Qnap Attaque en cours

T0n10

Apprenti
31 Octobre 2015
49
1
8
Bonjour,

Je ne savais pas trop dans quelle section mettre ce post mais c'était pour vous informer que je viens d'être victime d'une attaque type ransomware sur mon NAS. Des infos là par exemple -> https://www.bleepingcomputer.com/ne...are-attack-uses-7zip-to-encrypt-qnap-devices/
Je n'étais pas tout à fait à jour. A priori l'attaque se base sur une faille colmatée il y a moins d'une semaine.

Peu de casse de mon côté car je backup souvent toutes mes données sur un DD externe, j'ai donc reset mon NAS dans la foulée et procède à sa réinstallation (en espérant que cela suffise).
Soyez donc vigilant et protégez vos données.

A+
 
  • J'aime
Réactions: grmycaire
Désolé pour toi, même si tu as un backup, c'est toujours pénible de devoir les remonter …

Récemment j'avais beaucoup de tentatives d'intrusion. Comme j'ai la chance de ne pas avoir particulièrement besoin d'exposer mon nas au net, j'ai coupé toutes les redirections de ports/DMZ et activé le vpn.

Le vpn reste quand même plus simple et solide en terme de sécu (enfin je crois :))

Je pense que c'est la bonne solution si comme moi tu n'as pas de service public. Tu n'es plus dépendant de la course au dernier patch/firmware :)
 
moi aussi sur mon ts 453 a tout crypté par des fichiers 7z.....``j espère qu il vont trouver une solution ...

c est la loose
 
Désolé pour vous "Tchoupietdoudou"... :eek:
Mais, ce n'est pas possible, votre signature en bas de vos "posts" doit être une erreur...(???) Comment se fait-il qu'elle indique, pour votre NAS, une ancienne version du firmware? (Un oubli peut-être.)


Tchoupietdoudou a dit:
"TS 453A 16Go 4*2To
"QTS 4.3.3 BUILD 13042017"

À ce jour, le dernier firmware pour le QNAP "TS 453A" n'est pas du tout le "QTS 4.3.3 BUILD 13042017" qui date du 13/04/2017, mais bien le firmware "QTS 4.5.2.1630 build 20210406" qui, lui, est le dernier en date du 06/04/2021 [LIEN]
 
J'ai également le même problème depuis hier aprem...

Beaucoup de fichier Cryptés et inaccessible, j'essaye de sauver ceux qui ne sont pas affectés (au dessus de 20mb...) sur des DD externes
je suis novice en informatique, si quelqu'un à résolu le soucis ou peut me donner des pistes je suis preneur...

j'ai bien été voir le topic de QoolBox avant de poster ce message et j'ai envoyé une demande à l'assistance mais compliqué lorsque ce ne sont que des échanges par message.
J'ai un peu peur de laisser mon NAS branché à internet au cas où le virus circule encore plus :/
 
Bonjour,

J'ai également mes fichiers cryptés, donc pour bien comprendre il y avait une faille sur un firmware ou logiciel sur le Nas, et le dernier firmware corrigeait cette faille ? Que je comprenne comment cette saloperie a pu crypter mes data, alors que j ai un mdp très fort et double authentification.

Auparavant je faisais les maj firmware immédiatement, puis échaudé par les firmware à moitié bancales, j avais pris l habitude d'attendre un peu les retours des utilisateurs pour effectuer la maj...

Merci
 
Bonjour

Attaqué vendredi matin . NAS entièrement crypté.

Ouf le backup est intact ( ou presque )
Il contient la sauvegarde de jeudi + les versions 7z de vendredi.

J'ai effacé tous les fichiers 7z, fait la mise à jour.
J'ai tout re-branché samedi, pour l'instant tout va bien.
Par contre j'ai toujours une machine qui essaye de se connecter au compte "admin" en HTTP/HTTPS toutes les deux minutes en changeant d'iP.
Même si le compte "admin" est désactivé., je ne sais pas trop comment arrêter ces tentatives de connexions.
 
Bonjour,
@phklv
Personnellement j'ai coupé court à ces tentatives de connexion en supprimant la redirection du port 443 sur ma box.
Pour conserver un accès extérieur (depuis Interner) à mon NAS, j'ai redirigé un port (pris au hasard entre 10000 et 65535) WAN vers le 443 du NAS. Ainsi quand je veux me connecter depuis l'extérieur, il suffit d'ajouter le port (avec :n°port) après l'adresse IP de ma box. Ainsi plus d'accès "direct" depuis Internet.
Vérifier aussi que le lien avec xxxxxxx.myqnapcloud.com est aussi bien désactivé. C'est très probablement avec myqnapcloud et une faille sur HBS3 que Locker a reussi à crypter des milliers de NAS QNAP.
Bien cdlt
FD
 
question

si je reinitialise mon NAS à 0 en reformatant les disques dur et en supprimant toutes données plus MAJ en récrivant le firmware


suis je encore exposé à un risque du malware présent sur le NAS vu qu'il est situé dans le root ?

MERCI BCP DE VOS RETOURS
 
Si tu appliques bien toutes les dernières mises à jour... tu ne devrais plus être victime de Qlocker. Le risque 0 n'existe pas en sécurité. On peut s'en approcher, mais jamais l'atteindre (malheureusement).
 
Pour ma part je vais formater le Nas totalement pour basculer sur un volume lourd et donc plus d'option pour le Snapshot, et également quand je me suis connecté en ssh avec Filezilla pour chercher le fichier log.7z , je suis tombé sur ce fichier, avec noté : Infecté
Donc par prudence, je repars à 0
 

Pièces jointes

  • fichier_infecté_Qnap.jpg
    fichier_infecté_Qnap.jpg
    177.4 KB · Affichages: 215
Bonjour
Un ami subit en ce moment une attaque sur son compte admin qui est désactivé.
Y a-t-il d'autres personnes impactés ?