Salut à tous,
J'ai un NAS Qnap TS-212P et viens d'être victime d'un ransomware, tous les fichiers du NAS sont modifiés et finissent en ".encrypt" ; et il y a un fichier texte contenant ce message :
"
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: (lien supprimé, au cas où...)
Use TOR browser for access .onion websites.
(lien supprimé, au cas où...)
"
J'ai heureusement une sauvegarde mais avant de faire un reset intégral du NAS et reformatage et reconfiguration (et encore, je ne suis pas certain de la méthode à appliquer pour ce cas), je voudrais voir si il existe une possibilité malgré tout pour analyser d'où le problème est venu, et surtout faire en sorte que cela n'arrive pas à nouveau.
Eventuellement voire la possibilité de récupérer certains fichiers, il y en a qques uns qui étaient dans un dossier non sauvegardé (ça m'apprendra...) ; fichiers non essentiels mais je souhaiterais pouvoir malgré tout les récupérer.
Bref, je suis preneur de toute info à ce sujet et reste dispo pour communiquer des informations que vous pourriez me demander.
Aussi, à toute fin utile :
- QNAP TS-212P, micrologiciel 4.3.3.1799 Build 20211008
- les fichiers encryptés sont horodatés à ce matin 4:20 (20/12/21)
- j'ai une sauvegarde existante via une appli installée sur le NAS, qui sauvegarde sur un Google Drive ; ces fichiers sont fonctionnels. Il semble donc que la sauvegarde ci-dessus ai été faite juste avant
- j'avais sur le NAS un (nouvel) utilisateur intitulé "wasthere", que j'ai d'ors et déjà supprimé
- sur le NAS était activé un serveur VPN pour pouvoir y accéder depuis l'extérieur (avec évidement id et pw...) ; je l'ai désactivé
- j'ai une appli installée sur le NAS dont je n'ai pas souvenir (System 0.1 avec une icone contenant les lettres "DK") et qui me semble suspecte
- le FTP était activé sur le NAS, est-ce que cela aurait pu servir de porte d'entrée ?
D'avance merci !
Fred
J'ai un NAS Qnap TS-212P et viens d'être victime d'un ransomware, tous les fichiers du NAS sont modifiés et finissent en ".encrypt" ; et il y a un fichier texte contenant ce message :
"
All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website: (lien supprimé, au cas où...)
Use TOR browser for access .onion websites.
(lien supprimé, au cas où...)
"
J'ai heureusement une sauvegarde mais avant de faire un reset intégral du NAS et reformatage et reconfiguration (et encore, je ne suis pas certain de la méthode à appliquer pour ce cas), je voudrais voir si il existe une possibilité malgré tout pour analyser d'où le problème est venu, et surtout faire en sorte que cela n'arrive pas à nouveau.
Eventuellement voire la possibilité de récupérer certains fichiers, il y en a qques uns qui étaient dans un dossier non sauvegardé (ça m'apprendra...) ; fichiers non essentiels mais je souhaiterais pouvoir malgré tout les récupérer.
Bref, je suis preneur de toute info à ce sujet et reste dispo pour communiquer des informations que vous pourriez me demander.
Aussi, à toute fin utile :
- QNAP TS-212P, micrologiciel 4.3.3.1799 Build 20211008
- les fichiers encryptés sont horodatés à ce matin 4:20 (20/12/21)
- j'ai une sauvegarde existante via une appli installée sur le NAS, qui sauvegarde sur un Google Drive ; ces fichiers sont fonctionnels. Il semble donc que la sauvegarde ci-dessus ai été faite juste avant
- j'avais sur le NAS un (nouvel) utilisateur intitulé "wasthere", que j'ai d'ors et déjà supprimé
- sur le NAS était activé un serveur VPN pour pouvoir y accéder depuis l'extérieur (avec évidement id et pw...) ; je l'ai désactivé
- j'ai une appli installée sur le NAS dont je n'ai pas souvenir (System 0.1 avec une icone contenant les lettres "DK") et qui me semble suspecte
- le FTP était activé sur le NAS, est-ce que cela aurait pu servir de porte d'entrée ?
D'avance merci !
Fred
Dernière édition:
Il va falloir penser a changer ! Ou au moins deja, ne plus exposer la machine sur internet !