Qnap [ QRescue ] Récupérer les fichiers effacés par un ransomware comme Qlocker (entre autre)

QoolBox

QoolBox

Représentant QNAP
2 Janvier 2014
10 559
163
153
50
France
www.qnap.com
La R&D de Qnap vient de publier QRescue qui permet de récupérer les fichiers effacés par un ransomware comme QLocker

interface Web avec ligne de commande basé sur Photorec

comme annoncé lors du Webinaire du 22/05/2021 et avant première pour Forum des NAS

Le script pour récupérer les structures de fichiers à partir des fichiers 7z et PhotoRec cryptés.

http://download.qnap.com/QPKG/QRescue.zip ( à dézipper avant installation manuel dans l'appcenter)

Manuel d'utilisation (anglais)

Lien Mega : https://mega.nz/file/1sRVjCSI#WPciG9TPdO_bLR7uALT3VFK4VYr4oNZWRQVJ-mZPlro

Lien Google Drive : https://drive.google.com/file/d/1JMz3xTw-_tugQ3TxmWVNCKlCzj4xaK0Y/view?usp=sharing

Remarque : Il est conseillé de préparer un disque dur externe avec 1,5 à 2 fois plus d'espace libre que l'espace de stockage total utilisé sur votre NAS.
l'espace de stockage total utilisé sur votre NAS. De l'espace supplémentaire peut être nécessaire pendant le
processus de récupération. Si l'espace disponible est inférieur à la valeur suggérée, des erreurs et d'autres problèmes peuvent survenir.
peuvent se produire.

:whistle:
 
Je pense qu'il est important de préciser, que c'est une TENTATIVE de récupération des fichiers effacés. Car pour ma part avec cette méthode, j'ai certain fichiers qui n'ont pas été récupérés, d'autres récupérés mais corrompu et illisible, parfois des fichiers ont été récupérés ( essentiellement des photos ) mais en miniature, et non au format original en plus grande taille, et enfin et heureusement récupération de fichiers tel que l'original ( enfin presque dans le cas de fichiers excel, ils étaient lisibles mais le contenu dataient de 30 jours, alors que les fichiers avaient été modifiés quelques jours avant l'attaque de Qlocker )
 
c'est sur ... à savoir moins il y a d'écriture sur le volume attaqué et plus il y a d'espace libre sur le volume (au moment du cryptage)... plus il y a des chance de ne pas avoir les inodes des fichiers écrasés... et donc de récupérer des données intègres
 
Récupérer l'arborescence des dossiers / fichiers c'est le top, dommage que j'ignorai que vous bossiez sur ça, j'aurai patienté, au lieu de faire photorec selon le premier tuto, et ensuite formatage et reinstall complet du Nas....
 
Bonjour,
J'ai procédé à la récupération de mes données chiffrées à l'aide de QRescue, cependant je souhaiterais savoir si l'ensemble de mes données sont retrouvées et si elles sont bien conformes à l'original (absence de miniatures, fichiers illisibles...)
Le compte rendu ci-dessous généré par QResue permet-il de garantir la complétude des données récupérées et leur qualité?

Merci bien

Code: 
2021-07-13 22:51:16,795(INFO) {
    "act": "skip",
    "act_7Z": "/share/CACHEDEV1_DATA/T\u00e9l\u00e9phone R\u00e9mi/20200329_153041.jpg.7z",
    "proceeded_7Zs": 55606,
    "proceeded_%": "100.00%",
    "total_7Zs": 55606,
    "total_recap": 504107,
    "fix": 39786,
    "start_time": "2021-07-13 18:57:33",
    "elapsed": "03:53:43.02",
    "estimated total time": "03:53:43.02",
    "estimated remaining time": "00:00:00.00"
}
2021-07-13 22:51:16,795(INFO) saving all recup file info...
2021-07-13 22:51:29,323(INFO) saving all 7z file info...
2021-07-13 22:51:31,489(INFO) final result={
    "root_7z": "/share/CACHEDEV1_DATA",
    "root_recup": "/share/rescue/recup1",
    "root_restore": "/share/rescue/restore1",
    "all_7z": 55606,
    "fix": 39786,
    "all_recup": 504107,
    "elapsed": "03:53:43.02 (14023.02s)"
 
Bonjour,

Je l'ai utilisé sur le NAS de mon père par curiosité et le fait de pouvoir récupérer l'arborescence est vraiment top. Après il y a beaucoup de déchets, heureusement qu'on avait une sauvegarde...

Le disque était peu rempli et le NAS est resté éteint entre l'attaque et la mise à disposition de l'outil. Ça a le mérite d'exister et ça sera certainement apprécié par ceux qui ont tout perdu.

On a renforcé notre stratégie de sauvegarde depuis ...
 
Bonjour à tous. BONNE NOUVELLE TOP
Perso, j'ai laissé de côté faute de temps et surtout en espérant un pti coup de pouce comme celui là. Bien expliqué sur le site QNAP la manip. Reste plus qu'à acheter un gros DD ( au moins 6TO ) et faire la mise à jour du Nas avant toute chose. On verra le résultat mais mieux que rien.
Sinon, y a le site Nomoreransom qui peut aussi en intéresser certains. Ca bouge ... et tant mieux pour les victimes.
 
Bonjour,
QRescue ne veut pas s'installer chez moi. Peut-être une QTS trop ancienne (4.3.4) ?
 
Bonjour,

Je me lance à tenter de récupérer mes donnés suite à l'attaque sur mon NAS du 6 janvier 2022.
Je vais tenter de récupérer ma partition nommée "PC" (une des partitions sur les 5) qui fait 22,23 Gb sur une clé USB de 32Gb.

Je commence à suivre le tuto de QRescue, et je me trouve déjà bloqué à la page 5.
En effet, après avoir insérée la clé USB dans le NAS, formatée en EXT4 et nommée "rescue" (via Stockage et Snapshots", je dois vérifier le nom de la clé via "File Station" et y créer un dossier "recup1".
Sauf que dans File Station, je ne trouve pas la clé USB, elle est non visible, alors que je la voie bien via Stockage et Snapshots !
Avez-vous une idée d'où ça peut venir ?

Capture.PNG

Capture1.PNG
Message automatiquement fusionné :

Bon je n'arrive toujours pas à accéder à la clé USB vis File Station, même après un redémarrage du NAS.
Et pourtant elle est visible
Capture.PNG
mais lorsque je clique dessus pour l'ouvrir, ça m'ouvre bien FileStation mais sur Multimédia, et la clé n'est toujours pas visible.

Capture1.PNG

Je ne sais pas quoi faire, comment faire.
Avez-vous une idée ?
 
Dernière édition:
Bonjour,

je viens de m'apercevoir que j'ai subit le viol de mes données sur mon QNAP.

J'ai lu un peu tout....
1/ ça semblait bon car mon NAS m'indique être booté depuis plus de 60 jours et cela c'est passé le 05 janvier dernier.
2/ je n'arrive pas à me connecter en SSH dessus, je n'ai que des "Connection refused" alors que les paramètres semblent bons :( (je parle des paramètres du NAS pas ceux de ma connexion. J'utilisais un outil pré-réglé qui me connectais en SSH auparavant mais ne l'utilisais plus depuis... et il veux pas s'y connecter lui non plus)
3/ je ne trouve pas de fichier log dans le dossier public pour 7z :(

Je ne compte pas rebooter le NAS pour le moment et j'ai coupé toutes entrées ou sorties vers le web - je pense ...
Avant d'utiliser QRescue je préfère écrire ici et avoir quelques retours pour voir comment je peux faire pour remettre en service SSH afin de pouvoir y taper quelques lignes de codes pour voir si j'obtiens quelques résultats.
Pour info mon NAS n'a pas été complètement saccagé car il me reste toutes les vidéos et quelques mp3 qui n'ont pas été zippés. M"enfin j'suis dég car j'ai des années de sauvegarde photos perso et fichiers de travail :(

Merci d'avance pour vos retours !
 
webmail a dit:
pour le ssh tu as vérifié si c'était toujours autorisé par tes paramètres?
www.qnap.com

Comment accéder au NAS QNAP par SSH?

Applicable Products: All NAS series Let's take a look at how to access your QNAP NAS by SSH from macOS/Linux/Windows ...
www.qnap.com www.qnap.com
Cliquez pour agrandir...
Bonjour Webmail et merci pour ton retour.

J'ai plusieurs fois vérifié - j'étais aussi tombé sur cette page qnap - mais malgré les tests en changeant les paramètres, rien n'y fait. Comme si le fichier système qui gère le SSH avait été touché. Je devrais essayer d'y aller en Telnet pour voir si cela fonctionne. Je ferais les tests en soirée. Mon NAS est pour l'instant débranché du réseau tant que je n'y touche pas ?

To be continued ! Bonne journée.
Message automatiquement fusionné :

Bon pour info : j'ai fait le début du tuto de chez Qnap à savoir :
Installer QRescue puis le lancer.
Lancer photorec ... ça a mouliné 2 jours
Là j'ai tout plein de dossiers sur le disque de "rescue" mais impossible de lancer la suite, c'est à dire : qrescue.sh :(
L'application me demande de choisir entre le disque 1 - 0
et de mettre 1 ou 0 ou 2 ou n'importe quoi, cela reviens à la même question :(

Capture d’écran 2022-01-20 à 20.58.58.png

Je n'ai pas osé rebooter le NAS encore.
Pour info, il est toujours impossible de me lancer sur une connexion SSH.
Vu que QRescue est un terminal, j'en ai profité de voir comment relancer les services, etc... mais rien n'y fait :(

Relance-je le NAS ??
 
Dernière édition:
Bonjour,

Je viens de subir cette joyeuse attaque et après m'être rassuré en trouvant les différents outils et méthodes en place pour décrypter les fichiers j'ai malheureusement déchanté....

Impossible d'installer Qrescue, l'installation s’arrête lors de la recherche automatique de mise à jour. J'ai suivi la procédure de Qnap pour vérifier les paramètre de connexion pour les MAJ et même les régler à la main sans succès. De même j'ai continué le paramétrage pour passer en mode NAS isolé pour ne pas faire la recherche automatique des paquets mais rien n'y fait.

Procédure suivie:https://www.qnap.com/en/how-to/faq/...t-app-update-information-online-notifications

En plus impossible de me connecter en ssh, le socket est fermé (vérification faite avec nmap) et même en déplacement le port et en réarmant le service rien n'y fait (idem pour telnet).

Je n'ai pas rebooté mon NAS depuis l'attaque, mon NAS est un QNAP-253A sous QTS5.0.

Quelqu'un a une idée pour que je puisse accéder à un terminal su mon NAS?

Merci
 
Salut ALFBREIZH,

j'ai fini par redémarrer mon NAS car ça ne donnait rien. Alors depuis le redémarrage j'ai pu avoir accès au SSH mais je tourne en rond car après que Photorec me rempli le dossier recup1 dans rescue, je n'ai rien d'autre :(
Si tu as isolé ton NAS en réseau local, remet en marche le compte admin et fait les manips avec lui, ça semble plus simple.

Juste pour info, tu avais lancé Malware Remover ? Dans les logs, j'ai retrouvé qu'il avait bien supprimé le virus chez moi... bon c'était 2 ou 3 jours après l'attaque vu que je le lançais automatiquement une fois par semaine.

Sinon là, je sèche complet pour la suite. Je pense que je vais essayer de mettre sur un disque tout ce qui n'est pas crypté chez moi - soit tous les fichiers de plus de 30 Mo (et pas 20 comme on lit partout) - et supprimer tout le reste en remettant le NAS à Zéro. Si je trouve un disque dont je ne me sers pas je ferais alors une copie de sauvegarde juste avant en priant qu'un jour un gars ramène la solution miracle. Cela fait une semaine que je lis beaucoup de forums et que je me torche des heures et des heures de tests de diverses commandes et autres scripts et cela ne donne rien pour moi, j'arrête les frais.

Je suis quand même dégoûté de QNAP car une fois ne leur à pas suffit :mad: - Je me demande si je ne fais pas le reset puis je revends le NAS pour me prendre une autre marque...

Bon courage en tous cas et si jamais tu as des pistes n'hésites pas à partager. Merci.
 
Bonjour,
J'ai subit une attaque de ransonware sur mon Nas Qnap TS-251 Version 5.0.0.1891.
J'ai fais les manip de disque dur et j'ai installé Qrescue. Lorsque je le lance, je n'ai pas l'écran comme dans le tuto, à la place ça me propose :
1643215986276.png
Qu'est-ce que je dois faire svp ?

Merci
 
Bonjour,

il faut faire Q et confirmer ensuite.

Pour ma part je ne suis pas arrivé à installer le Qrescue. Après échange avec Qnap la seule façon de l'installer est de rebooter le NAS.

J'ai finalement réussi à me connecter avec telnet pour ma part et j'ai lancé PhotoRec manuellement en regardant

Le résultat est mitigé.....
 
  • J'aime
Réactions: EVO
Merci,
j'ai fini par trouver hier soir comment lancer qrescue. Le problème est que j'avais déja redémarré le nas en pensant à un bug plutot qu'à un piratage... j'ai quand même lancé la manip hier soir, ce n'est pas encore terminé, j'ai presque 1To de donnée dessus..
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour