Bonjour à tous,
Le sujet https://www.forum-nas.fr/viewtopic.php?f=19&t=15987 commence à avoir pas mal de messages et de questions ( normal ), je propose de concentrer sur ce thread, uniquement les solutions ou les commandes à effectuer sur son nas.
Pour les questions merci d'aller sur le thread original https://www.forum-nas.fr/viewtopic.php?f=19&t=15987 , ici on ne met que des solutions ou méthode pour tenter d'avancer sur une solution pour nos Nas.
Pour les admins / modos, si mon sujet récapitulatif pose souci, hésitez pas à éditer ou delete.
A priori le plus important est de ne pas redémarrer ou éteindre le Nas. De bien faire la mise à jour des applications ( HBS - Streaming etc ) - La maj ( ou installer ) de Malware Remover et lui faire scanner le Nas ( normalement si il trouve le malware, il va vous demander de redémarrer le Nas, pour l'instant les consignes sont de ne pas rebooter - Idem pour le firmware, ne pas le mettre à jour sinon le Nas va rebooter, faut attendre les consignes de Qnap sur ces points techniques.
--------------------------------------------------------------
Le message de Qnap
Autre méthode cité par Qoolbox :
Les vidéos qui appliquent ces méthodes :
En anglais, la méthode pour tenter de trouver le fichier 7z.log avec le mot de passe de cryptage en clair :
En Français, un petit jeune, qui a été très réactif, et qui également applique la méthode de trouver le fichier avec le mot de passe en clair :
En anglais, la méthode du site de bleeping ( attention à priori il y a certaine condition à respecter pour que ça fonctionne et j'imagine quelques risques aussi - j'attend une version FR ( si quelqu'un est chaud ) pour comprendre les conditions pour que cette méthode fonctionne :
------------------------------------------------------------
L'article de Cachem qui fait également une synthèse.
https://www.cachem.fr/qnap-qlocker/
----------------------------------------------------------------
la preuve que passer un peu de temps pour mettre en place des procédures de sauvegardes fiables , même si il y a un coût financier peuvent vite être " rentabilisé " dans ce genre de situation.
Bon courage à tous !
Le sujet https://www.forum-nas.fr/viewtopic.php?f=19&t=15987 commence à avoir pas mal de messages et de questions ( normal ), je propose de concentrer sur ce thread, uniquement les solutions ou les commandes à effectuer sur son nas.
Pour les questions merci d'aller sur le thread original https://www.forum-nas.fr/viewtopic.php?f=19&t=15987 , ici on ne met que des solutions ou méthode pour tenter d'avancer sur une solution pour nos Nas.
Pour les admins / modos, si mon sujet récapitulatif pose souci, hésitez pas à éditer ou delete.
A priori le plus important est de ne pas redémarrer ou éteindre le Nas. De bien faire la mise à jour des applications ( HBS - Streaming etc ) - La maj ( ou installer ) de Malware Remover et lui faire scanner le Nas ( normalement si il trouve le malware, il va vous demander de redémarrer le Nas, pour l'instant les consignes sont de ne pas rebooter - Idem pour le firmware, ne pas le mettre à jour sinon le Nas va rebooter, faut attendre les consignes de Qnap sur ces points techniques.
--------------------------------------------------------------
Le message de Qnap
-------------------------------------------------------------------------------------------------------le statement officiel de Qnap
Nous vous recommandons donc fortement de mettre à jour la console multimédia, HBS3 et le module Media Straming Add-on vers la dernière version via l'App Center. Modifiez également le port Web par défaut 8080 (NE SURTOUT PAS REDEMARRER NI ARRETER LE NAS).
Nous publions également une nouvelle politique de suppression des logiciels malveillants, qui analysera l'attaque de rançon et récupérera la clé de cryptage si le cryptage est toujours en cours.
Si vous aviez déjà arrêté / redémarré le NAS ou que le cryptage a été effectué, il n'y a malheureusement pas encore de solution. À ce moment, les données ne seront récupérables que si vous avez déjà effectué une sauvegarde.
Si vous constatez que le cryptage est toujours en cours (NE PAS REDEMARRER OU ARRETER LE NAS), suivez simplement les étapes ci-dessous pour obtenir la clé de cryptage, pendant que le processus est toujours en cours d'exécution.
Methode 1:
Install Malware Remover from APP Center and run it manually;
Connectez vous au nas par ssh:
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
Indiquer l'adresse IP du nas, port par défaut:22 le login admin et son mot de passe, il ne s'affichera pas c'est normal
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
CODE : TOUT SÉLECTIONNER
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
Si la commande «Aucun fichier ou répertoire de ce type» signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour aider;
Si la commande a été exécutée sans problème, vous pouvez voir 7z.log dans le NAS dans le dossier Public, qui comprendra le mot de passe;
Le mot de passe ressemblera à ci-dessous:
CODE : TOUT SÉLECTIONNER
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
est le mot de passe
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
Si vous ne savez pas comment lire le mot de passe, veuillez nous envoyer le message complet avec le journal de diagnostic du NAS se trouvant dans le "Centre d'assistance".
Methode 2:
Connectez vous au nas par ssh
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
CODE : TOUT SÉLECTIONNER
ps | grep 7z
S'il n'y a pas de 7z, cela signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour vous aider;
Si 7z est en cours d'exécution, copiez / collez la commande ci-dessous et appuyez sur Entrée
CODE : TOUT SÉLECTIONNER
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Attendez quelques minutes, utilisez la commande cat:
CODE : TOUT SÉLECTIONNER
cat /mnt/HDA_ROOT/7z.log
voici la sortie:
CODE : TOUT SÉLECTIONNER
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD
le mot de passe de décrypage sera:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
Autre méthode cité par Qoolbox :
------------------------------------------------------------------autres solution de bleeping : https://www.bleepingcomputer.com/fo...crypting-with-extension-7z-read-metxt/page-23
FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK
MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER
The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.
You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)
1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)
https://pureinfotech.com/setup-network-file-sharing-windows-10/
You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)
2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.
3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.
4. Connect to your samba share:
CODE : TOUT SÉLECTIONNER
mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share
5. look for your architecture (uname -a) for i386 or x86_64
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux
6. Download testdisk
CODE : TOUT SÉLECTIONNER
i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2
x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2
7. Untar testdisk, go to the directory and change the permissions of the executable
CODE : TOUT SÉLECTIONNER
tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static
8. Search for your volume. At me it was '/dev/mapper/cachedev1' (You can use df -h for it) and note it
Filesystem Size Used Available Use% Mounted on
none 300.0M 272.7M 27.3M 91% /
devtmpfs 938.4M 8.0K 938.4M 0% /dev
tmpfs 64.0M 3.1M 60.9M 5% /tmp
tmpfs 949.7M 156.0K 949.6M 0% /dev/shm
tmpfs 16.0M 0 16.0M 0% /share
/dev/mmcblk0p5 7.7M 46.0K 7.7M 1% /mnt/boot_config
tmpfs 16.0M 0 16.0M 0% /mnt/snapshot/export
/dev/md9 493.5M 140.1M 353.4M 28% /mnt/HDA_ROOT
cgroup_root 949.7M 0 949.7M 0% /sys/fs/cgroup
/dev/mapper/cachedev1
898.3G 573.5G 324.3G 64% /share/CACHEDEV1_DATA
/dev/md13 417.0M 387.7M 29.3M 93% /mnt/ext
tmpfs 48.0M 72.0K 47.9M 0% /share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs 16.0M 0 16.0M 0% /mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share
1.8T 104.7G 1.7T 6% /mnt/samba_spar_abo_share
9. open photorec_static with 'sudo ./photorec_static'
10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)
11. choose the ext2/3/4 partition
12. choose ext2/ext3 option
13. choose FREE option
14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)
15. wait and the files would be recover in folders named 'recup_dir.X' on the share
16. sort the results (HAVE FUN xD)
Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!
Les vidéos qui appliquent ces méthodes :
En anglais, la méthode pour tenter de trouver le fichier 7z.log avec le mot de passe de cryptage en clair :
En Français, un petit jeune, qui a été très réactif, et qui également applique la méthode de trouver le fichier avec le mot de passe en clair :
En anglais, la méthode du site de bleeping ( attention à priori il y a certaine condition à respecter pour que ça fonctionne et j'imagine quelques risques aussi - j'attend une version FR ( si quelqu'un est chaud ) pour comprendre les conditions pour que cette méthode fonctionne :
------------------------------------------------------------
L'article de Cachem qui fait également une synthèse.
https://www.cachem.fr/qnap-qlocker/
----------------------------------------------------------------
la preuve que passer un peu de temps pour mettre en place des procédures de sauvegardes fiables , même si il y a un coût financier peuvent vite être " rentabilisé " dans ce genre de situation.
Bon courage à tous !