Qnap Synthèse Solution Malware Qlocker

le statement officiel de Qnap

Nous vous recommandons donc fortement de mettre à jour la console multimédia, HBS3 et le module Media Straming Add-on vers la dernière version via l'App Center. Modifiez également le port Web par défaut 8080 (NE SURTOUT PAS REDEMARRER NI ARRETER LE NAS).
Nous publions également une nouvelle politique de suppression des logiciels malveillants, qui analysera l'attaque de rançon et récupérera la clé de cryptage si le cryptage est toujours en cours.
Si vous aviez déjà arrêté / redémarré le NAS ou que le cryptage a été effectué, il n'y a malheureusement pas encore de solution. À ce moment, les données ne seront récupérables que si vous avez déjà effectué une sauvegarde.
Si vous constatez que le cryptage est toujours en cours (NE PAS REDEMARRER OU ARRETER LE NAS), suivez simplement les étapes ci-dessous pour obtenir la clé de cryptage, pendant que le processus est toujours en cours d'exécution.

Methode 1:
Install Malware Remover from APP Center and run it manually;
Connectez vous au nas par ssh:
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
Indiquer l'adresse IP du nas, port par défaut:22 le login admin et son mot de passe, il ne s'affichera pas c'est normal
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh

Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:

CODE : TOUT SÉLECTIONNER
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/Public
Si la commande «Aucun fichier ou répertoire de ce type» signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour aider;

Si la commande a été exécutée sans problème, vous pouvez voir 7z.log dans le NAS dans le dossier Public, qui comprendra le mot de passe;
Le mot de passe ressemblera à ci-dessous:

CODE : TOUT SÉLECTIONNER
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
est le mot de passe

rebootez le NAS et utilisez ce password pour décrypter les fichiers:

Si vous ne savez pas comment lire le mot de passe, veuillez nous envoyer le message complet avec le journal de diagnostic du NAS se trouvant dans le "Centre d'assistance".

Methode 2:

Connectez vous au nas par ssh
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:

CODE : TOUT SÉLECTIONNER
ps | grep 7z
S'il n'y a pas de 7z, cela signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour vous aider;
Si 7z est en cours d'exécution, copiez / collez la commande ci-dessous et appuyez sur Entrée

CODE : TOUT SÉLECTIONNER
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Attendez quelques minutes, utilisez la commande cat:

CODE : TOUT SÉLECTIONNER
cat /mnt/HDA_ROOT/7z.log
voici la sortie:

CODE : TOUT SÉLECTIONNER
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD
le mot de passe de décrypage sera:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD

rebootez le NAS et utilisez ce password pour décrypter les fichiers:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD

Cliquez pour agrandir...

autres solution de bleeping : https://www.bleepingcomputer.com/fo...crypting-with-extension-7z-read-metxt/page-23

FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK


MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER



The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.

You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)



1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)

https://pureinfotech.com/setup-network-file-sharing-windows-10/

You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)



2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.



3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.



4. Connect to your samba share:
CODE : TOUT SÉLECTIONNER
mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share
5. look for your architecture (uname -a) for i386 or x86_64

Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux

6. Download testdisk

CODE : TOUT SÉLECTIONNER
i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2

x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2
7. Untar testdisk, go to the directory and change the permissions of the executable

CODE : TOUT SÉLECTIONNER
tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static
8. Search for your volume. At me it was '/dev/mapper/cachedev1' (You can use df -h for it) and note it

Filesystem Size Used Available Use% Mounted on
none 300.0M 272.7M 27.3M 91% /
devtmpfs 938.4M 8.0K 938.4M 0% /dev
tmpfs 64.0M 3.1M 60.9M 5% /tmp
tmpfs 949.7M 156.0K 949.6M 0% /dev/shm
tmpfs 16.0M 0 16.0M 0% /share
/dev/mmcblk0p5 7.7M 46.0K 7.7M 1% /mnt/boot_config
tmpfs 16.0M 0 16.0M 0% /mnt/snapshot/export
/dev/md9 493.5M 140.1M 353.4M 28% /mnt/HDA_ROOT
cgroup_root 949.7M 0 949.7M 0% /sys/fs/cgroup
/dev/mapper/cachedev1
898.3G 573.5G 324.3G 64% /share/CACHEDEV1_DATA
/dev/md13 417.0M 387.7M 29.3M 93% /mnt/ext
tmpfs 48.0M 72.0K 47.9M 0% /share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs 16.0M 0 16.0M 0% /mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share
1.8T 104.7G 1.7T 6% /mnt/samba_spar_abo_share
9. open photorec_static with 'sudo ./photorec_static'


10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)

11. choose the ext2/3/4 partition

12. choose ext2/ext3 option
13. choose FREE option

14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)



15. wait and the files would be recover in folders named 'recup_dir.X' on the share



16. sort the results (HAVE FUN xD)



Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!

Cliquez pour agrandir...

metalx94 a dit:

Bonjour,
La premiere chose a effectuer est de couper les accés extierieur a votre nas ( garder uniquement l'accés local). Mon nas n'a pas été redémarré

Je teste la procédure en ce moment de testdisk avec photorec. J'ai pu récupérer des photos. Par contre, c'est tres long et il va falloir les trier. J'en ai pour au moins deux jours

https://www.bleepingcomputer.com/forums/t/749247/qlocker-qnap-nas-ransomware-encrypting-with-extension-7z-read-metxt/page-23
J'ai traduit en francais si ca peut aider.

1. Créer un répertoire partagé sur windows (ca doit marcher sur linux ou mac)

lien : https://pureinfotech.com/setup-network-file-sharing-windows-10/

Vous devez utiliser votre compte windows ou en créer un nouveau. je vous conseille de créer le répertoire partager sur un disque dur externe relié avec windows car cela prends de la place.

2. Connectez vous en ssh avec le logiciel putty avec le compte admin du nas

3. Apres le login,Vous avez un menu. Pressez la lettre 'Q'. (Confirm it with 'Y') pour rentrer sur le shell. Prompt #

4. Création du répertoire et montage du répertoire vers votre windows. Vous devez changer mettre votre utilisateur windows et l'adresse ip et le chemin de votre repertoire partagé.

mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<VOTREUTILISATEURWINDOWS> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share

Pour que votre sauvegarde soit externe, mettez vous bien dans le repertoire /mnt/rescue-share ( derniere commande cd)

5. Savoir si vous avez un nas en 64 bits(x86_64) ou 32 bits (i386) avec la commande "uname -a"
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux

6. Suivant le résultat du uname -a , télécharger la version adéquate

i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2

x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz2

7. Décompresser le téléchargement et ajouter les droits d'executions au script photorec_static ou photorec suivant votre architecture

tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static

8. Chercher le volume de votre disque. Ici c'est '/dev/mapper/cachedev1' (utilisez la commande df -h for it)

Filesystem Size Used Available Use% Mounted on
none 300.0M 272.7M 27.3M 91% /
devtmpfs 938.4M 8.0K 938.4M 0% /dev
tmpfs 64.0M 3.1M 60.9M 5% /tmp
tmpfs 949.7M 156.0K 949.6M 0% /dev/shm
tmpfs 16.0M 0 16.0M 0% /share
/dev/mmcblk0p5 7.7M 46.0K 7.7M 1% /mnt/boot_config
tmpfs 16.0M 0 16.0M 0% /mnt/snapshot/export
/dev/md9 493.5M 140.1M 353.4M 28% /mnt/HDA_ROOT
cgroup_root 949.7M 0 949.7M 0% /sys/fs/cgroup
/dev/mapper/cachedev1
898.3G 573.5G 324.3G 64% /share/CACHEDEV1_DATA
/dev/md13 417.0M 387.7M 29.3M 93% /mnt/ext
tmpfs 48.0M 72.0K 47.9M 0% /share/CACHEDEV1_DATA/.samba/lock/msg.lock
tmpfs 16.0M 0 16.0M 0% /mnt/ext/opt/samba/private/msg.sock
//XXX.XXX.XXX.XXX/share
1.8T 104.7G 1.7T 6% /mnt/samba_spar_abo_share

9. Executer la commande 'sudo ./photorec_static' ou 'sudo ./photorec' (voir etape uname)

10. Choisissez votre volume vue dans l 'etape 8 /dev/mapper/cachedev1 disk

11. Choisissez ext2/3/4 partition

12. Choisissez ext2/ext3 option
13. Choisissez FREE option

14. Chossisez le repertoire de destination des fichier recuperer et appuyer sur la lettre c pour commencer Vous devriez etre dans le repertoire de destination /mnt/rescue-share

15. Attendez et retrouver les fichiers recupéres dans les repertoires 'recup_dir.X' sur votre windows dans votre repertoire partagé

Cliquez pour agrandir...