Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe

Pour les personnes qui se posent encore la question, la commande ps | grep 7z retourne une ligne correspondant au process ps exécuté.
La ligne retournée comporte par ailleurs grep :
1741 admin 972 S grep 7z
Pour visualiser tous les process 7z sans votre commande ps , il faut utiliser cette commande :
ps | grep 7z | grep -v grep
=> Je pense que c'est cette commande qui aurait dû être sur la première page pour constater l'exécution en cours de 7z.

Comme beaucoup d'entres-vous, je n'ai pas réussi à récupérer mon mot de passe.
Par contre, j'utilise la solution de bleeping présentée à la page 4 le 23 avr. 2021 11:34 https://www.forum-nas.fr/viewtopic.php?p=102864#p102864
Le point 16. sort the results (HAVE FUN xD) peut faire un peu sourire :
J'ai récupéré 250k fichiers à mi-chemin après 24h de traitement.
1) C'est très long
2) Le nom d'origine des fichiers n'existe plus, il est générique.
3) l'extension des fichiers est correctement récupérée.
Au final, je récupère énormément de fichiers, mais il va falloir beaucoup de patience pour les trier...
 
Vazaha974 a dit:
Comme beaucoup d'entres-vous, je n'ai pas réussi à récupérer mon mot de passe.
Par contre, j'utilise la solution de bleeping présentée à la page 4 le 23 avr. 2021 11:34 https://www.forum-nas.fr/viewtopic.php?p=102864#p102864
Le point 16. sort the results (HAVE FUN xD) peut faire un peu sourire :
J'ai récupéré 250k fichiers à mi-chemin après 24h de traitement.
1) C'est très long
2) Le nom d'origine des fichiers n'existe plus, il est générique.
3) l'extension des fichiers est correctement récupérée.
Au final, je récupère énormément de fichiers, mais il va falloir beaucoup de patience pour les trier...
Cliquez pour agrandir...

Tu serais faire un tuto en Français pour cette méthode ? ( tu deviendrais une légende, on chanterai tes exploits encore dans 1 siècle :p )
Tu avais les prérequis ?
FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK
Cliquez pour agrandir...

Merci
 
bonsoir

j'ai un test_disk en cours sur un hdd de 4TO, ca va être long, et la récupération sera brute donc des heures et des heures de tri ^^

Pouvez vous m'expliquer pourquoi les snapshots sont vide ??

Merci aux experts ;)
 
Ishido a dit:
Vazaha974 a dit:
Comme beaucoup d'entres-vous, je n'ai pas réussi à récupérer mon mot de passe.
Par contre, j'utilise la solution de bleeping présentée à la page 4 le 23 avr. 2021 11:34 https://www.forum-nas.fr/viewtopic.php?p=102864#p102864
Le point 16. sort the results (HAVE FUN xD) peut faire un peu sourire :
J'ai récupéré 250k fichiers à mi-chemin après 24h de traitement.
1) C'est très long
2) Le nom d'origine des fichiers n'existe plus, il est générique.
3) l'extension des fichiers est correctement récupérée.
Au final, je récupère énormément de fichiers, mais il va falloir beaucoup de patience pour les trier...
Cliquez pour agrandir...

Tu serais faire un tuto en Français pour cette méthode ? ( tu deviendrais une légende, on chanterai tes exploits encore dans 1 siècle :p )
Tu avais les prérequis ?
FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK
Cliquez pour agrandir...

Merci
Cliquez pour agrandir...

Le lien https://www.forum-nas.fr/viewtopic.php?p=102864#p102864 renvoie vers le tuto en français sur cette discussion.
C'est ce tuto que j'ai suivi (et je n'aurai jamais pensé à cette solution)
Si il y a une étape que tu ne comprends pas, je peux essayer d'expliquer d'une autre manière.
Pour les prérequis, j'ai :
- Couper tout accès internet sur mon NAS
- Couper la synchronisation des téléphones
- J'ai malheureusement ajouté 3 fichiers et supprimé 1 fichier sur le QSYNC. Depuis, je n'y fais plus rien tant que le traitement de récupération des fichiers est en cours.
Par rapport à ce dernier point, l'impact devrait être minime.

Pour ma part, j'ai 2 disques de 10To en raid 1... j'en ai encore pour minimum 1,5 jours
 
Kana a dit:
Par contre cela à supprimer mes snapshots... mais depuis le scan malware remover les snapshots ont bien repris

Kana
Cliquez pour agrandir...

Bonsoir,
Je suis dans le même cas, les snapshots antérieurs à l'attaque sont tous vides...
Y a-t-il une solution pour les récupérer ou, pour le futur, les sauvegarder automatiquement ?
 
Kana a dit:
Bonjour à tous,

Pour ma part je n'ai eu que des intrusions dans le répertoire public et quelques autres dans le répertoire home.
Tous mes répertoires partagés ne sont pas zippés je peux y accéder normalement.
Par contre cela à supprimer mes snapshots... mais depuis le scan malware remover les snapshots ont bien repris
J'ai lancé la cde "ps | grep 7z" pas de processus en cours, j'ai mis à jour les appli, lancer malware remover qui a effectivement trouvé quelque chose mais je n'ai pas pas encore
redémarrer le NAS ni fait la mise à jour firmware. Sachant que le processus ne semble pas en cours pensez-vous que je puisse redémarrer le NAS ?

Kana
Cliquez pour agrandir...

Re-bonsoir,
Pour ma part j'ai redémarrer le NAS et mis à jour le firmware, pas de problème. Tout est à jour et tout est accessible. Pour info sur les NAS que j'avais (7 clients) 2 étaient infectés. La différence avec les autres NAS hormis des versions de firmware différentes et les apllis pas à jour, c'était le port 8080 que j'avais laissé par défaut (une erreur) sur les autres j'avais déjà bien changé le port. Tous mes NAS sont accessible via internet mais je change tous les ports et désactive tous les services inutiles. Je désactive également le compte admin après avoir créé un user admin à moi.
Après je sauvegarde tout mais on voit aujourd'hui que même les sauvegardes peuvent être corrompues... Sinon un truc pas chère pour la sauvegarde cloud : Backblaze B2
J'espère que ça suffit mais si d'autre ont des suggestions ils sont les bienvenus. Après ceux qui me disent de le déconnecter du net pour la sécurité non merci sinon je prendrais pas un NAS autant prendre des disque dur USB...

On lâche rien Qnap devra rendre des comptes ! :cool:
++
 
AntoineMasselot a dit:
Hello,
On mets quel port à part 8080 ?
8081, 8082, autre ??
Ça n'a pas d'importance ??
A++
Cliquez pour agrandir...

Perso j'ai mis mon année de naissance :D après faut juste bien penser à rajouter le numéro du port à la fin de ton adresse.
 
Merci,
Bon mon port était bien changé mais j'ai tout de même était attaqué !
Finalement l'attaque vient d'où ?
Myqnapcloud ?
Mise à jour ?
A++
 
saeba a dit:
Kana a dit:
Par contre cela à supprimer mes snapshots... mais depuis le scan malware remover les snapshots ont bien repris

Kana
Cliquez pour agrandir...

Bonsoir,
Je suis dans le même cas, les snapshots antérieurs à l'attaque sont tous vides...
Y a-t-il une solution pour les récupérer ou, pour le futur, les sauvegarder automatiquement ?
Cliquez pour agrandir...

Tu peux faire une sauvegarde des snapshots, tu as l'option "snapchots replica" et sinon lorsque qer tu es dans la vue des snapshots en haut au niveau des icônes tu as "exporter" pour les mettre sur un disque usb ou autre...
 
AntoineMasselot a dit:
Merci,
Bon mon port était bien changé mais j'ai tout de même était attaqué !
Finalement l'attaque vient d'où ?
Myqnapcloud ?
Mise à jour ?
A++
Cliquez pour agrandir...

Pour l'attaque on sait pas encore...
Tu as aussi changé le port 443 et désactivé tous les services inutiles comme le server web par exemple ?
 
AntoineMasselot a dit:
Port 443 changé aussi
J'ai peut être effectivement des services inutiles...
Cliquez pour agrandir...

Si les ports ont été changés, a priori, ça vient pas d'un scan de vulnérabilité comme il y en a tous les jours. C'est plus grave. Faut pas hésiter à monter assez haut dans les ports. Après on peu pas aller au-delà de 65535. Petite page Wikipedia à lire : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
 
Marmitte a dit:
Ok. QNAP a fournis au hacker comment procéder en l’affichant sur leurs site si j'ai tout saisis ?
Cliquez pour agrandir...

Non, mais QNAP a averti de la faile critique il y a 1 semaine en demandant de mettre a jour .
De plus cela reste une supposition, par rapport a ce que j'ai pu lire un peu partout sur internet a ce sujet. Je n'affirme pas que ce soit cette faille qui soit utilisé.

We have already fixed this vulnerability in the following versions of Multimedia Console and the Media Streaming add-on.

QTS 4.3.3: Media Streaming add-on 430.1.8.10 and later
QTS 4.3.6: Media Streaming add-on 430.1.8.8 and later
QTS 4.4.x and later: Multimedia Console 1.3.4 and later

We have also fixed this vulnerability in the following versions of QTS 4.3.3 and QTS 4.3.6, respectively:

QTS 4.3.3.1624 Build 20210416 or later
QTS 4.3.6.1620 Build 20210322 or later

Recommendation

To fix the vulnerability, we recommend updating Multimedia Console or the Media Streaming add-on to the latest version. Additionally for devices running QTS 4.3.3 and QTS 4.3.6, updating QTS is highly recommended.
Cliquez pour agrandir...
 
Merci de ta réponse Evotk

Cependant si cette faille a été utiliser, on y indique tout de même ou chercher pour rentrer dans les NAS dans le lien que tu a mis. Et comment procéder a mon sens, notamment dans la partie CAPEC.

Alors c'est de l'hébreu pour un profane comme moi.
Mais j'imagine que pour des esprits plus leste ( et mal tourner ) en informatique, ça donne suffisamment d'indication sur le OU et COMMENT.
 
Marmitte a dit:
Merci de ta réponse Evotk

Cependant si cette faille a été utiliser, on y indique tout de même ou chercher pour rentrer dans les NAS dans le lien que tu a mis. Et comment procéder a mon sens, notamment dans la partie CAPEC.

Alors c'est de l'hébreu pour un profane comme moi.
Mais j'imagine que pour des esprits plus leste ( et mal tourner ) en informatique, ça donne suffisamment d'indication sur le OU et COMMENT.
Cliquez pour agrandir...

Ce n'est pas un bon raisonnement. La CVE est une liste publique de failles de sécurité informatique. Elle a pour but d'aider les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des systèmes informatiques. Tu ne retrouveras jamais de données techniques permettant d'exploiter la faille. QNAP a fait le job. A partir du moment où la faille a été révélée, QNAP nous a proposé une rustine. L'herbe n'est pas plus verte ailleurs. Il y a juste à regarder du côté de chez Microsoft. Des CVE, il y en a plusieurs par mois. Sur ce coup-là, QoolBox a été assez réactif coté support pour aider la communauté. Merci à lui.

J'entends les voix de mécontentement qui s'élèvent contre QNAP mais est-ce les seuls responsables ? Pour ma part, je ne le pense pas, en tant qu'utilisateur, nous avons également notre part de responsabilité que ce soit en termes d'utilisation que de sécurité. J'entends encore des personnes qui vont me dire, oui mais tu sais, je ne suis pas technique. C'est vrai, nous n'avons pas tous le même niveau mais le Forum des NAS et le site officiel QNAP regorgent de topics ou de FAQ dédiés à la sécurisation des NAS. Si tu suis la plupart de ces recommandations, tu réduits de près de 95 % le fait de te faire attaquer. Personnellement, mon NAS est exposé sur Internet et il reçoit plus de 1500 tentatives de connexions journalière toutes bloquées par mon firewall. Celles qui arrivent à passer cette protection sont bloquées par une autre protection. Cela étant, j'ai 5 % de malchance que l'attaque aboutisse. Jusqu'à présent, mon NAS est toujours passé au travers. Pourvu que ça dure :geek:

Bon courage à vous et je souhaite un prompt rétablissement aux NAS impactés.
 
J'entend Coeur 51.

Et je veux bien prendre toute ma part et notamment le fait que j'ouvre pas systématiquement tout les jours ma page d'administration de mon NAS. J'ai donc raté ces mises a jours en temps et en heure, ce qui induit effectivement une carence de mon coté.

Mais je le répète. Dans l'usage que j'en est, il n'y a rien qui justifie une veille systématique et impérieuse de mon matériel. Je pense a mon niveau, avoir suivi les recommandations minimum. Changer les mots de passe, etc etc. Et je m'excuse, dans ce j'en lit ailleurs il y a bien plus futé que moi qui c'est fait impacté.

Je conçois la nécessité de cette liste publique et j'en vois la nécessité. Mais je ne peux m’empêcher de relever et de penser que en 3, 4 jours, un groupe de personnes mal intentionné est pus échafauder cette attaque a partir de ce signalement. La faille étant d'envergure et concernant des millions de NAS, vue le niveau colossal du banc de poisson, en chalutant, les filets allait forcement se remplir ...

Au delà de cette publication, et même si tu estime qu'il ont fait le job, je rejoint Bigorno sur l'empressement de Qnap ( en réponse a JujuY page 9) a vouloir publier des mises a jour .

Le mieux est bien souvent l'ennemi du bien. Et se hâter lentement est parfois une vertu.

Mais bon on digresse ( et la aussi j'ai ma part de responsabilité ) et revenons a nos moutons.

Est ce que quelqu’un a entendu parler d'une solution autre que celle décrite par Ishido dans son topic de synthése ( grand merci a lui pour l'idée et les liens ) , notamment pour ceux qui ont eux l'infortune ou de redémarrer ou de voir le processus de crytptation allez a son terme et qui n'ont donc pas accès au fameux code ?
 
bonjour,
ce que je constate seul la game TS-x53x a été touché processeur x86?
j'ai deux nas sur trois infecté , un le 21/04 et l’autre le 22/04, il n'a que zipper web ,public et homes. j'ai eu beaucoup de chance. le troisième est éteint depuis le 19/04
seul le port de l'administration web était ouvert et modifier.
malware remover la supprimer 8 heures après la contamination MR2102. et l’autre 24h.
j'en ai 40 de la game TS-x31x configurer de la même manière avec des firmwares différent de 4.3.4 a 4.5.2 et aucune trace de 7z.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour