Qnap Victime de deadbolt

Tifuk

Nouveau membre
9 Septembre 2022
24
1
3
Salut à tous.

Comme je l'ai expliqué dans ma présentation, j'ai été victime de deadbolt dans la soirée du 3 septembre.

Le système attaqué est un qnap TS-253 en RAID 1, que j'utilise à titre privé pour héberger du contenu multimédia essentiellement. Il semblerait que dans mon malheur j'aie eu la chance de prendre conscience de l'attaque (avec la fameuse page d'accueil de deadbolt) alors que le chiffrement n'avait affecté qu'un seul dossier, l'essentiel de mes données étant épargné (pas d'extension ".deadbolt" détectée ailleurs).

Passé le moment de panique, j'ai mis le NAS hors tension, j'ai commencé à me renseigner sur les mécanismes de ce ransomware (apprenant au passage que je n'étais qu'une victime parmi plein d'autres ce soir-là...), et j'ai réfléchi à un plan d'action pour récupérer les données saines. Je précise que je n'envisage pas de payer la rançon, position que je peux me permettre de tenir parce que la partie affectée de mes données est relativement restreinte, récupérable moyennant quelques efforts, et sans besoin urgent de disponibilité. Mon objectif est simplement de récupérer les données non affectées.

Voilà mes idées, je vous les soumets, vos réactions seront précieuses pour affiner les choses (je précise que sans être totalement illettré, je me classe quand même dans la catégorie noob) :

- J'ai mis mon NAS hors tension en me disant que si le script de deadbolt était encore actif il ne ferait pas de mal sur un matériel éteint. Je me suis dit que l'attaque venait peut-être de commencer et que si je laissais le matos allumé, le cryptage pouvait se propager aux fichiers "sains".
- J'ai extrait les disques du NAS, et mis un d'entre eux dans un boîtier S-ATA / USB
- Là, je me suis trouvé confronté à deux problèmes (que j'avais plus ou moins anticipés, mais c'est là que le côté noob intervient) :
* Le DD vient d'un RAID
* le DD est formaté sous linux

Je me suis donc mis en quête d'une solution logicielle simple (je ne dispose ni de carte RAID ni de PC sous linux, que ça soit en dualboot ou en VM) qui permettrait de lire les données de ce disque qui, hormis la présence de deadbolt, ne présente pas de défaillance matérielle.

1 - J'ai trouvé via une vidéo youtube un soft appelé "Diskinternals Linux reader", qui détecte bien le disque, mais me dit que le RAID est endommagé, et propose de me vendre une solution à $250 pour en récupérer les données. Dans la vidéo, rien de tout ça, l'utilisateur a accès à tous ses fichiers après le passage du soft.
2 - J'ai ensuite essayé une autre solution trouvée sur youtube basée sur "R-Linux". Ce soft, en plus de détecter la partition, propose de procéder à une analyse. Là encore, dans la vidéo, ça permet de lire le contenu du disque et de récupérer tous les fichiers. Chez moi, après les 7h d'analyse (le disque fait 3 TB), je n'avais toujours accès à rien. Deux partitions système en Ext4 sont bien détectées, et je peux y accéder, mais sur la partition principale qui contient les données, rien à faire.
3 - Une autre vidéo propose une manip équivalente avec la suite "Hetman software recovery". Je n'ai pas encore eu l'occasion de le tester, mais de ce que j'en vois, le fonctionnement semble similaire à celui de "R-Linux" essayé au dessus. J'anticipe toutefois le même résultat que pour les deux solutions testées avant.

Je me pose d'abord cette question : pourquoi ces softs (qui semblent obtenir de bons résultats dans le monde magique de youtube) ne me donnent-ils pas accès à mes données ? Est-il possible que QNAP ait utilisé un format de partition exotique pour les données que ces logiciels ne reconnaissent pas ? Le problème vient-il du type de RAID utilisé ?

S'il s'avère qu'aucun soft de ce type ne peut reconnaître ma partition système, je me lancerai dans l'installation d'un linux sur mon PC (vous me conseillez la VM ou le dualboot ? Ou autre chose ?) pour essayer une des manips de récupération sous linux qui sont décrites un peu partout. Je reviendrai sans doute crier à l'aide ici si le cas se produit.

Quelques questions enfin, sans doute idiotes, mais je m'en voudrais de ne pas les poser :
- Si je remonte mes disques dans le NAS et que je réinstalle tout comme avant, le risque que deadbolt reprenne son activité de chiffrement est-il bien réel ?
- Aurais-je accès à mes données en ne remontant qu'un seul des deux disques dans le NAS ? Je rappelle que leur intégrité matérielle n'est pas atteinte, et en n'en remontant qu'un, je protégerais l'autre d'une éventuelle reprise du script.
- Deadbolt peut-il affecter une machine sous Windows (si jamais je copie les données du NAS vers mon PC...) ?

Parce que si j'ai une bonne chance de récupérer les données, simplement en remettant le NAS dans mon réseau local, sans véroler le système sur lequel j'effectuerai la copie... Je me prends la tête pour pas grand chose. Mais je préfère être prudent.

Voilà, désolé pour ce long post, un immense merci à ceux d'entre vous qui ont pris le temps de le lire et à ceux qui éventuellement prendront le temps d'y répondre.
 
Salut,
As tu fait un ticket au Support QNAP ? Sache que dans quelques cas ils arrivent a ressortir du NAS la clé de déchiffrement. Par contre, forcément, il te faudra le remettre en route.

pourquoi ces softs (qui semblent obtenir de bons résultats dans le monde magique de youtube) ne me donnent-ils pas accès à mes données ? Est-il possible que QNAP ait utilisé un format de partition exotique pour les données que ces logiciels ne reconnaissent pas ? Le problème vient-il du type de RAID utilisé ?
je suppose parceque les NAS QNAP utilise des LVM https://doc.ubuntu-fr.org/lvm

Si je remonte mes disques dans le NAS et que je réinstalle tout comme avant, le risque que deadbolt reprenne son activité de chiffrement est-il bien réel ?
Oui, il faut MAJ Malware Remover et lui faire faire un scan.

- Aurais-je accès à mes données en ne remontant qu'un seul des deux disques dans le NAS ? Je rappelle que leur intégrité matérielle n'est pas atteinte, et en n'en remontant qu'un, je protégerais l'autre d'une éventuelle reprise du script.
Dans l'absolu oui, mais cela reste risqué a mon sens.

Deadbolt peut-il affecter une machine sous Windows (si jamais je copie les données du NAS vers mon PC...) ?
Non
 
Salut et merci pour ta réponse rapide.

EVOTk a dit:
As tu fait un ticket au Support QNAP ? Sache que dans quelques cas ils arrivent a ressortir du NAS la clé de déchiffrement. Par contre, forcément, il te faudra le remettre en route.

Non, je n'ai pas fait de ticket. Ma priorité a été de protéger mes données saines, et dans l'immédiat je n'ai pas trouvé de meilleure solution que de tout éteindre. Je ne te cache pas que, en l'absence de besoin urgent des données, je suis très réticent à l'idée de rallumer le NAS, fut-ce pour faire un ticket, une MAJ de Malware Remover et un scan (quitte à devoir renoncer définitivement aux données corrompues) ; parce que je me dis que pendant tout ce temps-là, deadbolt pourra corrompre des fichiers qui pour le moment sont intacts, et ça serait rageant. Mais je me trompe peut-être ?

Je précise que le soir où je me suis rendu compte de l'attaque, j'ai exécuté malware remover, par deux fois, et il n'a rien détecté. Aucune mise à jour n'était proposée non plus. Mais c'était peut-être encore un peu tôt, dans la nuit du 3 au 4, pour que tous les correctifs de QNAP soient diffusés.

EVOTk a dit:
je suppose parceque les NAS QNAP utilise des LVM https://doc.ubuntu-fr.org/lvm

OK, j'imagine que tu as raison, je vais me renseigner là-dessus. Si c'est le cas, connais-tu une solution similaire à ce que j'ai testé (Linux reader, R-linux, etc.) qui saurait lire ça ?

EVOTk a dit:
Dans l'absolu oui, mais cela reste risqué a mon sens.

Quel serait le risque ? Tu penses à une propagation de deadbolt sur les données saines du disque qui serait monté, ou autre chose ?

EVOTk a dit:

Bonne nouvelle !

Merci. Je reste à l'écoute de toutes les autres idées / suggestions / réponses des membres du forum sur mon post initial.
 
OK, j'imagine que tu as raison, je vais me renseigner là-dessus. Si c'est le cas, connais-tu une solution similaire à ce que j'ai testé (Linux reader, R-linux, etc.) qui saurait lire ça ?
Non désolé, je ne suis pas a l'aise avec les LVM et autre.

Quel serait le risque ? Tu penses à une propagation de deadbolt sur les données saines du disque qui serait monté, ou autre chose ?
Plutôt à une corruption du RAID.

Au fait, on parle de quel volume de données ? Tu as deux disque de combien de To ?
 
Au fait, on parle de quel volume de données ? Tu as deux disque de combien de To ?

J'ai deux disques de 3 To qui étaient en RAID 1 ; remplis environ aux 2/3 ; je dirais un peu moins de 2 To de données, dont (à la louche) 2 à 3 % affectées par deadbolt.
 
Tu ne connais personne qui pourrai te prêter 2 disque d'au moins 3 To ?
Une solution un peu "folle" serai de faire sur 2 autres disques des copies parfaite de tes disques actuelle ( avec ddrescue par exemple )

Ensuite, tu insere les copies dans le NAS, pour voir se que cela dit ! Tu pourra meme tenter voir si le support arrive a t'extraire une clé ou autre, sans risque au final, car les DD d'origine n'auront pas était touché.

Aussi ddrescue peut faire des images disques, si tu as un gros stockage, tu peut tres bien stocker les images des disques dessus. Et les réinjecter sur tes disques ( mais je suis moins fan, car cela te fait toucher aux DD d'origine )

Visiblement tu es du 66, un peu loin pour moi ( 57 ) :(
 
  • J'aime
Réactions: Paradise et FX Cachem
Si les données sont si précieuses : autant acheter 2 disques 3TO : 2 x 83,99 Euro


Tu peux dupliquer tes disques via boitier hardware (quelques dizaine d'Euro).
Comme signalé par EvoTk tu dupliques et tu fais ce qu'il a dit.

Après tu peux demander un remboursement si tu ne traines pas trop (de mémoire 1 mois de délais).
Si peux d'acheter en Allemagne , Amazon France en vend aussi mais + cher 2x 105,55 Euro

 
  • J'aime
Réactions: EVO
Bonjour,


Si tu veux tu peux tester cette procédure bien qu'elle soit sur le site d'un constructeur différent du tien, cela a marché pour beaucoup de personnes ayant un qnap aussi.

P.s: tu peux utiliser un logiciel comme rufus ou liliusbcreator pour te faire une clé usb Linux.

 
En complément de @Paradise sache que cela marchera aussi sur des dd plus gros par exemple 2x4to, les 4to étant parfois plus simple a trouver et moins cher que des 3to
 
Tu ne connais personne qui pourrai te prêter 2 disque d'au moins 3 To ?
Une solution un peu "folle" serai de faire sur 2 autres disques des copies parfaite de tes disques actuelle ( avec ddrescue par exemple )

Ensuite, tu insere les copies dans le NAS, pour voir se que cela dit ! Tu pourra meme tenter voir si le support arrive a t'extraire une clé ou autre, sans risque au final, car les DD d'origine n'auront pas était touché.

Aussi ddrescue peut faire des images disques, si tu as un gros stockage, tu peut tres bien stocker les images des disques dessus. Et les réinjecter sur tes disques ( mais je suis moins fan, car cela te fait toucher aux DD d'origine )

Visiblement tu es du 66, un peu loin pour moi ( 57 ) :(
Je ne peux pas me faire prêter des disques, mais je peux en acheter. Il faudra que je le fasse, de toute façon, refroidi par cette expérience, je vais (enfin) passer à une stratégie de sauvegarde sérieuse, avec des copies de mes données sur USB et sur un site physique distant.

La question que je me pose sur la manip que tu proposes, c'est : est-ce que le NAS reconnaîtra les disques "copies" s'ils ne sont pas ceux d'origine (potentiellement marque et capacité différentes) ?

Et si ce sont des copies "parfaites", est-ce que ça ne reviendrait pas au même de mettre les disques d'origine dans le NAS ?

Et effectivement, on n'est pas voisins ?

Merci pour les idées !

Paradise a dit:
Si les données sont si précieuses : autant acheter 2 disques 3TO : 2 x 83,99 Euro


Tu peux dupliquer tes disques via boitier hardware (quelques dizaine d'Euro).
Comme signalé par EvoTk tu dupliques et tu fais ce qu'il a dit.

Après tu peux demander un remboursement si tu ne traines pas trop (de mémoire 1 mois de délais).
Si peux d'acheter en Allemagne , Amazon France en vend aussi mais + cher 2x 105,55 Euro

https://www.amazon.fr/-/en/Western-Digital-Internal-Hard-Drive/dp/B083XVD1FP

Merci pour les pistes, je vais y songer sérieusement.

Neo974 a dit:
Si tu veux tu peux tester cette procédure bien qu'elle soit sur le site d'un constructeur différent du tien, cela a marché pour beaucoup de personnes ayant un qnap aussi.

P.s: tu peux utiliser un logiciel comme rufus ou liliusbcreator pour te faire une clé usb Linux.

Si les manips évoquées plus haut ne donnent rien je reviendrai sans doute vers cette méthode. Merci !
 
La question que je me pose sur la manip que tu proposes, c'est : est-ce que le NAS reconnaîtra les disques "copies" s'ils ne sont pas ceux d'origine (potentiellement marque et capacité différentes) ?
Je n'ai encore jamais eu besoin de faire cela sous QTS5 (ouf d'ailleurs ! )
Mais vais essayer de trouver du temps pour le faire sur un nas de test.
Dans tout les cas je pense que QTS n'y verra que du feu.


Et si ce sont des copies "parfaites", est-ce que ça ne reviendrait pas au même de mettre les disques d'origine dans le NAS ?
Si cela reviendra exactement au meme.
seulement en cas d'erreur de manipulation, ou alors constatation que le virus continu sons action ... tu pourra re-commencer la procedure sans avoir "endommagé" les donnes des tes disques d'origines
 
OK merci à tous pour vos précieux conseils.

En ce qui concerne ddrescue, existe-t-il un équivalent sous Windows ? Vais-je pouvoir esquiver le fait d'apprendre à utiliser linux pour me sortir de cette situation ? Je n'aurais rien contre dans l'absolu, mais j'ai des journées déjà bien chargées ?.

Un boîtier hardware de copie comme me suggère Paradise (j'ai trouvé ça par exemple), si je l'utilise sous Windows, est-ce qu'il pourra cloner proprement mes disques partitionnés par QNAP avec du ext4 et du LVM ?

Autre question : je vois qu'il existe des boîtiers externes permettant de monter 2 disques en RAID 1 (comme celui-là par exemple) et de sortir sur une interface USB... Vous voyez où je veux en venir ? Si je mets mes deux DD là-dedans et que je lance un de mes softs pour lire les partitions Linux sous Windows, ai-je une chance de succès (On commence à sentir le type qui ne veut pas quitter sa zone de confort, ou c'est moi ?) ? A priori non, d'après ce que je vois, aucune solution ne permet de lire une partition LVM sous Windows...

Il semblerait que je ne sois pas sorti du sable, mais vos conseils m'aident beaucoup. Merci à tous !
 
Et si tu lançais une session ubuntu live de ton pc windows? Avec un boîtier USB tu devrais voir le contenu du disque, non?
 
Et si tu lançais une session ubuntu live de ton pc windows? Avec un boîtier USB tu devrais voir le contenu du disque, non?

J'y ai pensé aussi, mais est-ce que ça peut marcher avec un seul disque, issu d'un RAID1 et partitionné en LVM ?
 
En ce qui concerne ddrescue, existe-t-il un équivalent sous Windows ? Vais-je pouvoir esquiver le fait d'apprendre à utiliser linux pour me sortir de cette situation ? Je n'aurais rien contre dans l'absolu, mais j'ai des journées déjà bien chargées ?.
Je ne sait pas sous Windows, les logiciels que je connais ( Rufus / Win32DiskImager .. ) font une copie image, ici il faut du bit par bit.
Je viens de lancer mon test ddrescue sur un SSD 480G de mon TVS vers un SSD de 1To. Par contre, le seul adaptateur USB/SATA dispo est une "daube" dans les 30Mo/s max environ donc il va falloir attendre un peu :D

gWPy8vh.png


Edit : Egalement il existe ce genre de boitier station USB, il possède une fonction clonage pour certains, comme le : https://www.amazon.fr/ICY-BOX-Docking-Station-Clone/dp/B083ZW86H1 Cela l'avantage de pouvoir se passer d'un PC/... Mais aucune idée si c'est équivalent a du bit par bit
 
Pour info, aucun soucis pour relancer le TVS avec le clone du SSD480Go sur un SSD1To :

Avant :
B9sfkX9.png

XkaAGGQ.png



Apres :
4Hqw02c.png

pNjxMtZ.png

Merci d'avoir fait le test, ça semble indiquer que la manip consistant à copier les disques permettra de relancer mon NAS avec les copies dans les baies.

Je suis en train de télécharger l'iso d'ubuntu 22.04.1, j'ai aussi téléchargé Rufus et préparé un clé USB de 4 Go pour booter dessus en linux. Une fois que ça sera opérationnel, j'essaierai l'opération suggérée par giopas ; qui consiste à monter une partition LVM avec un seul disque dans un boîtier USB / SATA.

Avant de me lancer là-dedans, une question toutefois, parce que c'est un peu mon obsession dans cette affaire : une fois sous tension, avec une partition montée, deadbolt ne risque-t-il pas de se réveiller et de reprendre son activité de chiffrement ?

J'ai le sentiment que, quoi qu'il arrive, il vaut mieux avant toute autre chose que je casse la tirelire pour deux nouveaux HDD > 3To afin de faire des copies "bit par bit" de mes disques originaux. Quelqu'un peut-il me confirmer qu'une fois booté en linux, je pourrai utiliser ddrescue et faire la même manip qu'EVOTk ?

Merci encore à tous pour vos idées.
 
Avant de me lancer là-dedans, une question toutefois, parce que c'est un peu mon obsession dans cette affaire : une fois sous tension, avec une partition montée, deadbolt ne risque-t-il pas de se réveiller et de reprendre son activité de chiffrement ?
Deadbolt s'install dans /mnt/HDA_ROOT
La partition de données que tu souhaite monté c'est /share/CACHEDEV1_DATA
Partant de la, tu ne verra meme pas deadbolt. Et meme si tu monte la partition systeme avec deadbolt je doute (mais je peut pas l'affirmer ) qu'il s'active , il est lié au systeme QTS, qui dans ton cas du montage en linux live ne sera pas monte.


e suis en train de télécharger l'iso d'ubuntu 22.04.1, j'ai aussi téléchargé Rufus et préparé un clé USB de 4 Go pour booter dessus en linux
Et sinon ... https://www.cachem.fr/ventoy-cle-bootable/ ?


J'ai le sentiment que, quoi qu'il arrive, il vaut mieux avant toute autre chose que je casse la tirelire pour deux nouveaux HDD > 3To afin de faire des copies "bit par bit" de mes disques originaux.
C'est clairement plus prudent, surtout dans ce genre de cas ou on fait des tentative de sauver des choses avec des outils qu'on a pas l'habitude d'utiliser .


Quelqu'un peut-il me confirmer qu'une fois booté en linux, je pourrai utiliser ddrescue et faire la même manip qu'EVOTk ?
Yes.
J'ai aussi envoyé un message au constructeur de la station d'accueil usb pour savoir si leur fonction clonage c'est du bit par bit, je suis presque sur que c'est le cas mais etre complètement sur c'est mieux ? si c'est le cas cela c permet meme de ce passer d'une machine sous linux pour la procédure .
 
Dernière édition: