Asustor J'ai été affecté par la rançongiciel Deadbolt comment retrouver l'accès à ADM?

[Fred14130]

Hello,
Trop écoeuré, j'ai revendu mes 2 NAS, l'Asustor et le WD...
MAIS, j'ai récupéré mes dossiers infectés, au cas ou...
du coup, ma question est: Possible de faire quelque chose avec ces dossiers sur un HDD avec W11 ?
Cdt
Fred

 

[Eoledhv]

Voir la pièce jointe 4995
En introduction : ASUSTOR Inc ne dispose pas, à ce jour, de logiciel de déchiffrement des fichiers chiffrés ("cryptés"). L'application disponible, dans le lien ci-dessous ne permet aucunement cela.

Voici comment retrouver accès à ADM tout en le patchant.
J'invite par ailleurs toujours à suivre cette documentation créée fin 2020 pour vous prémunir d'éventuelles autres attaques et à poursuivre les efforts sauvegardes comme la sauvegarde 3-2-1 comme expliqué dans cet excellent article.

Autres suggestions de sécurité :
- désactiver Ez-routeur (ADM - Réglages - Connexion Manuelle - Ez-Routeur) qui utilise le protocole UPnP qui est toujours dangereux en 2022 => https://www.upguard.com/blog/what-is-upnp et utiliser la redirection manuelle de ports de votre box
- télécharger Geo-IP et ajouter des continents/pays/IP dans la liste noire
- activer l'authentification en 2 étapes https://www.asustor.com/fr/online/College_topic?topic=122
- désactiver le compte Guest s'il n'est pas utilisé dans ADM - Contrôle d'Accès - Utilisateurs Locaux
- mettre à jour automatiquement ADM et les applications
- rediriger http vers https dans ADM - Réglages - Général
- n'ouvrez pas smb et afp en dehors du LAN
- installer uniquement des applications à partir d'App Central
- activer les notifications (e-mails ou AiMaster ou sms)
- utiliser des protocoles sécurisés : FTPS, Rsync over ssh, WebDav SSL
- utiliser DR Asustor, vérifier et appliquer ses conseils
- télécharger et utiliser ClamAV (scan programmé) - ne prémunit pas des rançogiciels mais neutralise les virus

Je vous joins par ailleurs, une sorte de "logigramme interne" illustratif, ci-dessous, qui, j'espère, vous aidera à comprendre la doc


Voir la pièce jointe 4985
Voir la pièce jointe 4986

Bonjour, j'ai télécharger Ransomware status pour déchiffrer les fichiers infecté, mais lors de l'installation, le système dit que l'appli n'est pas correcte...
y a t il une autre solution pour déchiffrer les fichiers infectés?
Merci pour l'aide

 

[Drthrax74]

Bonjour,

As tu pris le bon firmware pour ton matériel ou ton fichier doit être corrompu.

 

[Eoledhv]

Bonjour, j'ai télécharger Ransomware status pour déchiffrer les fichiers infecté, mais lors de l'installation, le système dit que l'appli n'est pas correcte...
y a t il une autre solution pour déchiffrer les fichiers infectés?
Merci pour l'aideVoir la pièce jointe 5770Voir la pièce jointe 5769

Merci pour les informations... mais alors à quoi sert "Ransomware status"?
Bonne soirée

 

[Drthrax74]

Bonjour,
Pour moi au vu du nom "Ransomware Status" sert à vérifier le statut si tu es infecté par DEADBOLT lors de la mise à jour.

 

[Dami1]

Ransomware status permet, quand on a installé la 4.0.5 uniquement (les versions supérieures ne permettent plus de récupérer la page du rançongiciel) de pouvoir faire réapparaitre la page noire de la mort qui tue pour saisir la clé si l'utilisateur souhaite payer les escrocs

 

[Drthrax74]

Bonjour,
Est ce que Asustor a pu trouvé un outil pour le déchiffrement ?

 

[tu_joues_la_meNAS]

Je ne sais pas si tu connais ce site : https://www.nomoreransom.org/fr/index.html . Pour l'instant Deadbolt n'est pas dans la liste mais peut-être un jour.

 

[Dami1]

non malheureusement
ce sont plus des sociétés comme Avast qui fournissent ce type d'outils
mais le code n'est pas connu et la police a mis la main sur seulement 155 clés (sur 3600 périphériques concernés toutes marques confondues)

Dutch Police obtain 155 decryption keys for Deadbolt ransomware victims

Police in the Netherlands said they were able to obtain decryption keys for 155 victims of the Deadbolt ransomware group.

therecord.media

de plus le site pour tester s'il est possible de tester ces fichiers a été mis hors ligne par les forces de l'ordre . j'ignore pourquoi

 

[CyTo]

Bonjour,

Où en sommes nous de ce virus ?
Est-ce que nous pouvons désormais réactiver l'accès au NAS depuis le web ?

 

[actarus]

Bonjour,

Où en sommes nous de ce virus ?
Est-ce que nous pouvons désormais réactiver l'accès au NAS depuis le web ?

On pas vraiment eu d'infos depuis l'attaque, hormis le fait de nous donner de recommandations, pas de billet officiel d'Asustor

 

[Dami1]

Bonjour,

Où en sommes nous de ce virus ?
Est-ce que nous pouvons désormais réactiver l'accès au NAS depuis le web ?

oui depuis 2-3 ans en suivant les conseils de Dr ASUSTOR (ADM 4.0 ou version ultérieure) ou en suivant cette doc
si le NAS n'est plus mis à jour, il est déconseillé de l'exposer sur Internet
Deadbolt a fait l'objet d'une intervention de police qui s'est soldée malheureusement que par la fuite de quelques clés.
Les escrocs qui ont attaqué ASUSTOR mais aussi QNAP et TERRAMASTER courent toujours
Nous faisons de notre mieux pour mettre ADM à jour régulièrement et pour sensibiliser nos clients à la sécurité (désactiver admin, activation liste noire auto, mot de passe fort etc.) et à faire des sauvegardes car un NAS ne dispensera jamais de sauvegarde

 

[Drthrax74]

Bonjour,
Malheuresement le risque 0 n'existe pas.