Salut à tous.
Comme je l'ai expliqué dans ma présentation, j'ai été victime de deadbolt dans la soirée du 3 septembre.
Le système attaqué est un qnap TS-253 en RAID 1, que j'utilise à titre privé pour héberger du contenu multimédia essentiellement. Il semblerait que dans mon malheur j'aie eu la chance de prendre conscience de l'attaque (avec la fameuse page d'accueil de deadbolt) alors que le chiffrement n'avait affecté qu'un seul dossier, l'essentiel de mes données étant épargné (pas d'extension ".deadbolt" détectée ailleurs).
Passé le moment de panique, j'ai mis le NAS hors tension, j'ai commencé à me renseigner sur les mécanismes de ce ransomware (apprenant au passage que je n'étais qu'une victime parmi plein d'autres ce soir-là...), et j'ai réfléchi à un plan d'action pour récupérer les données saines. Je précise que je n'envisage pas de payer la rançon, position que je peux me permettre de tenir parce que la partie affectée de mes données est relativement restreinte, récupérable moyennant quelques efforts, et sans besoin urgent de disponibilité. Mon objectif est simplement de récupérer les données non affectées.
Voilà mes idées, je vous les soumets, vos réactions seront précieuses pour affiner les choses (je précise que sans être totalement illettré, je me classe quand même dans la catégorie noob) :
- J'ai mis mon NAS hors tension en me disant que si le script de deadbolt était encore actif il ne ferait pas de mal sur un matériel éteint. Je me suis dit que l'attaque venait peut-être de commencer et que si je laissais le matos allumé, le cryptage pouvait se propager aux fichiers "sains".
- J'ai extrait les disques du NAS, et mis un d'entre eux dans un boîtier S-ATA / USB
- Là, je me suis trouvé confronté à deux problèmes (que j'avais plus ou moins anticipés, mais c'est là que le côté noob intervient) :
* Le DD vient d'un RAID
* le DD est formaté sous linux
Je me suis donc mis en quête d'une solution logicielle simple (je ne dispose ni de carte RAID ni de PC sous linux, que ça soit en dualboot ou en VM) qui permettrait de lire les données de ce disque qui, hormis la présence de deadbolt, ne présente pas de défaillance matérielle.
1 - J'ai trouvé via une vidéo youtube un soft appelé "Diskinternals Linux reader", qui détecte bien le disque, mais me dit que le RAID est endommagé, et propose de me vendre une solution à $250 pour en récupérer les données. Dans la vidéo, rien de tout ça, l'utilisateur a accès à tous ses fichiers après le passage du soft.
2 - J'ai ensuite essayé une autre solution trouvée sur youtube basée sur "R-Linux". Ce soft, en plus de détecter la partition, propose de procéder à une analyse. Là encore, dans la vidéo, ça permet de lire le contenu du disque et de récupérer tous les fichiers. Chez moi, après les 7h d'analyse (le disque fait 3 TB), je n'avais toujours accès à rien. Deux partitions système en Ext4 sont bien détectées, et je peux y accéder, mais sur la partition principale qui contient les données, rien à faire.
3 - Une autre vidéo propose une manip équivalente avec la suite "Hetman software recovery". Je n'ai pas encore eu l'occasion de le tester, mais de ce que j'en vois, le fonctionnement semble similaire à celui de "R-Linux" essayé au dessus. J'anticipe toutefois le même résultat que pour les deux solutions testées avant.
Je me pose d'abord cette question : pourquoi ces softs (qui semblent obtenir de bons résultats dans le monde magique de youtube) ne me donnent-ils pas accès à mes données ? Est-il possible que QNAP ait utilisé un format de partition exotique pour les données que ces logiciels ne reconnaissent pas ? Le problème vient-il du type de RAID utilisé ?
S'il s'avère qu'aucun soft de ce type ne peut reconnaître ma partition système, je me lancerai dans l'installation d'un linux sur mon PC (vous me conseillez la VM ou le dualboot ? Ou autre chose ?) pour essayer une des manips de récupération sous linux qui sont décrites un peu partout. Je reviendrai sans doute crier à l'aide ici si le cas se produit.
Quelques questions enfin, sans doute idiotes, mais je m'en voudrais de ne pas les poser :
- Si je remonte mes disques dans le NAS et que je réinstalle tout comme avant, le risque que deadbolt reprenne son activité de chiffrement est-il bien réel ?
- Aurais-je accès à mes données en ne remontant qu'un seul des deux disques dans le NAS ? Je rappelle que leur intégrité matérielle n'est pas atteinte, et en n'en remontant qu'un, je protégerais l'autre d'une éventuelle reprise du script.
- Deadbolt peut-il affecter une machine sous Windows (si jamais je copie les données du NAS vers mon PC...) ?
Parce que si j'ai une bonne chance de récupérer les données, simplement en remettant le NAS dans mon réseau local, sans véroler le système sur lequel j'effectuerai la copie... Je me prends la tête pour pas grand chose. Mais je préfère être prudent.
Voilà, désolé pour ce long post, un immense merci à ceux d'entre vous qui ont pris le temps de le lire et à ceux qui éventuellement prendront le temps d'y répondre.
Comme je l'ai expliqué dans ma présentation, j'ai été victime de deadbolt dans la soirée du 3 septembre.
Le système attaqué est un qnap TS-253 en RAID 1, que j'utilise à titre privé pour héberger du contenu multimédia essentiellement. Il semblerait que dans mon malheur j'aie eu la chance de prendre conscience de l'attaque (avec la fameuse page d'accueil de deadbolt) alors que le chiffrement n'avait affecté qu'un seul dossier, l'essentiel de mes données étant épargné (pas d'extension ".deadbolt" détectée ailleurs).
Passé le moment de panique, j'ai mis le NAS hors tension, j'ai commencé à me renseigner sur les mécanismes de ce ransomware (apprenant au passage que je n'étais qu'une victime parmi plein d'autres ce soir-là...), et j'ai réfléchi à un plan d'action pour récupérer les données saines. Je précise que je n'envisage pas de payer la rançon, position que je peux me permettre de tenir parce que la partie affectée de mes données est relativement restreinte, récupérable moyennant quelques efforts, et sans besoin urgent de disponibilité. Mon objectif est simplement de récupérer les données non affectées.
Voilà mes idées, je vous les soumets, vos réactions seront précieuses pour affiner les choses (je précise que sans être totalement illettré, je me classe quand même dans la catégorie noob) :
- J'ai mis mon NAS hors tension en me disant que si le script de deadbolt était encore actif il ne ferait pas de mal sur un matériel éteint. Je me suis dit que l'attaque venait peut-être de commencer et que si je laissais le matos allumé, le cryptage pouvait se propager aux fichiers "sains".
- J'ai extrait les disques du NAS, et mis un d'entre eux dans un boîtier S-ATA / USB
- Là, je me suis trouvé confronté à deux problèmes (que j'avais plus ou moins anticipés, mais c'est là que le côté noob intervient) :
* Le DD vient d'un RAID
* le DD est formaté sous linux
Je me suis donc mis en quête d'une solution logicielle simple (je ne dispose ni de carte RAID ni de PC sous linux, que ça soit en dualboot ou en VM) qui permettrait de lire les données de ce disque qui, hormis la présence de deadbolt, ne présente pas de défaillance matérielle.
1 - J'ai trouvé via une vidéo youtube un soft appelé "Diskinternals Linux reader", qui détecte bien le disque, mais me dit que le RAID est endommagé, et propose de me vendre une solution à $250 pour en récupérer les données. Dans la vidéo, rien de tout ça, l'utilisateur a accès à tous ses fichiers après le passage du soft.
2 - J'ai ensuite essayé une autre solution trouvée sur youtube basée sur "R-Linux". Ce soft, en plus de détecter la partition, propose de procéder à une analyse. Là encore, dans la vidéo, ça permet de lire le contenu du disque et de récupérer tous les fichiers. Chez moi, après les 7h d'analyse (le disque fait 3 TB), je n'avais toujours accès à rien. Deux partitions système en Ext4 sont bien détectées, et je peux y accéder, mais sur la partition principale qui contient les données, rien à faire.
3 - Une autre vidéo propose une manip équivalente avec la suite "Hetman software recovery". Je n'ai pas encore eu l'occasion de le tester, mais de ce que j'en vois, le fonctionnement semble similaire à celui de "R-Linux" essayé au dessus. J'anticipe toutefois le même résultat que pour les deux solutions testées avant.
Je me pose d'abord cette question : pourquoi ces softs (qui semblent obtenir de bons résultats dans le monde magique de youtube) ne me donnent-ils pas accès à mes données ? Est-il possible que QNAP ait utilisé un format de partition exotique pour les données que ces logiciels ne reconnaissent pas ? Le problème vient-il du type de RAID utilisé ?
S'il s'avère qu'aucun soft de ce type ne peut reconnaître ma partition système, je me lancerai dans l'installation d'un linux sur mon PC (vous me conseillez la VM ou le dualboot ? Ou autre chose ?) pour essayer une des manips de récupération sous linux qui sont décrites un peu partout. Je reviendrai sans doute crier à l'aide ici si le cas se produit.
Quelques questions enfin, sans doute idiotes, mais je m'en voudrais de ne pas les poser :
- Si je remonte mes disques dans le NAS et que je réinstalle tout comme avant, le risque que deadbolt reprenne son activité de chiffrement est-il bien réel ?
- Aurais-je accès à mes données en ne remontant qu'un seul des deux disques dans le NAS ? Je rappelle que leur intégrité matérielle n'est pas atteinte, et en n'en remontant qu'un, je protégerais l'autre d'une éventuelle reprise du script.
- Deadbolt peut-il affecter une machine sous Windows (si jamais je copie les données du NAS vers mon PC...) ?
Parce que si j'ai une bonne chance de récupérer les données, simplement en remettant le NAS dans mon réseau local, sans véroler le système sur lequel j'effectuerai la copie... Je me prends la tête pour pas grand chose. Mais je préfère être prudent.
Voilà, désolé pour ce long post, un immense merci à ceux d'entre vous qui ont pris le temps de le lire et à ceux qui éventuellement prendront le temps d'y répondre.