Qnap [ QRescue ] Récupérer les fichiers effacés par un ransomware comme Qlocker (entre autre)

QoolBox

Représentant QNAP
La R&D de Qnap vient de publier QRescue qui permet de récupérer les fichiers effacés par un ransomware comme QLocker

interface Web avec ligne de commande basé sur Photorec

comme annoncé lors du Webinaire du 22/05/2021 et avant première pour Forum des NAS

Le script pour récupérer les structures de fichiers à partir des fichiers 7z et PhotoRec cryptés.

http://download.qnap.com/QPKG/QRescue.zip ( à dézipper avant installation manuel dans l'appcenter)

Manuel d'utilisation (anglais)

Lien Mega : https://mega.nz/file/1sRVjCSI#WPciG9TPdO_bLR7uALT3VFK4VYr4oNZWRQVJ-mZPlro

Lien Google Drive : https://drive.google.com/file/d/1JMz3xTw-_tugQ3TxmWVNCKlCzj4xaK0Y/view?usp=sharing

Remarque : Il est conseillé de préparer un disque dur externe avec 1,5 à 2 fois plus d'espace libre que l'espace de stockage total utilisé sur votre NAS.
l'espace de stockage total utilisé sur votre NAS. De l'espace supplémentaire peut être nécessaire pendant le
processus de récupération. Si l'espace disponible est inférieur à la valeur suggérée, des erreurs et d'autres problèmes peuvent survenir.
peuvent se produire.

:whistle:
 

Ishido

Maître Jedi
Je pense qu'il est important de préciser, que c'est une TENTATIVE de récupération des fichiers effacés. Car pour ma part avec cette méthode, j'ai certain fichiers qui n'ont pas été récupérés, d'autres récupérés mais corrompu et illisible, parfois des fichiers ont été récupérés ( essentiellement des photos ) mais en miniature, et non au format original en plus grande taille, et enfin et heureusement récupération de fichiers tel que l'original ( enfin presque dans le cas de fichiers excel, ils étaient lisibles mais le contenu dataient de 30 jours, alors que les fichiers avaient été modifiés quelques jours avant l'attaque de Qlocker )
 

QoolBox

Représentant QNAP
c'est sur ... à savoir moins il y a d'écriture sur le volume attaqué et plus il y a d'espace libre sur le volume (au moment du cryptage)... plus il y a des chance de ne pas avoir les inodes des fichiers écrasés... et donc de récupérer des données intègres
 

Ishido

Maître Jedi
Récupérer l'arborescence des dossiers / fichiers c'est le top, dommage que j'ignorai que vous bossiez sur ça, j'aurai patienté, au lieu de faire photorec selon le premier tuto, et ensuite formatage et reinstall complet du Nas....
 

mr_dec

Nouveau membre
Bonjour,
J'ai procédé à la récupération de mes données chiffrées à l'aide de QRescue, cependant je souhaiterais savoir si l'ensemble de mes données sont retrouvées et si elles sont bien conformes à l'original (absence de miniatures, fichiers illisibles...)
Le compte rendu ci-dessous généré par QResue permet-il de garantir la complétude des données récupérées et leur qualité?

Merci bien

Code:
2021-07-13 22:51:16,795(INFO) {
    "act": "skip",
    "act_7Z": "/share/CACHEDEV1_DATA/T\u00e9l\u00e9phone R\u00e9mi/20200329_153041.jpg.7z",
    "proceeded_7Zs": 55606,
    "proceeded_%": "100.00%",
    "total_7Zs": 55606,
    "total_recap": 504107,
    "fix": 39786,
    "start_time": "2021-07-13 18:57:33",
    "elapsed": "03:53:43.02",
    "estimated total time": "03:53:43.02",
    "estimated remaining time": "00:00:00.00"
}
2021-07-13 22:51:16,795(INFO) saving all recup file info...
2021-07-13 22:51:29,323(INFO) saving all 7z file info...
2021-07-13 22:51:31,489(INFO) final result={
    "root_7z": "/share/CACHEDEV1_DATA",
    "root_recup": "/share/rescue/recup1",
    "root_restore": "/share/rescue/restore1",
    "all_7z": 55606,
    "fix": 39786,
    "all_recup": 504107,
    "elapsed": "03:53:43.02 (14023.02s)"
 

Backslash69

Nouveau membre
Bonjour,

Je l'ai utilisé sur le NAS de mon père par curiosité et le fait de pouvoir récupérer l'arborescence est vraiment top. Après il y a beaucoup de déchets, heureusement qu'on avait une sauvegarde...

Le disque était peu rempli et le NAS est resté éteint entre l'attaque et la mise à disposition de l'outil. Ça a le mérite d'exister et ça sera certainement apprécié par ceux qui ont tout perdu.

On a renforcé notre stratégie de sauvegarde depuis ...
 

ZSTEPH28

Nouveau membre
Bonjour à tous. BONNE NOUVELLE TOP
Perso, j'ai laissé de côté faute de temps et surtout en espérant un pti coup de pouce comme celui là. Bien expliqué sur le site QNAP la manip. Reste plus qu'à acheter un gros DD ( au moins 6TO ) et faire la mise à jour du Nas avant toute chose. On verra le résultat mais mieux que rien.
Sinon, y a le site Nomoreransom qui peut aussi en intéresser certains. Ca bouge ... et tant mieux pour les victimes.
 

papapoule

Padawan
Bonjour,

Je me lance à tenter de récupérer mes donnés suite à l'attaque sur mon NAS du 6 janvier 2022.
Je vais tenter de récupérer ma partition nommée "PC" (une des partitions sur les 5) qui fait 22,23 Gb sur une clé USB de 32Gb.

Je commence à suivre le tuto de QRescue, et je me trouve déjà bloqué à la page 5.
En effet, après avoir insérée la clé USB dans le NAS, formatée en EXT4 et nommée "rescue" (via Stockage et Snapshots", je dois vérifier le nom de la clé via "File Station" et y créer un dossier "recup1".
Sauf que dans File Station, je ne trouve pas la clé USB, elle est non visible, alors que je la voie bien via Stockage et Snapshots !
Avez-vous une idée d'où ça peut venir ?

Capture.PNG

Capture1.PNG
Message automatiquement fusionné :

Bon je n'arrive toujours pas à accéder à la clé USB vis File Station, même après un redémarrage du NAS.
Et pourtant elle est visible
Capture.PNG
mais lorsque je clique dessus pour l'ouvrir, ça m'ouvre bien FileStation mais sur Multimédia, et la clé n'est toujours pas visible.

Capture1.PNG

Je ne sais pas quoi faire, comment faire.
Avez-vous une idée ?
 
Dernière édition:

Ben-

Nouveau membre
Bonjour,

je viens de m'apercevoir que j'ai subit le viol de mes données sur mon QNAP.

J'ai lu un peu tout....
1/ ça semblait bon car mon NAS m'indique être booté depuis plus de 60 jours et cela c'est passé le 05 janvier dernier.
2/ je n'arrive pas à me connecter en SSH dessus, je n'ai que des "Connection refused" alors que les paramètres semblent bons :( (je parle des paramètres du NAS pas ceux de ma connexion. J'utilisais un outil pré-réglé qui me connectais en SSH auparavant mais ne l'utilisais plus depuis... et il veux pas s'y connecter lui non plus)
3/ je ne trouve pas de fichier log dans le dossier public pour 7z :(

Je ne compte pas rebooter le NAS pour le moment et j'ai coupé toutes entrées ou sorties vers le web - je pense ...
Avant d'utiliser QRescue je préfère écrire ici et avoir quelques retours pour voir comment je peux faire pour remettre en service SSH afin de pouvoir y taper quelques lignes de codes pour voir si j'obtiens quelques résultats.
Pour info mon NAS n'a pas été complètement saccagé car il me reste toutes les vidéos et quelques mp3 qui n'ont pas été zippés. M"enfin j'suis dég car j'ai des années de sauvegarde photos perso et fichiers de travail :(

Merci d'avance pour vos retours !
 

webmail

Modérateur
Membre du personnel
pour le ssh tu as vérifié si c'était toujours autorisé par tes paramètres?
 

Ben-

Nouveau membre
pour le ssh tu as vérifié si c'était toujours autorisé par tes paramètres?
Bonjour Webmail et merci pour ton retour.

J'ai plusieurs fois vérifié - j'étais aussi tombé sur cette page qnap - mais malgré les tests en changeant les paramètres, rien n'y fait. Comme si le fichier système qui gère le SSH avait été touché. Je devrais essayer d'y aller en Telnet pour voir si cela fonctionne. Je ferais les tests en soirée. Mon NAS est pour l'instant débranché du réseau tant que je n'y touche pas 👍

To be continued ! Bonne journée.
Message automatiquement fusionné :

Bon pour info : j'ai fait le début du tuto de chez Qnap à savoir :
Installer QRescue puis le lancer.
Lancer photorec ... ça a mouliné 2 jours
Là j'ai tout plein de dossiers sur le disque de "rescue" mais impossible de lancer la suite, c'est à dire : qrescue.sh :(
L'application me demande de choisir entre le disque 1 - 0
et de mettre 1 ou 0 ou 2 ou n'importe quoi, cela reviens à la même question :(

Capture d’écran 2022-01-20 à 20.58.58.png

Je n'ai pas osé rebooter le NAS encore.
Pour info, il est toujours impossible de me lancer sur une connexion SSH.
Vu que QRescue est un terminal, j'en ai profité de voir comment relancer les services, etc... mais rien n'y fait :(

Relance-je le NAS ??
 
Dernière édition:

ALFBREIZH

Nouveau membre
Bonjour,

Je viens de subir cette joyeuse attaque et après m'être rassuré en trouvant les différents outils et méthodes en place pour décrypter les fichiers j'ai malheureusement déchanté....

Impossible d'installer Qrescue, l'installation s’arrête lors de la recherche automatique de mise à jour. J'ai suivi la procédure de Qnap pour vérifier les paramètre de connexion pour les MAJ et même les régler à la main sans succès. De même j'ai continué le paramétrage pour passer en mode NAS isolé pour ne pas faire la recherche automatique des paquets mais rien n'y fait.

Procédure suivie:https://www.qnap.com/en/how-to/faq/...t-app-update-information-online-notifications

En plus impossible de me connecter en ssh, le socket est fermé (vérification faite avec nmap) et même en déplacement le port et en réarmant le service rien n'y fait (idem pour telnet).

Je n'ai pas rebooté mon NAS depuis l'attaque, mon NAS est un QNAP-253A sous QTS5.0.

Quelqu'un a une idée pour que je puisse accéder à un terminal su mon NAS?

Merci
 
Haut Bas