QNAP [ Malware Qlocker ] Encryption 7z avec mot de passe

[ADesa]

Bonjour à tous,

QNAP vient de m'envoyer ça, peut être que cela servira à quelqu'un. De mon côté j'ai un retour "cp: target `Public' is not a directory"

Short update:
a customer has sent us a solution (at your own risk):
here are the instructions:
1. Run Malware Remover manually.
2. Call up NAS via ssh
3: Q and Y
4: Enter command:
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
5. Open the 7z.log file in the public folder, the password is there! It is important to leave out 2 places beforehand
(Please report)

Si cela fonctionne chez quelqu'un, malgré la mention "at your own risk" qui n'est pas des plus rassurante, c'est peut-être intéressant, j'avoue ne pas avoir les connaissances nécessaires pour arriver au bout de la procédure.

 

[AntoineMasselot]

Bonjour à tous,

QNAP vient de m'envoyer ça, peut être que cela servira à quelqu'un. De mon côté j'ai un retour "cp: target `Public' is not a directory"

Short update:
a customer has sent us a solution (at your own risk):
here are the instructions:
1. Run Malware Remover manually.
2. Call up NAS via ssh
3: Q and Y
4: Enter command:
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
5. Open the 7z.log file in the public folder, the password is there! It is important to leave out 2 places beforehand
(Please report)

Si cela fonctionne chez quelqu'un, malgré la mention "at your own risk" qui n'est pas des plus rassurante, c'est peut-être intéressant, j'avoue ne pas avoir les connaissances nécessaires pour arriver au bout de la procédure.

Bonjour, cette méthode a été donné par Qoolbox en page 3 et n'a pas fonctionné pour moi car le cryptage était terminé.
a++

 

[ADesa]

Bonjour à tous,

QNAP vient de m'envoyer ça, peut être que cela servira à quelqu'un. De mon côté j'ai un retour "cp: target `Public' is not a directory"

Short update:
a customer has sent us a solution (at your own risk):
here are the instructions:
1. Run Malware Remover manually.
2. Call up NAS via ssh
3: Q and Y
4: Enter command:
cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
5. Open the 7z.log file in the public folder, the password is there! It is important to leave out 2 places beforehand
(Please report)

Si cela fonctionne chez quelqu'un, malgré la mention "at your own risk" qui n'est pas des plus rassurante, c'est peut-être intéressant, j'avoue ne pas avoir les connaissances nécessaires pour arriver au bout de la procédure.

Bonjour, cette méthode a été donné par Qoolbox en page 3 et n'a pas fonctionné pour moi car le cryptage était terminé.
a++

Mince, je ne l'avais pas vu passer. De toute évidence, QNAP est bien à la ramasse vu qu'ils viennent de me l'envoyer. Désolé pour le repost

 

[AntoineMasselot]

On fait ce que l'on peut pour aider ! C'est comme ça que ça avance.
Qnap m'a contacté tout à l'heure pour me dire que si le mot de passe n'a pas été récupéré pendant le cryptage, il est impossible de le trouver. Il fallait s'en douter.
Ils me donnent deux liens de forum pour essayer de récupérer les données et l'un des 2 liens renvoi au poste qu'on est entrain de commenter !
a++

 

[crashseb]

Bonjour à tous,

Je suis moi aussi infecté et attend une possible solution le cryptage a de mon coté je pense été interrompu par le scan Malware Remover puisque j'ai encore des fichiers non cryptés et j'ai un uptime de 2 mois...

Pour les personnes qui auraient payé ou qui ont la chance d'avoir pu recup leur pass, j'ai trouvé un post sur un forum anglais d'un mec (prénommé Erlis) qui a dév un petit outil pour décompresser tous les fichiers 7z avec le mot de passe et qui suppr le 7z s'il s'est correctement extrait :
ATTENTION IL INDIQUE BIEN D'EFFECTUER UN TEST AVANT DE LANCER EN MASSE !!!

Hi All,



After I paid and got my password I noticed how hard will be to put my NAS in the state it was before, so I created a program decrypt all the files, delete them only if they were unzipped with the password and deletes those .txt files.



The program is running 10 concurrent zip process so it should be faster than trying to do it one at a time! I'll recommend that after you run it once vs a folder you close it and open it again, I haven't had the time to make it "pretty" I just did this and it works for me and I though it will be nice to share with the rest of you...



The program can be downloaded here, and it will just run in Windows (Sorry Mac users)



https://drive.google.com/file/d/1AKJaKVN5BnG-_IbClTgvdXaXBRjaZZJX/view?usp=sharing



Here is a screen shot of the program running on my computer and this forum on the background, if you want to test it just copy a few folders with the MTFs 7zip files and test it on a small sample before running it on your NAS,



I'll be checking here in case you guys any question... I really hope this help someone....



PLEASE!! Test it before you run it vs your NAS, make sure you get the same number of files, I'm not responsible if this fails, I'm just trying to help

 

[crashseb]

On fait ce que l'on peut pour aider ! C'est comme ça que ça avance.
Qnap m'a contacté tout à l'heure pour me dire que si le mot de passe n'a pas été récupéré pendant le cryptage, il est impossible de le trouver. Il fallait s'en douter.
Ils me donnent deux liens de forum pour essayer de récupérer les données et l'un des 2 liens renvoi au poste qu'on est entrain de commenter !
a++

j'ai eu le meme message que toi avec des erreurs dans les commandes et avec des espaces n'importe où... les gars se foulent pas ils donnent juste des astuces trouvées par les internautes...

 

[bigorno]

Bonjour,

Je pense que la question à se poser est maintenant, que faire pour ne pas se retrouver (à nouveau !) avec des fichiers cryptés ? En tous les cas, c'est la question que je me pose. Car pour le moment j'ai réussi à passer à travers l'orage sur mes deux NAS... Pas de fichiers cryptés, pas de trace de Qlocker ...

J'ai parcouru ces derniers jours plusieurs forum sur ce malware. On voit que les NAS ont été infectés même avec le firmware à jour, même patchés sur les appli multimédia, certains même patchés sur HBS3, et même avec le port 8080 désactivé et le 443 modifié avec autre chose. Perso je n'ai pas patché dès le premier jour et le port 443 n'a pas été changé.
Ma seule particularité est que j'ai paramétré ma box sur laquelle sont branchés mes NAS pour ne pas rediriger les ports de façon "directe". Explications : Ma box ne fait pas de redirection du port WAN 443 vers le 443 du NAS. J'ai pris un port au hasard (sup à 10000) pour le rediriger vers le 443 du NAS. Ainsi il faut indiquer le "bon" port pour accéder au NAS depuis Internet. Cela complique, je pense, un peu la tache aux hackers s'il faut tester 65535 ports. Et faire une tentative de connexion avec le 443 n'aboutit à rien.

Par ailleurs je reste perplexe sur le fait que des NAS ont été infectés alors que le port HTTPS 443 avait été changé. D'autre part l'attaque a été massive sur plusieurs milliers de machines. J'en viens à me demander si QNAP cloud link n'a pas été piraté chez QNAP à Taiwan, car il contient si je ne trompe pas l'adresse IP et le num de port. Ainsi avec une faille dans HBS3 qui contient les droits admin en dur et la bonne adresse IP + num port, cela devient assez facile d'injecter du code pour un pirate... A vérifier. Et surtout une attaque peut se renouveler très facilement si une nouvelle faille est trouvée sur HBS3 !!

Mais je me trompe peut-être. Je ne suis pas informaticien, seulement un utilisateur des NAS QNAP pour mon usage perso et familial depuis 12 ans.
Au final, ma recommandation (et elle n'engage que moi avec mes maigres connaissances) est :
1- si connexion Internet nécessaire, ne pas utiliser les ports standards et faire des "redirections indirectes" sur la box avec des ports pris au hasard
2- ne pas utiliser myqnapcloud.com mais un autre DDNS ou reverse proxy d'un FAI, ou encore l'IP de la box si IP fixe.
3- bien évidemment patcher dès que QNAP met des MAJ en ligne.

Je pense à ceux qui galèrent pour retrouver leurs fichiers. Courage !!

Bonsoir, vous n'êtes pas informaticien (ce qui, d'ailleurs, veut tout et rien dire : on peut être développeur et ne rien connaître de l'administration des systèmes) mais il me semble que vous avez les bons réflexes. Ça et de bonnes sauvegardes et tout se passera bien.
J'aime beaucoup votre message. ??
Bonne soirée.

 

[schwinny]

On fait ce que l'on peut pour aider ! C'est comme ça que ça avance.
Qnap m'a contacté tout à l'heure pour me dire que si le mot de passe n'a pas été récupéré pendant le cryptage, il est impossible de le trouver. Il fallait s'en douter.
Ils me donnent deux liens de forum pour essayer de récupérer les données et l'un des 2 liens renvoi au poste qu'on est entrain de commenter !
a++

j'ai eu le meme message que toi avec des erreurs dans les commandes et avec des espaces n'importe où... les gars se foulent pas ils donnent juste des astuces trouvées par les internautes...

Put... desolé mais la je ne peux que répondre.

rien contre vous mais 4 pages que ca râle...

Vous voulez que Stephane (qoolbox) et Ratana fasse quoi concrètement ?
ils sont sous l'eau, ont plus de 500 dossiers en cours et pas de solution... c'est crypté... point barre.
vous payez ou sortez les backups... pas d'autres choix

Alors oui ils naviguent a vue oui mais avez vous deja eu au moins un seul dossier de cryptage sur un serveur a gérer ?

ok, cest inadmissible cette faille... Inadmissible que des ID soient codés en dur dans un progs....
ca on est ok la dessus

mais une fois ce mal fait... que voulez vous qu'ils vous disent ?

Perso; je leur souhaite bien du courage !

 

[AntoineMasselot]

On fait ce que l'on peut pour aider ! C'est comme ça que ça avance.
Qnap m'a contacté tout à l'heure pour me dire que si le mot de passe n'a pas été récupéré pendant le cryptage, il est impossible de le trouver. Il fallait s'en douter.
Ils me donnent deux liens de forum pour essayer de récupérer les données et l'un des 2 liens renvoi au poste qu'on est entrain de commenter !
a++

j'ai eu le meme message que toi avec des erreurs dans les commandes et avec des espaces n'importe où... les gars se foulent pas ils donnent juste des astuces trouvées par les internautes...

Put... desolé mais la je ne peux que répondre.

rien contre vous mais 4 pages que ca râle...

Vous voulez que Stephane (qoolbox) et Ratana fasse quoi concrètement ?
ils sont sous l'eau, ont plus de 500 dossiers en cours et pas de solution... c'est crypté... point barre.
vous payez ou sortez les backups... pas d'autres choix

Alors oui ils naviguent a vue oui mais avez vous deja eu au moins un seul dossier de cryptage sur un serveur a gérer ?

ok, cest inadmissible cette faille... Inadmissible que des ID soient codés en dur dans un progs....
ca on est ok la dessus

mais une fois ce mal fait... que voulez vous qu'ils vous disent ?

Perso; je leur souhaite bien du courage !

Bonjour Schwinny,
Je ne me plaints pas du tout, tu peux relire mes messages.
Effectivement la situation est folle mais je trouve qu'il est bien que tout le monde donne les infos qu'il a. C'était le but de mon message.
Ce message n'attend pas de réponse.
Bon courage à tout le monde !!!

 

[schwinny]

c'était plus général ma réponse car j'ai lu certains messages vraiment pas agréable du tout

la tienne en tout cas @antoineMasselot était plus que correcte et justement a l'opposé de ce qui me faisait réagir

 

[crashseb]

j'ai eu le meme message que toi avec des erreurs dans les commandes et avec des espaces n'importe où... les gars se foulent pas ils donnent juste des astuces trouvées par les internautes...

Put... desolé mais la je ne peux que répondre.

rien contre vous mais 4 pages que ca râle...

Vous voulez que Stephane (qoolbox) et Ratana fasse quoi concrètement ?
ils sont sous l'eau, ont plus de 500 dossiers en cours et pas de solution... c'est crypté... point barre.
vous payez ou sortez les backups... pas d'autres choix

Alors oui ils naviguent a vue oui mais avez vous deja eu au moins un seul dossier de cryptage sur un serveur a gérer ?

ok, cest inadmissible cette faille... Inadmissible que des ID soient codés en dur dans un progs....
ca on est ok la dessus

mais une fois ce mal fait... que voulez vous qu'ils vous disent ?

Perso; je leur souhaite bien du courage !

Bonjour Schwinny,
Je ne me plaints pas du tout, tu peux relire mes messages.
Effectivement la situation est folle mais je trouve qu'il est bien que tout le monde donne les infos qu'il a. C'était le but de mon message.
Ce message n'attend pas de réponse.
Bon courage à tout le monde !!!

Qu'ils crachent les € pour laver leur honneur et leur marque
Non plus sérieusement de mon côté c'était plus les erreurs dans leurs lignes de code que je trouve risible
Après pour ma part snapshots n'ont pas fonctionné et ptet 50% de crypté mais énormément de petits fichiers, j'attends une éventuelle solution (mais je pense impossible) donc va falloir trier

 

[Ishido]

Tu es pas le premier à indiquer que les snapshot n ont pas fonctionnés ( plusieurs personnes disent qu ils sont vides ), je serai curieux de comprendre pourquoi, car c'est si j ai bien compris, c'est un outil normalement puissant pour se sortir de la panade quand il y a ce genre de problèmes.

 

[AntoineMasselot]

@schwinny
Tu dis :

ok, cest inadmissible cette faille... Inadmissible que des ID soient codés en dur dans un progs....
ca on est ok la dessus

Tu peux préciser ce que ça veut dire ? C'est quoi finalement l'origine du problème ?
Cdt

 

[schwinny]

Tu peux préciser ce que ça veut dire ? C'est quoi finalement l'origine du problème ?
Cdt

d'apres ce que j'aurais lu, une partie de la faille serait due a un identifiant ROOT codé en dur dans le code de l'appli....
j'essaye de retrouver ou j'ai lu cela

trouvé:

...
How exactly is the ransomware getting onto people's network-attached storage systems? Well, look no further than these three critical vulnerabilities that QNAP patched this month, the first two highlighted today in its warning to customers:

CVE-2020-36195 aka QSA-21-11: An SQL injection flaw in the Multimedia Console and the Media Streaming add-on that can be exploited to ultimately gain control of the box. This was patched on April 16, just days before the latest ransomware outbreak kicked off.
CVE-2021-28799 aka QSA-21-13: Hard-coded login credentials were found and removed in HBS 3 Hybrid Backup Sync. If you know these creds, you can gain control of the device via this backdoor access. Though its advisory suggests the bug was fixed today, it was actually patched in version 16.0.0415 released on April 16.
CVE-2020-2509 aka QSA-21-05: A command-injection vulnerability in QTS and QuTS hero that can be exploited to seize control of a box. This was also patched on April 16.

source: https://www.theregister.com/2021/04/22/qnap_nas_ransomware_qlocker_ech0raix/

 

[Vazaha974]

sudo mount -t cifs -o user=<USERNAMEOFREMOTECOMPUTER> //XXX.XXX.XXX.XXX/<NAMEOFYOURSHARE> /mnt/rescue-share

<USERNAMEOFREMOTECOMPUTER> est ton compte Windows
XXX.XXX.XXX.XXX est l'adresse IP de ton PC windows sur lequel tu as créé ton partage
<NAMEOFYOURSHARE> est le nom du partage

Pour rappel, il faut que ton compte Windows soit protégé par un mot de passe
Il sera requis pour y accéder depuis le QNAS.

Merci pour cette aide.

C'est à mon tour de bloquer dans l'application de la procédure. (et de me poser des questions existentielles )

à l'étape 5: comment on regarde l'architecture?
L'architecture de quel appareil? (le NAS ou le PC)?

étape 6: où se télécharge le logiciel "testdisk"?

étape 7: on va dans quel répertoire ?

étape 8: on recherche quel volume?
comment on le recherche?

étape 9: on ouvre photo rec. il sort d'où celui là? comment on l'ouvre?

étapes 10 à 13: on choisi plein de truc! mais là je ne sais pas encore comment car je n'y suis pas arrivé (vous l'aviez deviné...)


Désolé pour toutes ces questions de novice, mais je viens de recevoir la réponse de l'assistance QNAP qui m'envoie vers la solution de ce forum.
Merci pour votre aide, et pas merci à QNAP qui répond de manière un peu légère il me semble (cher client, débrouille toi sur les forums internet ...)

5) Il s'agit de l'architecture du NAS
Saisie la commande suivante pour obtenir le résultat de ton NAS
[~] # uname -a
Linux xxxxxxxx N.NN.NN-qnap #1 SMP Tue Mar 2 07:04:54 CST 2021 x86_64 GNU/Linux
[~] #
=> retenir ici l'information x86_64 (ou i386 dans l'autre cas)

6) La commande wget fournie permet de télécharger testdisk
Il faut exécuter uniquement la commande correspondant à l'architecture déterminée à l'étape précédente.

=> A ce stade, tu remarqueras dans ton partage windows le fichier testdisk.tar.bz2
Si c'est la cas, tout va bien, tu peux poursuivre
Sinon, tu as déjà raté l'étape 4.

7) Il faut simplement effectuer un copier/coller des 3 lignes de commandes l'une après l'autre :
tar -xvf testdisk.tar.bz2
cd testdisk*
chmod +x ./photorec_static

8) Saisie la commande suivante
df -h
Je pars du principe que tu as 1 disque ou 2 disques en raid 1
Recherche le volume (= Filesystem) qui se rapproche de la taille de ton disque

Exemple dans mon cas :
J'ai 2 disques de 10To en raid 1, donc je cherche un volume dont la taille est proche de 10To
La commande ressort plusieurs filesystem dont celui-ci
Filesystem...............................Size......Used...... Available...... Use% .......Mounted on
/dev/mapper/cachedev1...... 8.3T. ..... 1.2T...... 7.1T. .............. 15%........../share/CACHEDEV1_DATA

Donc mon volume est /dev/mapper/cachedev1

9) photorec est obtenu par la décompression de testdisk à l'étape 7
Il faut saisir la commande suivante :
sudo ./photorec_static

10) Il faut choisir le filesystem que tu as trouvé à l'étape 8

11 à 13) Il faut choisir les options fournies contextuellement dans la liste proposée

14) Si tu as suivi avec précision les étapes précédentes, il faut sélectionner ".." dans la liste proposée, puis presser la touche "c"

Il ne reste plus qu'à patienter...
Pour ma part, j'en suis à 4,5 jours et c'est loin d'être fini.
Il boucle sur 1 000 000 000 de secteurs depuis 3 jours pour trouver entre 1 à 3 fichiers à chaque passage :?

 

[Ishido]

la méthode de testdisk si je comprend bien c'est de retrouver des fichiers un peu comme quand on efface par erreur des photos sur une carte Sd, et des logiciel de recovery tentent de les récupérer.

Mais là comment ça fonctionne vu que les fichiers ne sont pas effacés mais transformés en Zip ?

Merci

 

[EVO]

la méthode de testdisk si je comprend bien c'est de retrouver des fichiers un peu comme quand on efface par erreur des photos sur une carte Sd, et des logiciel de recovery tentent de les récupérer.

Mais là comment ça fonctionne vu que les fichiers ne sont pas effacés mais transformés en Zip ?

Merci

Quand un fichuer est zipper, on creer d'abord l'archive puis on supprime "l'original". Ce n'est pas l'original qui est modifié.

 

[Ishido]

Effectivement, j'ai posé une question idiote car chaque semaine j'envoi des documents sous .zip, et je vois bien que quand je zip le dossier avec les .pdf, j'ai toujours l'original et en plus le fichier zip.

On va mettre ça sur la fatigue :-D
Merci

 

[metalx94]

Les vulnérabilités, il y en aura toujours chez tous les constructeurs (cisco , synology,qnap , ...). C'est plutôt sur la communication client que qnap s'est foiré. Je pense que le service client a du être bombardé lors des premières victimes . Il aurait du communiquer auprès des clients en masse. Enfin, il ont sorti un correctif rapidement sur l'antimalware. Ca a du éviter le cryptage d'un bon nombre de client.

J'espère qu'il va y avoir une communication sur le détail de l'attaque. Qnap recommande de changer les mots de passe pour plus fort . Cela veut qu'ils sont compromis ?

 

[Vazaha974]

J'ai déjà des mots de passe fort d'un quinzaine de caractères avec des caractères en minuscule & majuscule, des numériques et des caractères spéciaux.
Ce ransonware n'est pas lié à l'accès user.
Ca reste tout de même un b.a.-ba pour éviter d'autres attaques liées à cette négligence.