Qnap HELP Ransomware .muhstik

megakroug

megakroug

Apprenti
30 Octobre 2016
72
0
6
Bonjour,

Je suis actuellement complètement flippé car depuis hier mon nas a été infecté par un ransomware qui a encrypté tous mes fichiers.
Une extension .muhstik est ajouté sur l'ensemble des fichiers et impossible de les ouvrir.
Je commence à chercher une solution, si quelqu'un a une idée je suis preneur.
J'ai un fichier README_FOR_DECRYPT.txt qui m'incite a faire un versement en Bitcoin, je n'ose même pas y penser...

Quelqu'un a-t-il déjà rencontré ce problème ?

Merci à quiconque pourra m'aider.

:-? :oops:
 
C est un crypto virus qui vient des PC windows et crypte via les partages reseau... Ou exploite des failles de vielles Version de drupal et phpmyadmin.... Pas de solution... Restau avec snapshot ou restauration du backup...

Envoyé de mon MI 9 en utilisant Tapatalk

 
Merci pour vos réponses, malheureusement pour moi pas de snapshot ni de backup.
J'ai vraiment merdé sur ce coup...
 
Idem pour moi !!!
J'ai aucune sauvegarde ou autre....

Comment faire pour que ce qui n'est pas atteint pour le moment ne le soit pas après.

Je veux dire que sur le NAS certain fichier ne sont pas crypter (très peu).
Comment faire pour pas qu'il le devienne?

Je suis juste désespéré... toutes les photos et vidéos des enfants....
 
papapoule a dit:
Idem pour moi !!!
J'ai aucune sauvegarde ou autre....

Comment faire pour que ce qui n'est pas atteint pour le moment ne le soit pas après.

Je veux dire que sur le NAS certain fichier ne sont pas crypter (très peu).
Comment faire pour pas qu'il le devienne?

Je suis juste désespéré... toutes les photos et vidéos des enfants....
Cliquez pour agrandir...
Comme je compatis, je suis dans la même situation, plus de photos des enfants depuis leurs naissances ...

J'ai regardé sur le net, le sujet commence à fleurir sur un paquets de forums étrangers, j'ai bon espoir que des chercheurs en sécurité se penchent sur le sujet....
 
le problème vient de phpmyadmin ... et l'avez exposez au NET

et

soit vous avez laissez admin comme mot de passe root
soit le mot de passe root s'est fait hacké (Brute Force, Dictonnary ...)

la R&D regarde s'ils peuvent créé un scipt/logiciel de décrypt.. mais ça semble chaud...
 
Yesss ! j'ai tiré le gros lot également hier soir !! :evil:
Perso je n'arrive même plus à accéder l'ouverture de session. Mais je peux y accéder via AFP/MacOs

Bon j'ai un NAS de réplication qui lui n'est pas touché donc je peux restaurer, mais je vais attendre un peu si toutefois une soluce émergeait par ici, ou ailleurs... je fouille

Edit : Ben manifestement c'est une attaque massive sur les Qnap : France, Allemagne, Pologne, Belgique, USA...ça chouine un peu partout.

Faille de sécurité de phpmyadmin je veux bien, mais force brute sur psw de l'admin je doute : le mien fait 12 car maj/min/chiffre/car.spé.
Vu l'étendue et la simultanéité plutôt un trou dans la raquette QTS non ?
 
StephRun a dit:
Faille de sécurité de phpmyadmin je veux bien, mais force brute sur psw de l'admin je doute : le mien fait 12 car maj/min/chiffre/car.spé.
Vu l'étendue et la simultanéité plutôt un trou dans la raquette QTS non ?
Cliquez pour agrandir...
Mon mot de passe root a été changé dès la 1ère mise en route du Nas et il est plutôt corsé aussi.
Je pense aussi à un problème de firmware en 4.4.1 et/ou un problème de phpmyadmin, mais je ne vois pas en quoi je serais fautif. J'ai un usage tout ce qu'il y a de plus classique avec mon Nas...

Petite question à ceux qui se sont également faits encryptés, êtes vous en 4.4.1 et vez-vous phpmyadmin ?
 
quel version de phpmyadmin ?

ce soft est une vrai passoire...

après pionai, pionei, kionai et EchoRAIX... c'est muhstick qui passe par cette porte...
 
ok pas ma version ... 4.9.1 (ou 4.9.0.1) du qnapclub

sinon je la refais direct pour passer un port custom... et non plus le port Web standard (tant pis pour la compatibilité descendante avec les anciens modèles)
 
Bonjour,
Si mes yeux semblent encore bons, il semblerait que QNAP ait déjà trouvé une solution sur laquelle je viens de tomber et de partager ailleurs. Un script issu des locaux de QNAP existe:
https://translate.google.fr/translate?hl=fr&tab=wT&sl=auto&tl=fr&u=https%3A%2F%2Fforum.qnapclub.de%2Fthread%2F53145-muhstik-maleware-befall%2F
Je n'ai évidemment pas cette galère, donc pas testé mais je vous invite à lire la version française du forum Allemand. Soyez encore gentil avec les traductions de Google :)
En espérant que ce que j'ai pu trouver aide.
Cordialement.
FredP
PS: je n'ai pas tout lu du post... Les Allemands savent être aussi bavards :)
 
Bonjour,
Moi, j'y vois un script "curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh" donc à télécharger pour retélécharger un autre script certainement pour un maintien des mises à jour de code facilité: wget -nv -O "$bin" "https://download.qnap.com/Storage/tsd/utility/clean/${bin}?t=${ts}" .
Cependant mes compétences s'arrêtent peut-être un peu là... SI je me trompe, excusez-moi du temps perdu.
Cordialement.
FredP
PS: je viens d'en lire un peu plus, la page 2 est rempli de bla-bla.
Un lien existe quand même pour faire un peu de ménage sur les PC infectés qui pourraient être à l'origine de ça: https://translate.googleusercontent.com/translate_c?depth=1&hl=fr&rurl=translate.google.fr&sl=auto&sp=nmt4&tl=fr&u=https://topvirusremoval.com/muhstik-file-virus-ransomware-muhstik-file-recovery&xid=17259,15700023,15700186,15700191,15700256,15700259,15700262,15700265,15700271&usg=ALkJrhig_2z9mRnnjeXHvWBQKkHCyAnTnQ
 
rien a voir ce script... ce n'est pas pour cela

je suis le bugtracker de la R&D, et je peux affirmer à 100% qu'il n'y a pas de solution pour le moment
 
pour les contaminés.. vous pouvez faire avancer les choses : https://www.bleepingcomputer.com/forums/t/617854/ech0raix-ransomware-qnapcryptsynology-nas-encrypt-support-topic

If you can find the malicious executable that you suspect was involved in causing the infection, it can be submitted here: https://www.bleepingcomputer.com/submit-malware.php?channel=168 with a link to this topic (https://www.bleepingcomputer.com/forums/t/617854/ech0raix-ransomware-qnapcryptsynology-nas-encrypt-support-topic/page-25) ...it's best to zip (compress) all files before sharing. There is a "Link to topic where this file was requested" box under the Browse button. Doing that will be helpful with analyzing and investigating by our crypto malware experts. Alternatively, you can upload a sample to VirusTotal ( https://www.virustotal.com/) and provide a link to the results.
 
Bonjour,
Autant pour moi, je retourne à mon tricotage.
Bon week-end par avance.
Cordialement.
FredP
 
Bonjour,

Je ne suis pas concerné, mais j'aimerais savoir par quels moyens les "bads guys" sont entrés sur les Nas ?
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour