HELP Ransomware .muhstik

Discussion sur le paramétrage du NAS
megakroug
Apprenti
Messages : 32
Enregistré le : 30 octobre 2016

HELP Ransomware .muhstik

Message par megakroug » 01 oct. 2019 19:26

Bonjour,

Je suis actuellement complètement flippé car depuis hier mon nas a été infecté par un ransomware qui a encrypté tous mes fichiers.
Une extension .muhstik est ajouté sur l'ensemble des fichiers et impossible de les ouvrir.
Je commence à chercher une solution, si quelqu'un a une idée je suis preneur.
J'ai un fichier README_FOR_DECRYPT.txt qui m'incite a faire un versement en Bitcoin, je n'ose même pas y penser...

Quelqu'un a-t-il déjà rencontré ce problème ?

Merci à quiconque pourra m'aider.

:-? :oops:

Avatar du membre
webmail
Grand Maître Jedi
Messages : 2829
Enregistré le : 18 janvier 2015
Professionnel : Non
Localisation : Bruxelles

Re: HELP Ransomware .muhstik

Message par webmail » 01 oct. 2019 20:00

ça sent pas bon, je pense que je plus rapide serait de restaurer ton dernier backup
QNAP TS-251
Synlogy DS1515+

Réseau Ubiquiti
Cluster de virtualisation Proxmox avec 3 hôtes :roll:

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 7513
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: HELP Ransomware .muhstik

Message par QoolBox » 01 oct. 2019 20:34

C est un crypto virus qui vient des PC windows et crypte via les partages reseau... Ou exploite des failles de vielles Version de drupal et phpmyadmin.... Pas de solution... Restau avec snapshot ou restauration du backup...

Envoyé de mon MI 9 en utilisant Tapatalk


megakroug
Apprenti
Messages : 32
Enregistré le : 30 octobre 2016

Re: HELP Ransomware .muhstik

Message par megakroug » 01 oct. 2019 20:40

Merci pour vos réponses, malheureusement pour moi pas de snapshot ni de backup.
J'ai vraiment merdé sur ce coup...

Avatar du membre
Esteban
Grand Maître Jedi
Messages : 2807
Enregistré le : 18 mai 2017
Professionnel : Non
Localisation : France

Re: HELP Ransomware .muhstik

Message par Esteban » 02 oct. 2019 09:07

megakroug a écrit :Merci pour vos réponses, malheureusement pour moi pas de snapshot ni de backup.
J'ai vraiment merdé sur ce coup...
Aïe...



Sent from my iPhone using Tapatalk
DS218+ (6.2.2) 2Gb + 8Gb (CT102464BF186D-1866)
DS215j (6.2.2) Off Site Backup

Ubiquiti ERx - Borne AP AC LR - Cams HikVision + Dlink - EATON 800VA

OS des NAS - Base de telechargement Synology - Tuto VPN sur Synology

papapoule
Padawan
Messages : 77
Enregistré le : 26 novembre 2014

Re: HELP Ransomware .muhstik

Message par papapoule » 02 oct. 2019 20:40

Idem pour moi !!!
J'ai aucune sauvegarde ou autre....

Comment faire pour que ce qui n'est pas atteint pour le moment ne le soit pas après.

Je veux dire que sur le NAS certain fichier ne sont pas crypter (très peu).
Comment faire pour pas qu'il le devienne?

Je suis juste désespéré... toutes les photos et vidéos des enfants....
NAS QNAP HS-251-2G + DD WD RED 3TO RAID 1

megakroug
Apprenti
Messages : 32
Enregistré le : 30 octobre 2016

Re: HELP Ransomware .muhstik

Message par megakroug » 03 oct. 2019 15:08

papapoule a écrit :
02 oct. 2019 20:40
Idem pour moi !!!
J'ai aucune sauvegarde ou autre....

Comment faire pour que ce qui n'est pas atteint pour le moment ne le soit pas après.

Je veux dire que sur le NAS certain fichier ne sont pas crypter (très peu).
Comment faire pour pas qu'il le devienne?

Je suis juste désespéré... toutes les photos et vidéos des enfants....
Comme je compatis, je suis dans la même situation, plus de photos des enfants depuis leurs naissances ...

J'ai regardé sur le net, le sujet commence à fleurir sur un paquets de forums étrangers, j'ai bon espoir que des chercheurs en sécurité se penchent sur le sujet....

Avatar du membre
QoolBox
Représentant de QNAP
Messages : 7513
Enregistré le : 02 janvier 2014
Professionnel : Oui
Localisation : France
Contact :

Re: HELP Ransomware .muhstik

Message par QoolBox » 03 oct. 2019 15:33

le problème vient de phpmyadmin ... et l'avez exposez au NET

et

soit vous avez laissez admin comme mot de passe root
soit le mot de passe root s'est fait hacké (Brute Force, Dictonnary ...)

la R&D regarde s'ils peuvent créé un scipt/logiciel de décrypt.. mais ça semble chaud...

Avatar du membre
StephRun
Padawan
Messages : 143
Enregistré le : 08 juillet 2015

Re: HELP Ransomware .muhstik

Message par StephRun » 03 oct. 2019 16:42

Yesss ! j'ai tiré le gros lot également hier soir !! :evil:
Perso je n'arrive même plus à accéder l'ouverture de session. Mais je peux y accéder via AFP/MacOs

Bon j'ai un NAS de réplication qui lui n'est pas touché donc je peux restaurer, mais je vais attendre un peu si toutefois une soluce émergeait par ici, ou ailleurs... je fouille

Edit : Ben manifestement c'est une attaque massive sur les Qnap : France, Allemagne, Pologne, Belgique, USA...ça chouine un peu partout.

Faille de sécurité de phpmyadmin je veux bien, mais force brute sur psw de l'admin je doute : le mien fait 12 car maj/min/chiffre/car.spé.
Vu l'étendue et la simultanéité plutôt un trou dans la raquette QTS non ?
HS-251 "la plancha" 2 Go - 2 x 6 To Raid 1 - QTS 4.3.3
TS-212 "le grille-pain" en backup - 2 + 2 To JBOD - QTS 4.2

megakroug
Apprenti
Messages : 32
Enregistré le : 30 octobre 2016

Re: HELP Ransomware .muhstik

Message par megakroug » 03 oct. 2019 18:52

StephRun a écrit :
03 oct. 2019 16:42
Faille de sécurité de phpmyadmin je veux bien, mais force brute sur psw de l'admin je doute : le mien fait 12 car maj/min/chiffre/car.spé.
Vu l'étendue et la simultanéité plutôt un trou dans la raquette QTS non ?
Mon mot de passe root a été changé dès la 1ère mise en route du Nas et il est plutôt corsé aussi.
Je pense aussi à un problème de firmware en 4.4.1 et/ou un problème de phpmyadmin, mais je ne vois pas en quoi je serais fautif. J'ai un usage tout ce qu'il y a de plus classique avec mon Nas...

Petite question à ceux qui se sont également faits encryptés, êtes vous en 4.4.1 et vez-vous phpmyadmin ?

Répondre

Retourner vers « Installation, Démarrage, Configuration et Dépannage »

Qui est en ligne

Utilisateurs parcourant ce forum : Bing [Bot] et 6 invités