Asustor Protégez-vous du rançongiciel Deadbolt

[Dami1]

⚠Protégez-vous de Deadbolt

En réponse aux attaques de ransomware Deadbolt et pour votre protection, nous recommandons les mesures suivantes :
- modifiez les ports par défaut, y compris les ports d'accès Web NAS par défaut de 8000 et 8001 ainsi que les ports d'accès Web à distance de 80 et 443.
- désactivez EZ Connect.
- faites une sauvegarde immédiate.
- désactivez les services Terminal/SSH et SFTP.

Pour des mesures de sécurité plus détaillées, veuillez vous référer au lien suivant ci-dessous : https://www.asustor.com/fr/online/College_topic?topic=353

Si vous constatez que votre NAS a été affecté par le rançongiciel Deadbolt, veuillez vous référer à ce sujet https://www.forum-nas.fr/threads/jai-été-affecté-par-la-rançongiciel-deadbolt-comment-retrouver-laccès-à-adm.17763/ qui contient également d'AUTRES CONSEILS EN TERMES DE SECURITE
Si vous n'avez pas été affecté, mettez immédiatement votre NAS à jour vers ADM 3.5.9 (séries AS20, 30, 60) ou ADM 4.0.4 (autres séries)

 

[Ricore9451]

⚠Protégez-vous de Deadbolt

En réponse aux attaques de ransomware Deadbolt affectant les appareils ASUSTOR, ASUSTOR EZ-Connect, ASUSTOR EZ Sync et ezconnect.to seront désactivés au fur et à mesure que le problème sera étudié.

Pour votre protection, nous recommandons les mesures suivantes :
- modifiez les ports par défaut, y compris les ports d'accès Web NAS par défaut de 8000 et 8001 ainsi que les ports d'accès Web à distance de 80 et 443.
- désactivez EZ Connect.
- faites une sauvegarde immédiate.
- désactivez les services Terminal/SSH et SFTP.

Pour des mesures de sécurité plus détaillées, veuillez vous référer au lien suivant ci-dessous : https://www.asustor.com/fr/online/College_topic?topic=353

Si vous constatez que votre NAS a été affecté par le rançongiciel Deadbolt, veuillez suivre les étapes ci-dessous.

1. Débranchez le câble réseau Ethernet
2. Éteignez votre NAS en toute sécurité en appuyant sur le bouton d'alimentation et en le maintenant enfoncé pendant trois secondes.
`3. N'initialisez pas votre NAS car cela effacera vos données.
4. Remplissez le formulaire ci-dessous. Nos techniciens vous contacteront dans les plus brefs délais. https://docs.google.com/forms/d/e/1...-xkS-idjjyBLgrqkfMPDtIn2YlrCoE6tCzEWs7J6XlCec

Ok super et on est contacté sous combien de temps ?

 

[actarus]

Bonjour,

Comment sait on que le Nas est touché et que le ransomware est déjà en train de faire son office ?

 

[Lion06]

⚠Protégez-vous de Deadbolt

En réponse aux attaques de ransomware Deadbolt affectant les appareils ASUSTOR, ASUSTOR EZ-Connect, ASUSTOR EZ Sync et ezconnect.to seront désactivés au fur et à mesure que le problème sera étudié.

Pour votre protection, nous recommandons les mesures suivantes :
- modifiez les ports par défaut, y compris les ports d'accès Web NAS par défaut de 8000 et 8001 ainsi que les ports d'accès Web à distance de 80 et 443.
- désactivez EZ Connect.
- faites une sauvegarde immédiate.
- désactivez les services Terminal/SSH et SFTP.

Pour des mesures de sécurité plus détaillées, veuillez vous référer au lien suivant ci-dessous : https://www.asustor.com/fr/online/College_topic?topic=353

Si vous constatez que votre NAS a été affecté par le rançongiciel Deadbolt, veuillez suivre les étapes ci-dessous.

1. Débranchez le câble réseau Ethernet
2. Éteignez votre NAS en toute sécurité en appuyant sur le bouton d'alimentation et en le maintenant enfoncé pendant trois secondes.
`3. N'initialisez pas votre NAS car cela effacera vos données.
4. Remplissez le formulaire ci-dessous. Nos techniciens vous contacteront dans les plus brefs délais. https://docs.google.com/forms/d/e/1...-xkS-idjjyBLgrqkfMPDtIn2YlrCoE6tCzEWs7J6XlCec

Bonjour Dam1 ,

y'a t'il un moyen de récupéré un volume RAID 5 disparu suite a un reset soft ?

Sachant que lors de la réinitialisation j'ai utilisé un disque dur qui n'étais pas utilisé pour le raid 5 .

Merci d'avance .

cordialement.

Message automatiquement fusionné : 22 Février 2022

Bonjour,

Comment sait on que le Nas est touché et que le ransomware est déjà en train de faire son office ?

tes fichiers apparaissent avec une extension .deadbolt

Et quand tu essai de te connecté sur la page d'administration , tu as un message de rançon deadbolt .

 

[Ricore9451]

Bonjour Dam1 ,

y'a t'il un moyen de récupéré un volume RAID 5 disparu suite a un reset soft ?

Sachant que lors de la réinitialisation j'ai utilisé un disque dur qui n'étais pas utilisé pour le raid 5 .

Merci d'avance .

cordialement.

Message automatiquement fusionné : 22 Février 2022

tes fichiers apparaissent avec une extension .deadbolt

Et quand tu essai de te connecté sur la page d'administration , tu as un message de rançon deadbolt .Lion06

Lion06 tu avais des fichiers qui n'avaient pas l'extension .deadbolt toi ?

 

[Lion06]

Lion06 tu avais des fichiers qui n'avaient pas l'extension .deadbolt toi ?

Oui , j'avais que le volume 1 avec deadbolt

 

[Kogoro]

Formulaire rempli, par contre j'espère que on aura assez rapidement une réponse sur la marche a suivre.

 

[Ricore9451]

Formulaire rempli, par contre j'espère que on aura assez rapidement une réponse sur la marche a suivre.

C'est pas gagné

 

[kaorentin]

Pareil, je suis dans le même cas (pour moi et pour mes parents qui ont aussi un ASUSTOR).
Eux ont éteint leur NAS hier car il ne répondait plus, moi je ne l'ai pas encore éteint mais j'ai des .deadbolt partout.
Du coup, je l'ai débranché du réseau, mais j'hésite à l'éteindre (si je n'arrive plus à le rallumer après). Faut vraiment l'éteindre une fois qu'on est infecté ?

 

[EndMove]

Pareil, je suis dans le même cas (pour moi et pour mes parents qui ont aussi un ASUSTOR).
Eux ont éteint leur NAS hier car il ne répondait plus, moi je ne l'ai pas encore éteint mais j'ai des .deadbolt partout.
Du coup, je l'ai débranché du réseau, mais j'hésite à l'éteindre (si je n'arrive plus à le rallumer après). Faut vraiment l'éteindre une fois qu'on est infecté ?

Bonjour @kaorentin,

Il faut éteindre le Server Nas le plus rapidement possible, toutes les données chiffrées seront irrecuperables à moins de payer la rançons ou de contourner l'algorithme de cryptage deux choses qui n'arriveront probablement jamais.

Cordialement,
Jérémi N. `EndMove`.

 

[kaorentin]

Bonjour @kaorentin,

Il faut éteindre le Server Nas le plus rapidement possible, toutes les données chiffrées seront irrecuperables à moins de payer la rançons ou de contourner l'algorithme de cryptage deux choses qui n'arriveront probablement jamais.

Cordialement,
Jérémi N. `EndMove`.

Ok merci pour la confirmation, même si je pense que pour moi c'est foutu, j'ai dû me faire avoir dans la nuit donc deadbolt a eu tout le temps de tout crypter...

J'ai toujours un mince espoir que quelque chose pourra être récupéré, je suis en RAID 5, il y a peut-être moyen ? On va attendre le retour d'ASUS à ce sujet...

 

[neneche]

Bonsoir

mon NAS a ete affecter par deadbolt.
Je n ai plus acces a mes photos et autre... je suis un peu degouté la

 

[marsusu]

Bonsoir,
idem pour moi.........punaise hier soir je trouvais qu'il travaillait beaucoup avec le processeur a 99%........
alors avant de débrancher le câble rj45 et de l'éteindre , j'ai vu que je pouvais avoir accès a mes photos par l'application Android..par contre par le wifi .........bah belel image de racket.........
Mais j'espère que asustor va nous aider car la c'est le bordel....

 

[lanthalas]

Je me suis fait avoir également. message transmis.
Par ou c'est passé? faille de sécurité asustor?

Est ce que les archives my archives sont aussi encryptée??

Message automatiquement fusionné : 22 Février 2022

petite réponse : dans mon cas le volume myarchive n'est pas touché. Ouf pas de perte de données. Donc en gros plus qu'a tout réinitialiser et recharger....si pas d'autre solution.
En attente de retour d'asustor

 

[actarus]

@Dami1
Des news de nos amis de Tapai ?

 

[lanthalas]

@Dami1
Des news de nos amis de Tapai ?

A mon avis ca doit être la cellule de crise la bas...

 

[neneche]

Oui je penses aussi mais bon si la faille était connu depuis au moins décembre …. Tous ça aurait pu être éviter …

 

[nedrack]

Oui je penses aussi mais bon si la faille était connu depuis au moins décembre …. Tous ça aurait pu être éviter …

Pourquoi la faille serait connue depuis Décembre?

Et une faille a beau être connu, ce n'est pas toujours très simple de la boucher ( souvent , en speed, ce n'est qu'une rustine qui donne des effets de bords ailleurs).

Et attention, ce n'est pas parce que QNAP a eu le même souci de Ransomware que cela utilise la même faille ( d'ailleurs, l'attaque n'aurait pas ciblé spécifiquement les QNAP).

 

[EndMove]

Pourquoi la faille serait connue depuis Décembre?

Et une faille a beau être connu, ce n'est pas toujours très simple de la boucher ( souvent , en speed, ce n'est qu'une rustine qui donne des effets de bords ailleurs).

Et attention, ce n'est pas parce que QNAP a eu le même souci de Ransomware que cela utilise la même faille ( d'ailleurs, l'attaque n'aurait pas ciblé spécifiquement les QNAP).

Hello @nedrack ,

En effet c'est un nouveau zéro day, toujours inconnu des services ASUSTOR, et qui n'a aucun rapport avec celui découvert précédemment chez QNAP SYSTEM.
Il semblerait que le hacker/groupe de hacker aillant crée DEADBLOT ne s'attque qu'à une marque de serveur NAS à la fois, la prochaine étant surement Sinology.

Cordialement,
Jérémi N. `EndMove`

 

[webmail]

Hello @nedrack ,

En effet c'est un nouveau zéro day, toujours inconnu des services ASUSTOR, et qui n'a aucun rapport avec celui découvert précédemment chez QNAP SYSTEM.
Il semblerait que le hacker/groupe de hacker aillant crée DEADBLOT ne s'attque qu'à une marque de serveur NAS à la fois, la prochaine étant surement Sinology.

Cordialement,
Jérémi N. `EndMove`

tu m'as l'air bien au courant