le port Web par défaut 8080 (NE SURTOUT PAS REDEMARRER NI ARRETER LE NAS).
Nous publions également une nouvelle politique de suppression des logiciels malveillants, qui analysera l'attaque de rançon et récupérera la clé de cryptage si le cryptage est toujours en cours.
Si vous aviez déjà arrêté / redémarré le NAS ou que le cryptage a été effectué, il n'y a malheureusement pas encore de solution. À ce moment, les données ne seront récupérables que si vous avez déjà effectué une sauvegarde.
Si vous constatez que le cryptage est toujours en cours (NE PAS REDEMARRER OU ARRETER LE NAS), suivez simplement les étapes ci-dessous pour obtenir la clé de cryptage, pendant que le processus est toujours en cours d'exécution.

Methode 1:
Install Malware Remover from APP Center and run it manually;
Connectez vous au nas par ssh:
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
Indiquer l'adresse IP du nas, port par défaut:22 le login admin et son mot de passe, il ne s'affichera pas c'est normal
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh

Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:

cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public

Si la commande «Aucun fichier ou répertoire de ce type» signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour aider;

Si la commande a été exécutée sans problème, vous pouvez voir 7z.log dans le NAS dans le dossier Public, qui comprendra le mot de passe;
Le mot de passe ressemblera à ci-dessous:

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

mFyBIvp55M46kSxxxxxYv4EIhx7rlTD est le mot de passe

rebootez le NAS et utilisez ce password pour décrypter les fichiers:

Si vous ne savez pas comment lire le mot de passe, veuillez nous envoyer le message complet avec le journal de diagnostic du NAS se trouvant dans le "Centre d'assistance".

Methode 2:

Connectez vous au nas par ssh
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:

ps | grep 7z

S'il n'y a pas de 7z, cela signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour vous aider;
Si 7z est en cours d'exécution, copiez / collez la commande ci-dessous et appuyez sur Entrée

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Attendez quelques minutes, utilisez la commande cat:

cat /mnt/HDA_ROOT/7z.log

voici la sortie:

a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD

le mot de passe de décrypage sera:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD

rebootez le NAS et utilisez ce password pour décrypter les fichiers:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD

Bonjour, je rencontre le même soucis que la plupart d'entre vous malheureusement,
je viens d'effectuer la manip ci dessus (METHODE 1 ), et je n'ai pas eu le message d'erreur : «Aucun fichier ou répertoire de ce type» donc je pense que le processus est toujours actif, et que les commandes ont fonctionné, sauf que dans le fichier 7z.log du dossier Public, il n'y a aucun mot de passe dans le fichier 7z.log, qui contient ça :

/usr/local/sbin/7z.orig "x" "-so" "./data.tar.xz"
/proc/12784:/bin/sh
Uid:	0	0	0	0
/proc/465:/bin/sh
Uid:	0	0	0	0
/proc/464:/bin/sh
Uid:	0	0	0	0
/proc/31785:/bin/sh
Uid:	0	0	0	0
/proc/31781:/bin/sh
Uid:	0	0	0	0
/proc/19220:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/proc/9678:/usr/local/sbin/qpkgd
Uid:	0	0	0	0

Si quelqu'un a une explication... Bonne soirée à tous!
PS je n'ai pas redémarré le NAS depuis "l'infection", et le malware a été supprimé automatiquement à 3h du matin via Malware Remover.

 

[bigorno]

Bonjour, je rencontre le même soucis que la plupart d'entre vous malheureusement,
je viens d'effectuer la manip ci dessus (METHODE 1 ), et je n'ai pas eu le message d'erreur : «Aucun fichier ou répertoire de ce type» donc je pense que le processus est toujours actif, et que les commandes ont fonctionné, sauf que dans le fichier 7z.log du dossier Public, il n'y a aucun mot de passe dans le fichier 7z.log, qui contient ça :

/usr/local/sbin/7z.orig "x" "-so" "./data.tar.xz"
/proc/12784:/bin/sh
Uid:	0	0	0	0
/proc/465:/bin/sh
Uid:	0	0	0	0
/proc/464:/bin/sh
Uid:	0	0	0	0
/proc/31785:/bin/sh
Uid:	0	0	0	0
/proc/31781:/bin/sh
Uid:	0	0	0	0
/proc/19220:/usr/local/sbin/qpkgd
Uid:	0	0	0	0
/proc/9678:/usr/local/sbin/qpkgd
Uid:	0	0	0	0

Si quelqu'un a une explication... Bonne soirée à tous!
PS je n'ai pas redémarré le NAS depuis "l'infection", et le malware a été supprimé automatiquement à 3h du matin via Malware Remover.

Pareil ici encore une victime . Mais heureusement, cette merde a pas trop le temps de locker tous mes fichiers : mon NAS est pas violent et j'ai de gros fichiers ! Me reste plus qu'à restaurer (oui j'ai des backups).
Pas de trace du password, ça aurait été trop beau ! A priori la saleté a été éradiquée mais j'hésite à arrêter mon NAS, comme je le fais toutes les nuits. Normalement, à mon stade, ça change rien ?
Bonne nuit à tous, malgré le stress.

 

[Kana]

Bonjour à tous,

Pour ma part je n'ai eu que des intrusions dans le répertoire public et quelques autres dans le répertoire home.
Tous mes répertoires partagés ne sont pas zippés je peux y accéder normalement.
Par contre cela à supprimer mes snapshots... mais depuis le scan malware remover les snapshots ont bien repris
J'ai lancé la cde "ps | grep 7z" pas de processus en cours, j'ai mis à jour les appli, lancer malware remover qui a effectivement trouvé quelque chose mais je n'ai pas pas encore
redémarrer le NAS ni fait la mise à jour firmware. Sachant que le processus ne semble pas en cours pensez-vous que je puisse redémarrer le NAS ?

Kana

 

[Ishido]

C'est la grande question mais pas de réponse sur ce point.

Même si j'ai fais les maj de différentes apps , et que malware remover a viré le malware qui encrypte nos nas, si le firmware n est pas à jour, peuvent ils revenir et recommencer leurs méfaits ?

Mais en même temps on lis partout de ne pas redémarrer le nas, donc pour le moment je n'ai rien redémarré.

Quand tu dis que tes snapshot sont supprimés, tu veux dire qu'ils ne sont plus utilisables ( ou plus présent ) pour récupérer tes data ?

Si malware remover a trouvé MR2102 il a peut être commencé à te crypter des données ( avant sa suppression ), tu as bien vérifié tes dossiers ?