Vous utilisez un navigateur obsolète. Il se peut qu'il n'affiche pas correctement ce site ou d'autres. Vous devez le mettre à niveau ou utiliser un navigateur alternatif.
(...) Personnellement, mon NAS est exposé sur Internet et il reçoit plus de 1500 tentatives de connexions journalière toutes bloquées par mon firewall. Celles qui arrivent à passer cette protection sont bloquées par une autre protection. Cela étant, j'ai 5 % de malchance que l'attaque aboutisse. Jusqu'à présent, mon NAS est toujours passé au travers. Pourvu que ça dure
Bon courage à vous et je souhaite un prompt rétablissement aux NAS impactés.
Ca m'intéresse : qu'est-ce que tu utilises comme solution de firewall ? Tu filtres le niveau 3/4 ou tu vas plus haut, au niveau applicatif (mod security pour Apache peut-être, https://fr.wikipedia.org/wiki/Web_application_firewall) ? Parce que là, même si la CVE a été publiée avant l'attaque, c'est quasi un zéro Day. Et s'il s'agit d'une injection de code, un firewall basique n'y verra pas grand chose.
Et si c'est trop chaud, je veux bien les infos en message privé. Merci !
Allez, il fait encore beau aujourd'hui
(...)
Mais bon on digresse ( et la aussi j'ai ma part de responsabilité ) et revenons a nos moutons.
Est ce que quelqu’un a entendu parler d'une solution autre que celle décrite par Ishido dans son topic de synthése ( grand merci a lui pour l'idée et les liens ) , notamment pour ceux qui ont eux l'infortune ou de redémarrer ou de voir le processus de crytptation allez a son terme et qui n'ont donc pas accès au fameux code ?
Peut-être créer un fil (qui existe peut-être déjà ?) sur la sécurisation de son NAS ?
J'ai opté pour une mise à jour auto des applications. Tant pis pour les régressions. Et j'ai supprimé l'accès externe à la webUI. Je passerai par le VPN ou un proxy socks si je veux y accéder de l'extérieur. Pour le moment en tout cas.
Mes meilleures pensées accompagnent ceux et celles qui sont dans la panade.
Pour ma part je suis en colère contre Qnap et moi même.
Moi même car j'avais bien mis en place des procédures de sauvegardes ( 2 différentes ), avant de me rendre compte qu'elles ne fonctionnent plus depuis des mois, sans que j en sois alerté. Je m en veux de ne pas avoir vérifié régulièrement ( tout fonctionnais parfaitement j'ai vérifié l automatisation et le bon fonctionnement du backup pendant des semaines au début et tout était Ok, j'ai donc plus passé mon temps à vérifier , grosse connerie )
Et contre Qnap, car me dire qu'ils ( Qnap Taiwan ) ont fait le job, c'est indéfendable. L'attaque est d'une ampleur mondiale et c'est pas juste 2 ou 3 bugs en conséquences mais perte des data avec chantage et rançon.
Je passe pas mon temps sur Facebook, ou aller sur les sites des fabricants pour avoir les dernières news, et je me connecte pas à Qts tous les jours.
Qnap nous envoi de la pub quasi chaque semaine sur nos mails enregistrés sur le nas pour nous vanter de nouveaux produits, mais en cas d'attaque mondiale sur leurs Nas, 0 mail, voir même Sms ( mon mobile est enregistré ), ce n'est pas normal.
Envoyer un mail, ça ne coûte pas des millions de $ à l'entreprise. De plus j'ai souvenir au début quand j'ai eu mon Qnap ( 2017 ) avoir reçu un mail d'alerte de la part de Qnap, pour mettre absolument à jour le firmware car une faille critique était détectée, c'est donc possible, et même si certain ne réagiront pas, ça augmente tout de même le nombre de Nas mis à jour plus rapidement.
Je ne sais pas si Qnap aura une solution pour décrypter, mais je n'y crois pas trop vu la longueur de la clé de cryptage, donc je pars du principe que c'est mort pour mes data. Mais on est tous très nombreux à attendre une réponse ( j'espère Lundi ? ) pour savoir si on peux reboot OUI ou NON le nas, comme nous le demande Malware Remover, sachant que le cryptage sur mon nas n'est plus en cours ( les data cryptées sont toujours cryptées mais il n'y a plus de nouvelles data cryptées ).
Un célèbre adage dit : je ne perd jamais, sois je gagne sois j'apprends.
La leçon a été violente pour mes data, mais je suis en train de revoir 100% mes procédures de backup et je vais investir dans des hdd et nouveaux services ( certaine Ibm cloud, à voir si je reste chez Ovh )
Bon courage à tous et également à l'équipe FR Qnap.
je relais les informations trouvé chez bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/?p=5173318
Un grand merci à Christophe GRENIER de cgsecurity.org pour les nouvelles étapes et la nouvelle archive testdisk.
https://www.forum-nas.fr/viewtopic.php?f=19&t=15987&p=102864&hilit=testdisk#p102864
original
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22#entry5171398
je relais les informations trouvé chez bleepingcomputer.com
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/?p=5173318
Un grand merci à Christophe GRENIER de cgsecurity.org pour les nouvelles étapes et la nouvelle archive testdisk.
https://www.forum-nas.fr/viewtopic.php?f=19&t=15987&p=102864&hilit=testdisk#p102864
original
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-22#entry5171398
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
<USERNAMEOFREMOTECOMPUTER> est ton compte Windows
XXX.XXX.XXX.XXX est l'adresse IP de ton PC windows sur lequel tu as créé ton partage
<NAMEOFYOURSHARE> est le nom du partage
Pour rappel, il faut que ton compte Windows soit protégé par un mot de passe
Il sera requis pour y accéder depuis le QNAS.
Je viens de faire le constat des dégâts de cette attaque sont mon NAS 4To et je pense avoir eu de la chance :
J'ai fait une recherche sur mon NAS de tous les fichiers *.7z et j'en ai trouvé 12 028 pour 5,79Go de données compressées
J'ai fait une recherche sur mon NAS de tous les fichiers !!!READ_ME.txt et j'en ai trouvé 1964
J'ai trié ces fichiers par date pour me rendre compte que le premier date du mercredi 21/04 à 23h35 et le dernier du jeudi 22/4 à 1h27 soit un peu moins de 2h de cryptage
Malware remover a détecté le malware MR2102 le vendredi 23/04 à 3h durant son scan journalier
Je me suis rendu compte du problème vendredi 23/04 vers 9h
Malware remover m'a proposé la dernière mise de l'application le vendredi 23/04 dans l'après midi
J'ai donc 3 questions :
Pourquoi chez moi le cryptage n'a duré que 2h ?
Pourquoi Malware remover n'a detécté le malware que dans son scan du vendredi et non dans celui du jeudi alors que le mal était déjà fait ?
Pourquoi QNAP n'a libéré la mise à jour de Malware remover le vendredi après-midi alors que nous étions tous entrain de chercher des solutions ?
Bonjour
Mon NAS a été complètement infecté ( application personnel) , pour le moment j'ai uniquement changé les ports.
Je ne suis pas informaticien , j'ai choisi QNAP pour la simplicité.
J'attends vraiment une prise en main total de ce problème qui est la responsabilité de l'entreprise QNAP .
J'imagine que les équipes sont à 200% sur le sujet et c'est pour cela qu'i faut je pense, un peu de temps pour une solution.
Je suis confiant et j'espère ne pas me tromper.
Je ne me suis d'ailleurs pas rendu compte de l'attaque avant aujourd'hui. Je trouve effectivement un peu limite, la communication de QNAP sur le sujet.
Ils savent effectivement envoyer beaucoup de mail pour de la PUB (pour des serveurs avec des capacités énormes pour des grosses entreprises, alors qu'on a un NAS Perso 2 disques..), mais communiquer sur une attaque d'envergure, là, pas de son pas d'image...
Bref, dans mon malheur, ma synchro QNAP n'etait pas effective, mais pour ma copine, elle perd actuellement pas mal de choses.
Malware supprimé par MR, Nas non rebooté, accès a distance supprimé.
En attente d'une solution de décryptage.
question mais si on veut tout supprimer et que l'on avait une sauvegarde ailleurs qui est ok , y a t il un risque de se faire de nouveau crypter les données ?
ce virus se trouve t il a la racine ou y a t'il 0 risques ?
auquel cas je reformate tous mes disques et repart de 0
Bonjour
Mes 2 Nas ont été infectés, je n'ai pas suivi les recommandation car mon premier reflexe a été de tout coupé et ensuite de voir la démarche.
Cependant après redemarrage, je constate les dégats suivant :
-Celvin Q700, Photo/documents 100% cryptés mais musiques/vidéo épargnés a 99% (pas d antimalware)
-TS351 Photo/documents/musiques 100% crytés mais dossier video épargné à 99% malware removal à détecté la menace et l'a supprimé un peu tard...
le 3eme disque qui contenait une sauvegarde de "document et photo" a vu ses backups cryptés a l'exception d'un, ce qui m'a permis de remettre l'ensemble en état rapidement après mise a jour des applications et du firmware.
j'avais aussi activé le snapshoot sur le 3eme disque..... d'une totale inefficacité visiblement.
Etant presque parano il me restait une sauvegarde recente sur hdd externe ainsi qu'une autre sur le pc.
j'espère que Qnap retiendra la leçon et fera le nécessaire afin d'éviter que cela se reproduise.
ça serai bien qu'ils publient la solution ( et les conditions techniques à avoir / prévoir pour que ça fonctionne ) avec testdisk en Français car le tuto est entièrement en anglais, perso je ne comprend pas.
Sinon on fais une petite cagnotte pour Fx pour une vidéo en Français, on le sponsorise lol :-D
Cette saloperie de Malware soi disant supprimé de mon Nas, à priori ne l'est pas ou est revenu. Je ne comprend pas comment vu que j'ai normalement supprimé l'accès au nas depuis l'extérieur et fais les mises à jours des applications ( pas du firmware car obligation de reboot, j attend toujours les consignes de Qnap )
Mais j'ai vu qu'il y a une mise a jour de music station et j'imagine que c'est une nouvelle rustine pour lutter contre les infections mise par Qnap.
Donc j'ai fait deux tour de malware remover et la mise a jour de music station
La je vais mettre le NAS hors ligne et donc en quarantaine de net pendant une dizaines de jour. Le temps que Qnap puisse avoir une réponse un peu plus structurer que celle qu'il nous fournisse actuellement.
Sans le redémarrer cependant des fois que ...
Courage a tout ceux qui se débattent dans ce bourbier et surtout a ceux qui professionnellement ne peuvent pas se permettre de quarantaine.
J'ai fait comme toi.
Détection du malware
Mise à jour de Music
Plus de détection du malware...
Je pense que je vais aussi enlever le cable ethernet sans éteindre.
Par contre si on fait ça et que le malware tourne, on ne sera pas alerté et on ne peut rien vérifier.....
Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré
Je teste la procédure en ce moment de testdisk avec photorec. J'ai pu récupérer des photos. Par contre, c'est tres long et il va falloir les trier. J'en ai pour au moins deux jours
https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-23
J'ai traduit en francais si ca peut aider.
1. Créer un répertoire partagé sur windows (ca doit marcher sur linux ou mac)
Vous devez utiliser votre compte windows ou en créer un nouveau. je vous conseille de créer le répertoire partager sur un disque dur externe relié avec windows car cela prends de la place.
2. Connectez vous en ssh avec le logiciel putty avec le compte admin du nas
3. Apres le login,Vous avez un menu. Pressez la lettre 'Q'. (Confirm it with 'Y') pour rentrer sur le shell. Prompt #
4. Création du répertoire et montage du répertoire vers votre windows. Vous devez changer mettre votre utilisateur windows et l'adresse ip et le chemin de votre repertoire partagé.
mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<VOTREUTILISATEURWINDOWS> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share
Pour que votre sauvegarde soit externe, mettez vous bien dans le repertoire /mnt/rescue-share ( derniere commande cd)
5. Savoir si vous avez un nas en 64 bits(x86_64) ou 32 bits (i386) avec la commande "uname -a"
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux
6. Suivant le résultat du uname -a , télécharger la version adéquate
14. Chossisez le repertoire de destination des fichier recuperer et appuyer sur la lettre c pour commencer Vous devriez etre dans le repertoire de destination /mnt/rescue-share
15. Attendez et retrouver les fichiers recupéres dans les repertoires 'recup_dir.X' sur votre windows dans votre repertoire partagé
il me restait une sauvegarde recente sur hdd externe ainsi qu'une autre sur le pc.