Qnap [ Malware Qlocker ] Encryption 7z avec mot de passe
- Auteur du sujet QoolBox
- Date de début
QoolBox a dit:
Bonjour,
Je vous contacte car nous sommes une société informatique. Nous avons plusieurs nas de votre marque et depuis un mois nous avons 4 nas client encryptés.
2 premiers il y a un mois ou nous avons perdu nos clients à cause de cela.
Nous avons donc mis à jour tous les firmwares des autres clients.
Et hier le 22/04/2021, 2 autres clients affectés avec un cryptage en .7z
Nous allons perdre tous nos clients si nous ne faisons rien.
Nous sommes dans un bazar intégral à cause de vos solutions qui contiennent des failles de sécurité majeures qui ne sont comblées que trop tard.
Je n'ai aucun moyen de vous contacter autre que via ce forum alors je lance cette bouteille à la mer espérant que vous me recontactiez au plus vite...
J'ai également créé un ticket sur votre site qui a pour numéro Q-202104-11346.
Merci par avance.
Vincent. DG Informatique.
Bonjour,
Si le NAS à était Rebooter et t'il toujours possible de faire quoi que se soit??
Merci à vous de votre réponse.
Si le NAS à était Rebooter et t'il toujours possible de faire quoi que se soit??
Merci à vous de votre réponse.
le statement officiel de Qnap
Nous vous recommandons donc fortement de mettre à jour la console multimédia, HBS3 et le module Media Straming Add-on vers la dernière version via l'App Center. Modifiez également le port Web par défaut 8080 (NE SURTOUT PAS REDEMARRER NI ARRETER LE NAS).
Nous publions également une nouvelle politique de suppression des logiciels malveillants, qui analysera l'attaque de rançon et récupérera la clé de cryptage si le cryptage est toujours en cours.
Si vous aviez déjà arrêté / redémarré le NAS ou que le cryptage a été effectué, il n'y a malheureusement pas encore de solution. À ce moment, les données ne seront récupérables que si vous avez déjà effectué une sauvegarde.
Si vous constatez que le cryptage est toujours en cours (NE PAS REDEMARRER OU ARRETER LE NAS), suivez simplement les étapes ci-dessous pour obtenir la clé de cryptage, pendant que le processus est toujours en cours d'exécution.
Methode 1:
Install Malware Remover from APP Center and run it manually;
Connectez vous au nas par ssh:
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
Indiquer l'adresse IP du nas, port par défaut:22 le login admin et son mot de passe, il ne s'affichera pas c'est normal
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
Si la commande «Aucun fichier ou répertoire de ce type» signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour aider;
Si la commande a été exécutée sans problème, vous pouvez voir 7z.log dans le NAS dans le dossier Public, qui comprendra le mot de passe;
Le mot de passe ressemblera à ci-dessous:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD est le mot de passe
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
Si vous ne savez pas comment lire le mot de passe, veuillez nous envoyer le message complet avec le journal de diagnostic du NAS se trouvant dans le "Centre d'assistance".
Methode 2:
Connectez vous au nas par ssh
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
S'il n'y a pas de 7z, cela signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour vous aider;
Si 7z est en cours d'exécution, copiez / collez la commande ci-dessous et appuyez sur Entrée
Attendez quelques minutes, utilisez la commande cat:
voici la sortie:
le mot de passe de décrypage sera:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
Nous vous recommandons donc fortement de mettre à jour la console multimédia, HBS3 et le module Media Straming Add-on vers la dernière version via l'App Center. Modifiez également le port Web par défaut 8080 (NE SURTOUT PAS REDEMARRER NI ARRETER LE NAS).
Nous publions également une nouvelle politique de suppression des logiciels malveillants, qui analysera l'attaque de rançon et récupérera la clé de cryptage si le cryptage est toujours en cours.
Si vous aviez déjà arrêté / redémarré le NAS ou que le cryptage a été effectué, il n'y a malheureusement pas encore de solution. À ce moment, les données ne seront récupérables que si vous avez déjà effectué une sauvegarde.
Si vous constatez que le cryptage est toujours en cours (NE PAS REDEMARRER OU ARRETER LE NAS), suivez simplement les étapes ci-dessous pour obtenir la clé de cryptage, pendant que le processus est toujours en cours d'exécution.
Methode 1:
Install Malware Remover from APP Center and run it manually;
Connectez vous au nas par ssh:
http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe
Indiquer l'adresse IP du nas, port par défaut:22 le login admin et son mot de passe, il ne s'affichera pas c'est normal
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
Code:
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log /share/PublicSi la commande «Aucun fichier ou répertoire de ce type» signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour aider;
Si la commande a été exécutée sans problème, vous pouvez voir 7z.log dans le NAS dans le dossier Public, qui comprendra le mot de passe;
Le mot de passe ressemblera à ci-dessous:
Code:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]mFyBIvp55M46kSxxxxxYv4EIhx7rlTD est le mot de passe
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
Si vous ne savez pas comment lire le mot de passe, veuillez nous envoyer le message complet avec le journal de diagnostic du NAS se trouvant dans le "Centre d'assistance".
Methode 2:
Connectez vous au nas par ssh
https://www.qnap.com/en/how-to/knowledge-base/article/how-to-access-qnap-nas-by-ssh
Utilisez la commande ci-dessous pour savoir si le ransomware est en cours en faisant un copier-coller:
Code:
ps | grep 7zS'il n'y a pas de 7z, cela signifie que le NAS a été redémarré ou que le processus de cryptage est terminé, si tel est le cas, malheureusement, rien ne peut être fait pour vous aider;
Si 7z est en cours d'exécution, copiez / collez la commande ci-dessous et appuyez sur Entrée
Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
Code:
cat /mnt/HDA_ROOT/7z.logvoici la sortie:
Code:
a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTDle mot de passe de décrypage sera:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
rebootez le NAS et utilisez ce password pour décrypter les fichiers:
mFyBIvp55M46kSxxxxxYv4EIhx7rlTD
Désolé mais quand je me connecte avec Putty voilà ce que j'ai :
Console Management - Main Menu
1 Show Networdk
2 System event
3
4
5 etc jusqu'a Q : Quit
impossible de rentrer une ligne de commande.
Merci pour l'aide Cordialement
Console Management - Main Menu
1 Show Networdk
2 System event
3
4
5 etc jusqu'a Q : Quit
impossible de rentrer une ligne de commande.
Merci pour l'aide Cordialement
QoolBox a dit:
Est il possible de supprimer les dns et la passerelle par défaut du nas pour empêcher ce genre d'attaque à l'avenir ou cela ne change rien?
Le nas serait du coup uniquement en local.
dginformatique a dit:
semblerait ca passe par le 8080 d'après ce que j'ai compris (après je suis en congé cette semaine donc pas trop trop d'info) Donc si ce port est exposé et utiliser ...
toujours faire du HTTPS ou connexion SSL de l'extérieur... injection SQL à partir de MultiMedia console et Hybrid Backup Sync 3
toujours n'ouvrir que les ports nécessaires sur le NET ... on le répètera jamais assez souvent
Pour ma part j'ai ça :
Dois je mettre yes pour overwrite ou ça va effacer mes fichiers cryptés en .7z ?
J'ai ce message suite à la commande :
Pour ma part le port 8080 n'est plus actif depuis un bail, et le Nas est configuré pour ne pas répondre au ping ( si ma mémoire est bonne ), et double authentification, mais à priori ça n a servi à rien.
Code:
v 7z.sh 7z;DA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; m
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'?Dois je mettre yes pour overwrite ou ça va effacer mes fichiers cryptés en .7z ?
J'ai ce message suite à la commande :
Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@ >>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7 z.sh 7z;Pour ma part le port 8080 n'est plus actif depuis un bail, et le Nas est configuré pour ne pas répondre au ping ( si ma mémoire est bonne ), et double authentification, mais à priori ça n a servi à rien.
Tout à fait. A priori ca n'a pas l'air de passer par le port car les ports des miens sont changés aussi. Peut etre par injection SQL à partir de MultiMedia console et Hybrid Backup Sync 3....
Bon les gars ça commence à devenir compliqué de tout suivre, quand on ne s'y connait pas en informatique on a du mal à réaliser toutes ces étapes de commandes.
et j'ai contacté le service support de QNAP depuis 48H je n'ai AUCUNE REPONSE personnalisé, juste des copié collé pas facile à comprendre, c'est vraiment navrant
Merci d'apporter des réponses vraiment précises pour tout le monde, car persos ce virus bouffe notre quotidien depuis 2 jours ...
Si le NAS a été rebooté ou éteint est-ce qu'on est d'accord qu'il n'y a aucune solution possible pour le moment ? tous les fichiers cryptés sont perdus ?
Malware remover (mis à jour) ne trouve rien, pourquoi ? est-ce normal ? avons nous une notification si le virus est trouvé et supprimé ?
Doit-on changer le port 8080 ?
Est il possible de détailler un peu plus les étapes de votre solutions en entrant les commandes ? Car perso je me retrouve devant des réponses que je ne comprends pas ... peut être faire un tuto avec des captures d'écran serait beaucoup plus parlant ? désolé mais quand on est novice et sous pressions de ce virus c'est pas facile ?
Merci
et j'ai contacté le service support de QNAP depuis 48H je n'ai AUCUNE REPONSE personnalisé, juste des copié collé pas facile à comprendre, c'est vraiment navrant
Merci d'apporter des réponses vraiment précises pour tout le monde, car persos ce virus bouffe notre quotidien depuis 2 jours ...
Si le NAS a été rebooté ou éteint est-ce qu'on est d'accord qu'il n'y a aucune solution possible pour le moment ? tous les fichiers cryptés sont perdus ?
Malware remover (mis à jour) ne trouve rien, pourquoi ? est-ce normal ? avons nous une notification si le virus est trouvé et supprimé ?
Doit-on changer le port 8080 ?
Est il possible de détailler un peu plus les étapes de votre solutions en entrant les commandes ? Car perso je me retrouve devant des réponses que je ne comprends pas ... peut être faire un tuto avec des captures d'écran serait beaucoup plus parlant ? désolé mais quand on est novice et sous pressions de ce virus c'est pas facile ?
Merci
la ligne ne semble pas bonne
le processus 7z doit être actif... cela active les logs pour 7zip donc il faut patienter que le script malin passe sur un autre fichier
Code:
cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;le processus 7z doit être actif... cela active les logs pour 7zip donc il faut patienter que le script malin passe sur un autre fichier
MaximePavie a dit:
Si le NAS a été rebooté ou éteint est-ce qu'on est d'accord qu'il n'y a aucune solution possible pour le moment ? tous les fichiers cryptés sont perdus ?
c'est mort ... le process est tué
Malware remover (mis à jour) ne trouve rien, pourquoi ? est-ce normal ? avons nous une notification si le virus est trouvé et supprimé ?
tu as du rebooter
Doit-on changer le port 8080 ? toujours, ne jamais utiliser de ports standard... toujours les modifier
Merci pour la réponse, par peur de voir le virus s'engouffré j'ai éteint le NAS il y a 48H et redémarré seulement hier.
Du coup tous nos fichiers cryptés sont foutus ? ou doit-on attendre une nouvelle solution ?
Du coup tous nos fichiers cryptés sont foutus ? ou doit-on attendre une nouvelle solution ?
QoolBox a dit:
Merci de ton aide, et sur tes vacances ^^
Je ne sais pas à qui tu répondais avec ce message, mais tu indiques que la ligne de code ne semble pas bonne, pourtant c'est celle de ton tuto, que faut il écrire finalement ?
Merci
Pour ma part je n'ai pas tous les fichiers cryptés, j en ajoute donc en masse pour que le processus ne s arrête pas ( je ne sais pas si c est une bonne idée )
Bonjour,
Voilà ce que j'obtiens :
https://ibb.co/crGVMK1
On dirait que le cryptage est encore en cours ( commande n°1)
Mais impossible de lire le fichier 7z.log...
Merci pour l'aide
Voilà ce que j'obtiens :
https://ibb.co/crGVMK1
On dirait que le cryptage est encore en cours ( commande n°1)
Mais impossible de lire le fichier 7z.log...
Merci pour l'aide
AntoineMasselot a dit:Bonjour,
Voilà ce que j'obtiens :
https://ibb.co/crGVMK1
On dirait que le cryptage est encore en cours ( commande n°1)
Mais impossible de lire le fichier 7z.log...
Merci pour l'aide
Je suis pas un pro donc à prendre avec des pincettes ma réponse. Mais si tu lis page 3 le tuto de Qoolbox, il est indiqué que si tu as un message indiquant il ne trouve pas le fichier ( no such file ) c'est que ce soit le Nas a été redémarré et donc c'est mort soit le processus de cryptage des data du Nas par le malware est terminé et que c'est mort également.
Là où j'ai un doute c'est que certain fichier de mon nas ne sont pas cryptés, et Malware remover sur le nas, m a envoyé un mail indiquant qu il avait supprimé le malware MR2102 donc en étant logique si le malware est supprimé ( et j ai tous à jours en terme de logiciels, HBS etc sauf le firmware car obligation de reboot ) le processus de cryptage est interrompu.
Hélas les commandes indiqué par Qoolbox me donne une autre réponse
Code:
-sh: 7z.sh: Permission denied
chmod: 7z.sh: No such file or directory
mv: can't rename '7z': Permission denied
mv: overwrite '7z'?Je ne sais pas si il faut répondre Yes pour le overwrite ( sous entendu ça va effacer le " cryptage " ou effacer les fichiers en .7z )
autres solution de bleeping :https://www.bleepingcomputer.com/fo...crypting-with-extension-7z-read-metxt/page-23
FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK
MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER
The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.
You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)
1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)
HowTo: https://pureinfotech.com/setup-network-file-sharing-windows-10/
You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)
2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.
3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.
4. Connect to your samba share:
5. look for your architecture (uname -a) for i386 or x86_64
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux
6. Download testdisk
7. Untar testdisk, go to the directory and change the permissions of the executable
8. Search for your volume. At me it was '/dev/mapper/cachedev1' (You can use df -h for it) and note it
9. open photorec_static with 'sudo ./photorec_static'
10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)
11. choose the ext2/3/4 partition
12. choose ext2/ext3 option
13. choose FREE option
14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)
15. wait and the files would be recover in folders named 'recup_dir.X' on the share
16. sort the results (HAVE FUN xD)
Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!
FIRST: NO WRITING/CHANGE/DELETE/CRTEATE FILES AFTER ENCRYPTION ATTACK
MAKE SURE THE NAS IS NOT AVAILABLE IN THE INTERNET, DELETE ALL EXPOSED HOST RULES ON YOUR ROUTER
The files are deleted after archiving and encrypting with 7z and exists in the not allocated space of your disk.
You need to have access the ssh terminal of your QNAP NAS (you can activate it over the GUI it doesn't change your data)
1. Create a samba share on your windows computer (yes it should be work on linux or macOS but I didn't tried it)
HowTo: https://pureinfotech.com/setup-network-file-sharing-windows-10/
You should use your Windows Account with a password (if your account haven't one, create it. You can delete it after recovering)
2. Login over SSH (Putty on Widows) on your NAS. You should use ypur admin credentials to login.
3. After Login you get an screen with some option. You didn't need it ant press only 'Q'. (Confirm it with 'Y') You should get a shell.
4. Connect to your samba share:
Code:
mkdir /mnt/rescue-share
sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share
cd /mnt/rescue-share5. look for your architecture (uname -a) for i386 or x86_64
Linux NAS-XXXX 4.14.24-qnap #1 SMP Tue Mar 2 06:10:10 CST 2021 x86_64 GNU/Linux
6. Download testdisk
Code:
i386: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26.tar.bz2 -O testdisk.tar.bz2
x86_64: wget https://www.cgsecurity.org/testdisk-7.2-WIP.linux26-x86_64.tar.bz2 -O testdisk.tar.bz27. Untar testdisk, go to the directory and change the permissions of the executable
Code:
tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static9. open photorec_static with 'sudo ./photorec_static'
10. choose the /dev/mapper/cachedev1 disk (it should be the disk from step 8)
11. choose the ext2/3/4 partition
12. choose ext2/ext3 option
13. choose FREE option
14. chosse the directory you want on the share (if you follow exactly the steps, you only need to select once '..' and after it press c)
15. wait and the files would be recover in folders named 'recup_dir.X' on the share
16. sort the results (HAVE FUN xD)
Big thanks to the guys of received.eu and Tobias Vorwachs (https://twitter.com/tobias_vorwachs) for the help!