Asustor ADM 4.0.4.RQO2

[Dami1]

Bonjour

info reçue à l'instant.
Pour les utilisateurs qui n'ont pas été victimes de l'attaque, nous avons publié une mise à jour du firmware.

Configuration système requise:​

AS10, 31, 32, 40, 50, 51, 61, 62, 63, 64, 70, Nimbustor, Drivestor, Drivestor Pro, Lockerstor, Lockerstor Pro​

Annonce importante:​

En réponse aux attaques de rançongiciel, le micrologiciel ADM a été mis à niveau pour résoudre les problèmes de sécurité associés.
ASUSTOR recommande fortement de prendre les mesures suivantes pour garantir la sécurité de vos données:

• Changez votre mot de passe.
• Utilisez un mot de passe fort.
• Changez les ports HTTP et HTTPS par défaut. Les ports par défaut sont respectivement 8000 et 8001.
• Changez les ports de serveur web par défaut. Les ports par défaut sont respectivement 80 et 443.
• Eteignez les services Terminal/SSH et SFTP et les autres services dont vous n’auriez pas besoin.
• Faites des sauvegardes régulières et assurez-vous que les sauvegardes sont à jour.

Gardez votre NAS ASUSTOR à jour car les mises à jour fournissent des correctifs de sécurité.
Cliquez ici pour en savoir plus sur la protection de vos données contre les rançongiciels.

Remarques avant l’installation:​

• ASUSTOR recommande de sauvegarder les données importantes avant de mettre à jour ADM.
• Votre NAS va redémarrer pour terminer la mise à jour.
• Après la mise à niveau vers ADM 4.0.4, il ne sera plus possible de revenir à une version précédente.
• L'utilisation du CPU augmentera temporairement après la mise à jour d'ADM 3.5 vers ADM 4.0 car les vignettes d’images seront reconstruites.
• ADM 4.0 n’est pas proposé sur les séries AS-20, AS-30 et AS-60 en raison de la suppression du support matériel. Avec ADM 3.5.x, seules les mises à jour de sécurité seront fournies.

Journal des modifications:​

• Corriger les failles de sécurité.

Limitations:​

• Le mode d’affichage local de Surveillance Center, après mise à jour vers ADM 4.0, ne sera plus disponible.
• Après mise à jour vers ADM 4.0, TV les dongles TV USB ne seront plus compatibles.
• UPnP Media Server et iTunes Server ne pourront plus être installés et utilisés avec ADM 4.0 et ses versions ultérieures. Ces applications sont supprimées après la mise à jour d’ADM.
• La version actuelle de RALUS (14.2.1180.r66) ne peut plus fonctionner sur ADM 4.0.
• iTunes Server n’est plus fonctionnel avec ADM 4.0. Veuillez utiliser OwnTone comme solution palliative.
• Après mise à jour vers ADM 4.0, veuillez mettre à jour toutes les applications multimédias pour offrir une compatibilité maximale.
• Les volumes, y compris les volumes MyArchive, créés sur des périphériques ADM 4.0 utilisant le Kernel 5 de Linux, ne peuvent plus être lus sur l’AS6004U sur série AS10.
• Veuillez cliquer ici pour en savoir plus au sujet des applications supprimées dans ADM 4.0.

 

[Majestic1369]

Bonjour,
Un grand merci à Asustor pour la mise à jour d'ADM 4.0.4.RQ02 (Uniquement pour les utilisateurs qui ne sont pas touchés par le Ransomware Deadbolt)
Une grosse pensée aux utilisateurs touchés. J'espère qu'une solution sera vite trouvée pour décrypter les fichiers.

 

[Dami1]

Communiqué officiel

surtout ne tenez pas compte du lien posté ci-dessus sans avoir les instructions officielles car il existe plusieurs cas de figure
J'ai une sorte de "logigramme" sous les yeux et attention à ne pas sauter sur la première info qui passe et à ne pas foncer
attendez que je communique officiellement sur le sujet voire qu'un ingénieur support vous contacte.
je vous tiens au courant au fil de l'eau.

bonne soirée

 

[shaks2022]

bonjour
J'ai upgradé un 1er NAS pas infecté en ADM 4.0.4.RQO2 ( AS3102T ).
Pas de soucis particulier, on a le droit à une belle page de garde de rappel des bonnes pratiques ... bonne idée, ça peut pas faire de mal.

 

[EndMove]

bonjour
J'ai upgradé un 1er NAS pas infecté en ADM 4.0.4.RQO2 ( AS3102T ).
Pas de soucis particulier, on a le droit à une belle page de garde de rappel des bonnes pratiques ... bonne idée, ça peut pas faire de mal.
Bonsoir @shaks2022 ,

La nouvelle version fait en effet bien sont travail, les serveurs infectés sont correctement purgés du ransomware, et patchés. Néanmoins j'ai dore et déjà remarqué quelques problèmes notamment avec une librairie C qui semble avoir disparue, impactant certaines commandes en terminal. Rien de grave en cas d'utilisation standard du serveur, j'ai dore et déjà signalé le problème.

Pour les personne qui ont été touché, le patch ne supprime pas les fichiers .deadblot et il semble que le système de compression d'image d'ADM tente de compresser les fichier .deadblot, ce qui peut causer une augmentation inutile de la charge CPU.

Il serais alors bon de partir à la chasse de ces fichiers en allant à la racine de son serveur via SSH

cd /

et en lançant une recherche approfondie :

find . -type f -name "*.deadbolt" > list-corrupted-files.txt

vous trouverez donc ensuite le fichier "list-corrupted-files.txt" à la racine du serveur, plus qu'a faire le ménage.

(INFO: pour avoir décompilé l'image du fichier de mise à jour, il localise et détruit bien le processus de Deadblot)

Cordialement,
Jérémi N. `EndMove`.

 

[Drthrax74]

Salut,
Pour la commande, il faudrait partir de la racine .

Procédure SSH :
Passage en "root" :
sudo -i

Chercher les fichiers en .deadbold depuis la racine:
find / -type f -name "*.deadbolt" > /root/File.txt

Afficher le contenu:
cat /root/File.txt

Pour Naviguer dans le fichier :
less /root/File.txt

 

[shaks2022]

bonjour
maj firmware du 2ème nas ok ( as6602t lockerstore) . RAS. Aucune infection détectée.

 

[Kogoro]

Salut,
Pour la commande, il faudrait partir de la racine .

Procédure SSH :
Passage en "root" :
sudo -i

Chercher les fichiers en .deadbold depuis la racine:
find / -type f -name "*.deadbolt" > /root/File.txt

Afficher le contenu:
cat /root/File.txt

Pour Naviguer dans le fichier :
less /root/File.txt

J'ai trouvé que 4 fichiers, par contre il y en a un que j'arrive pas a supprimer car il contient des espace dans le nom de fichier et avec la commande "rm" ça ne marche pas a cause des espaces justement ^^.

Bon après pour un fichier on va pas en faire tout un plat x)

 

[JacquesNAS]

dans le repos du fichier :
rm -f "<nom du fichier avec espace>"
ou bien
rm -f nom* sous reserve qu'il n'y ait pas de fichier qui commence par nom dans le même repo.

 

[Drthrax74]

J'ai trouvé que 4 fichiers, par contre il y en a un que j'arrive pas a supprimer car il contient des espace dans le nom de fichier et avec la commande "rm" ça ne marche pas a cause des espaces justement ^^.

Bon après pour un fichier on va pas en faire tout un plat x)

Bonjour pour supprimer un fichier avec un espace, tu devrais le mettre en '' .

rm 'mon fichier.ext'

 

[lanthalas]

bonsoir,
sur mon NAS je retrouve encore plein de fichier .deadbolt dans la partie système. la je ne sais pas trop quoi faire....

 

[davidou]

bonsoir,
sur mon NAS je retrouve encore plein de fichier .deadbolt dans la partie système. la je ne sais pas trop quoi faire....

même problème que toi ;
j'ai supprimé et remis certaine applications et du coup ca fait disparaître des fichiers .deadbolt; mais il en reste ...

 

[lanthalas]

même problème que toi ;
j'ai supprimé et remis certaine applications et du coup ca fait disparaître des fichiers .deadbolt; mais il en reste ...

je viens de dégager tous les plugins. Ca fait déjà un gros ménage. Donc pour tous, malgrès l'installation de la nouvelle version d'ADM, mieux vaut supprimer tous les plugins et les réinstaller.

ensuite il m'en reste quelques un. Les wallpaper on s'en moque, par contre j'ai des fichier d'ezsync/admin et ca c'est moins bien

Message automatiquement fusionné : 27 Février 2022

En fait l'installation d'ADM a recréé les fichier normaux, on peux supprimer les .deadbolt sans soucis.

 

[davidou]

je viens de dégager tous les plugins. Ca fait déjà un gros ménage. Donc pour tous, malgrès l'installation de la nouvelle version d'ADM, mieux vaut supprimer tous les plugins et les réinstaller.

ensuite il m'en reste quelques un. Les wallpaper on s'en moque, par contre j'ai des fichier d'ezsync/admin et ca c'est moins bien

Message automatiquement fusionné : 27 Février 2022

En fait l'installation d'ADM a recréé les fichier normaux, on peux supprimer les .deadbolt sans soucis

c'est quoi le plugin associé à .@plugins/AppCentral (ou il me reste principalement des fichiers .deadbolt ? tu as supprimé les fichiers à la main ?

 

[lanthalas]

oui une fois retiré tous les plugin dans APP central, il me restait des fichiers .deadbolt comme celui que tu indiques. Pour chacun je suis allé voir les répertoires et je les ai supprimé à la main rm *.deadbolt. En fait les fichiers propres ont été recréés par la maj ADM.

 

[davidou]

oui une fois retiré tous les plugin dans APP central, il me restait des fichiers .deadbolt comme celui que tu indiques. Pour chacun je suis allé voir les répertoires et je les ai supprimé à la main rm *.deadbolt. En fait les fichiers propres ont été recréés par la maj ADM.

merci !

 

[antoine_la]

Avec cette maj je n'ai plus le moniteur des tâches. Avez-vous la même chose?

 

[Cyberdom]

De mon côté, le Moniteur d'Activité fonctionne correctement.

 

[antoine_la]

Le démarrage du NAS est également particulier, en effet quand je l'allume, la diode verte ainsi que l'affichage BOOTING apps.... durent bien plus longtemps que d'habitude. Par contre durant ce moment j'ai accès au nas sans problème. Et le bip de démarrage intervient 5-6 minutes après.
J'ai effectué une réiniitlisation du nas après avoir été contaminé par deadbolt. Aurait-il fallu formater les disques un par un?

 

[samavi95]

Bonjour à tous et un grand merci à Damien pour son aide précieuse !
J’ai été infecté par deadbolt
j’ai 2 volumes installés en mode single
seul les fichiers de mon Volume 1 sont infectés (cryptés)
Dieu merci mes photos et vidéos perso sont sur le Volume 2
Ma question de survie est la suivante :

Si je procède à la mise à jour ADM comme indiqué, est-ce que mon Volume 2 sera effacé ?

chose que je dois absolument éviter !!!
Merci d’avance pour vos conseils