QNAP [ Malware Qlocker ] Encryption 7z avec mot de passe

[piko]

Sans surprise, Qlocker Inspector ne me retourne rien, j'ai vérifié dans les logs (Panneau de Configuration > Système > QuLog Center > Journal des évènements système).

 

[bigorno]

Bonjour, je tire ce qui suit de ce fil de discussion : https://forum.qnap.com/viewtopic.php?f=45&t=160849&start=450.

grep -ri walter /share/CACHEDEV1_DATA/.qpkg/HybridBackup/ |grep -i pwd

OU

grep -ri walter /share/CACHEDEV1_DATA/.qpkg/HybridBackup/

Ca va vous montrer les identifiants placés dans le code.
Un exemple :

def _test_login_request():
    """ Test handler_login.
    """
    url = 'https://172.17.28.27:443/cgi-bin/authLogin.cgi'
    resp = http_get(
        url,
        {
            'user': 'admin',
            'plain_pwd': 'walter',
            'remme':'1',

dans le fichier

/share/CACHEDEV1_DATA/.qpkg/HybridBackup/CloudConnector3/python/lib/python3.7/site-packages/rr2/rru/util_net.py

.

Ou encore

from connector.rtrr import RtrrClient
cred={
    "uname": "admin",
    "port": 8899,
    "chroot": "/share/Public/",
    "provider_type": "rtrr",
    # "ip": "172.17.34.44",
    "ip": "172.17.34.56",
    "b64_pwd": "RWxKZEJRUUk="       # walter -> ElJdBQQI -> RWxKZEJRUUk=
}

dans

/share/CACHEDEV1_DATA/.qpkg/HybridBackup/CloudConnector3/python/lib/python3.7/site-packages/rr2/ucc_related/self_test/test_rtrr_upload.py

Mais n'ayant pas audité le code, je ne connais pas la portée de ce qui reste constaté.


Et un petit récapitulatif des solutions possibles : https://www.bleepingcomputer.com/fo...et-your-data-back-qnap-nas-hack/#entry5174463

Pour terminer, un petit mail de QNAP (ça faisait longtemps ) :

AgeLocker Ransomware

Release date: April 29, 2021
Security ID: QSA-21-15
Severity rating: High
CVE identifier: N/A
Affected products: All QNAP NAS

Summary

The QNAP security team has detected suspicious ransomware in the wild known as AgeLocker, which has the potential to affect QNAP NAS devices.

Recommendation

To secure your device, we strongly recommend regularly updating QTS or QuTS hero and all installed applications to their latest versions to benefit from vulnerability fixes. You can check the product support status to see the latest updates available to your NAS model.

To further secure your device, do not expose your NAS to the internet. If you must connect your NAS to the internet, we highly recommend using a trusted VPN or a myQNAPcloud link.

Updating QTS or QuTS hero

Log on to QTS as administrator.
Go to Control Panel > System > Firmware Update.
Under Live Update, click Check for Update.
QTS or QuTS hero downloads and installs the latest available update.
Tip: You can also download the update from the QNAP website. Go to Support > Download Center and then perform a manual update for your specific device.

Updating All Installed Applications

Log on to QTS or QuTS hero as administrator.
Go to App Center.
Select My Apps.
Beside Install Updates, click All.
A confirmation message appears.
Click OK.
QTS or QuTS hero updates all your installed applications to their latest versions.

 

[schwinny]

Je viens de recevoir un mail de Qnap pour un nouveau bulletin de sécurité pour un malware nommé agelocker


Je me renseigne savoir si c’est une nouvelle version ou un fork de qlocker

 

[Adraxas]

Je viens de recevoir un mail de Qnap pour un nouveau bulletin de sécurité pour un malware nommé agelocker


Je me renseigne savoir si c’est une nouvelle version ou un fork de qlocker

Apparemment, il était déjà connu depuis un moment : https://www.qnap.com/fr-fr/security-advisory/qsa-20-06

 

[ZSTEPH28]

Merci pour toutes vos explications. En fait tout va très très vite .. Du piratage aux explications. Reste plus qu'à trouver LA Master Key comme tu l'as dit Schwinny et là, c'est pas la plus mince des affaires ... Perso, j'attends de récupérer 2 nouveaux disques et un DD EXT avant de tenter quoi que ce soit. Où j'enrage, c'est qu'en voulant débrancher le RJ45 derrière le Nas, j'ai malencontreusement coupé le courant Quant au piratage ... rien compris à ce qui se passait !
Le fait d'avoir éteint fait que les fichiers sont "Encrypt" et plus en 7z ? Impossible à récupérer alors même avec l'hypothétique Master Key.?? Il y a des Tutos sur YouTube ... ça bouge et MERCI à vous tous.

 

[schwinny]

@

Merci pour toutes vos explications. En fait tout va très très vite .. Du piratage aux explications. Reste plus qu'à trouver LA Master Key comme tu l'as dit Schwinny et là, c'est pas la plus mince des affaires ... Perso, j'attends de récupérer 2 nouveaux disques et un DD EXT avant de tenter quoi que ce soit. Où j'enrage, c'est qu'en voulant débrancher le RJ45 derrière le Nas, j'ai malencontreusement coupé le courant Quant au piratage ... rien compris à ce qui se passait !
Le fait d'avoir éteint fait que les fichiers sont "Encrypt" et plus en 7z ? Impossible à récupérer alors même avec l'hypothétique Master Key.?? Il y a des Tutos sur YouTube ... ça bouge et MERCI à vous tous.

non le fait d'avoir éteint, il est impossible de récupérer la clé de cryptage.
mais le vers ayant muté, de toute façon, meme en cours de cryptage depuis 2 jours il n'état pas possible apparemment de la récupérer.

donc pas de regret si ce n'est d'avoir des backups a jour....

Apres pour la master key, sur certains crypto, des clés sont sortie qqs temps apres.
donc garde une version crypte de tes documents, on sait jamais

 

[ZSTEPH28]

Merci. C'est bien ce que j'avais cru comprendre. Je garde les Disques de coté, je refais une instal avec 2 nouveaux Disques ( obligé de remettre la même marque ? Y a t'il un pb si 2 sont WD et les 2 autres Toshiba ??) , j'achète un DD ext pour faire une sauvegarde complète régulièrement ( là, j'e n'ai pas été assez vigilant) et j'essaie de récupérer à droite et à gauche ce qui est récupérable et sauvable ave data Recovery !!
J'ai bon espoir qu'un jour on trouve LA clef. D'abord, certains ont payé et peut être ont ils un bout de l'énigme ?? Le Roi des Anti Hackers a réussi à sauver 50 comptes avant que les pirates fassent une mise à jour ... et Kapersky avait trouvé je crois pour la dernière attaque similaire ( bien longtemps après certes ).
On verra ....

 

[antoine7681]

Qnap tiens le discourt au client qu'il cherche même pour les clients ayant re démarrer le nas!! tous les fichiers sont bloquer avec le même code? il y a bien un moyen de retrouvé ce code!! la il parle de Qloquer quelqu'un a reussi a le faire fonctionner?

 

[Adraxas]

Bonjour

Si j'arrive là, c'est que j'ai été bien impacté aussi. Je vais reprendre le fil de la discussion car je n'ai pas eu le temps de tout lire mais je voulais juste ajouter que mes vidéos ( toutes) et quelques fichiers Word n'ont pas été piratés. Pour le reste .... Des dizaines de milliers de photos et pas mal d'administratif.

Je suis entrain de copier mes fichiers et je me rend compte que seuls les fichiers de moins de 20mo ont été chiffrés

 

[ZSTEPH28]

C'est pourquoi les vidéos ne le sont pas !!!!

 

[ZSTEPH28]

J'ai des photos très "lourdes" .... je vais regarder demain.

 

[ZSTEPH28]

Qnap tiens le discourt au client qu'il cherche même pour les clients ayant re démarrer le nas!! tous les fichiers sont bloquer avec le même code? il y a bien un moyen de retrouvé ce code!! la il parle de Qloquer quelqu'un a reussi a le faire fonctionner?

J'avais cru comprendre que pour chaque PC la clef était différente ... mais suivait la même logique. Des informaticiens m'ont également évoqué le fait qu'une partie des clefs se trouvait peut être SUR le PC des hackers. Peut être la même ... et ce serait là l'espoir avec les comptes déjà débloqués. On navigue en plein feuilleton série noire .... le seul hic, on est au milieu
Si QNAP veut tout nous restaurer, qu'il ne se privent pas Perso, plus possible de payer la rançon ( et je ne sais pas si je l'aurai fais) mais faire une cagnotte pour que le piratage soit démonté, via Qnap, Kapersky ou autre : YES.

 

[Infilz]

Qlocker inspector est publié il vous aide a récupéré le mot de passe simplement si le NAS n'a pas été rebooté ou si le processus est en cours

https://www.forum-nas.fr/viewtopic.php?f=20&t=16033&p=103282#p103282

Alors je regrette, mais ce n'est pas toujours vrai.
Je n'ai pas reboot mon NAS, et je n'ai pas récupéré le mot de passe pour autant avec Qlocker inspector

 

[schwinny]

Il faut que le processus soit toujours en cours.

 

[Chon]

Salut à tous,

J'ai moi-même reçu ce mail de QNAP :

 Taipei, Taiwan, April 29, 2021 - QNAP® had published security enhancement against security vulnerabilities that could affect specific versions of QNAP products. Please use the following information and solutions to correct the security issues and vulnerabilities.
AgeLocker Ransomware

Release date: April 29, 2021
Security ID: QSA-21-15
Severity rating: High
CVE identifier: N/A
Affected products: All QNAP NAS
Summary

The QNAP security team has detected suspicious ransomware in the wild known as AgeLocker, which has the potential to affect QNAP NAS devices.
Recommendation

To secure your device, we strongly recommend regularly updating QTS or QuTS hero and all installed applications to their latest versions to benefit from vulnerability fixes. You can check the product support status to see the latest updates available to your NAS model.

To further secure your device, do not expose your NAS to the internet. If you must connect your NAS to the internet, we highly recommend using a trusted VPN or a myQNAPcloud link.
Updating QTS or QuTS hero

    Log on to QTS as administrator.
    Go to Control Panel > System > Firmware Update.
    Under Live Update, click Check for Update.
    QTS or QuTS hero downloads and installs the latest available update.

Tip: You can also download the update from the QNAP website. Go to Support > Download Center and then perform a manual update for your specific device.
Updating All Installed Applications

    Log on to QTS or QuTS hero as administrator.
    Go to App Center.
    Select My Apps.
    Beside Install Updates, click All.
    A confirmation message appears.
    Click OK.
    QTS or QuTS hero updates all your installed applications to their latest versions.

 Revision History: V1.0 (April 29, 2021) - Published

J'ai actuellement QTS en demande de MaJ et depuis hier, HBS3 en demande de MaJ également.
J'aimerais que QNAP me dise si je peux faire ces MaJ en toute tranquillité ?

 

[ph lumiere]

bonjour
j'ai installé 'utilitaire de qnap inspector mais lorsque je l'ouvre rien ne se passe normale ???

merci de votre aide

 

[AntoineMasselot]

bonjour
j'ai installé 'utilitaire de qnap inspector mais lorsque je l'ouvre rien ne se passe normale ???

merci de votre aide

C'est que le malware n'est plus actif donc que tu ne peux pas retrouver la clé...
Désolé...

 

[crashseb]

bonjour
j'ai installé 'utilitaire de qnap inspector mais lorsque je l'ouvre rien ne se passe normale ???

merci de votre aide

Oui normal rien ne se passe en cliquant sur ouvrir, par contre pour regarder s'il te trouve la clé il faut regarder dans les log événements système

 

[ph lumiere]

merci

 

[piko]

Je suis avec un ami qui travaille dans la cybersécu, et je lui ai expliqué notre problème et les solutions proposées.
Quand il a vu la clef de base, celle présentée dans le premier message :"mFyBIvp55M46kSxxxxxYv4EIhx7rlTD", avec "xxxxx" étant une série de caractères unique à chaque NAS, il me dit qu'essayer une brut force de 5 caractères ne doit pas être très compliqué ni très long (au point ou en est ...).

Qu'en pensez-vous ?