Ransomware sur NAS Qnap

[Croqueurdos]

Bonjour à tous,

Mauvaise surprise ce matin en arrivant au boulot, le NAS (un Qnap TS-212P) a tout ses fichiers cryptés avec un fichier .txtt qui contient le message suivant (que j'ai du modifier en .txt pour pouvoir le lire) :

"All your data has been locked(crypted).
How to unlock(decrypt) instruction located in this TOR website:
Use TOR browser for access .onion websites.
 

 

Je pensais avoir sécurisé au maximum pour m'éviter ce genre de chose, mais manifestement cela n'a pas suffit...

Je ne sais pas dans l'immédiat que faire ou quoi vous communiquer pour résoudre cela.

Toutefois, diverses infos :

- QNAP TS-212P, micrologiciel 4.3.3.1799 Build 20211008
- les fichiers encryptés sont horodatés à ce matin 4:20 (20/12/21)
- j'ai une sauvegarde existante via une appli installée sur le NAS, qui sauvegarde sur un Google Drive ; ces fichiers sont fonctionnels. Il semble donc que la sauvegarde ci-dessus ai été faite juste avant
- j'avais sur le NAS un utilisateur intitulé "wasthere", que j'ai d'ors et déjà supprimé
- sur le NAS était activé un serveur VPN pour pouvoir y accéder depuis l'extérieur (avec évidement id et pw...) ; je l'ai désactivé
EDIT
- j'ai une appli installée sur le NAS dont je n'ai pas souvenir (System 0.1 avec une icone contenant les lettres "DK")
 

Les fichiers contenus sur ce NAS ne sont pas primordiaux (même si je souhaiterais bosser normalement plutôt que de m'occuper de cela...), d'autant que j'ai une sauvegarde, mon souhait est de pouvoir remettre clean ce NAS et y remettre mes fichiers ; quitte bien entendu à y passer un peu de temps pour le reconfigurer...

Et aussi savoir d'où a pu venir le problème ? Pour éviter qu'il ne se reproduise...

Pour ma part, je présume que cela ne peut venir que d'un PC du réseau local (ou d'une imprimante... ? j'en ai une qui est connectée au NAS pour y stocker les scans...) via son accès au NAS.

J'ai juste un dossier que je ne sauvegardais pas (qques fichiers perso...) que je souhaiterais pouvoir récupérer, m'enfin si ce n'est pas possible...

D'avance merci !

Fred

 

Modifié le 20 décembre 2021 par pustelnik
Suppression des liens, pour éviter tout risque.

[tomtom95]

Bonjour Croqueurdos,

Bienvenue sur le forum Zebulon.

Tu as été infecté par un Cryptowall qui fait partie des multiples variantes ransmoware crypteur.
À l'heure actuelle, il n'y a pratiquement aucun moyen de récupérer ces fichiers,
car ils sont chiffré avec une clé unique quasiment impossible à déchiffrée avec des moyens "normaux"

La seule chose possible c'est de supprimer l'infection sur le système de l'ordinateur.
Une fois correctement nettoyer ,et comme il y a  une sauvegarde externe des fichiers ,c'est de restaurer cette sauvegarde.

Généralement les causes de ce type d'infection sont:
Un comportement à risque,(téléchargement, P2P, surf sur le net..) un système non à jour, des programmes installés non à jour etc.

Pour commencer on va faire un diagnostic de l'ordinateur avec l'outil FRST

Selon le système exploitation 32 Bit ou 64 Bits  
Mon ordinateur exécute-t-il la version 32 ou 64 ?bits

Télécharger FRST sur ton Bureau << IMPORTANT pas ailleurs
Lien de téléchargement de l'outil >> Farbar Recovery Scan Tool pour systèmes x32 (x86) ou Pour systèmes x64

Le filtre SmartScreen de windows peut afficher une alerte.
Clique sur Actions ou Informations complémentaires puis sur Exécuter quand même.

Ferme toutes les applications en cours (notamment le navigateur)
Faites un clique droit sur le fichier téléchargé (FRST.exe) et choisir Exécuter en tant qu'administrateur
puis clique sur 'Exécuter' lors de l'Avertissement de sécurité.
Quand l'outil démarre, clique sur Oui (Acceptez les termes de la fenêtre Disclaimer clause de non-responsabilité).

Clique sur le bouton ANALYSER.
L'outil va créer un fichier rapport [log] nommé FRST.txt situé sur le bureau
Il crée aussi un autre rapport nommé Addition.txt - situé également sur le bureau
Héberge les rapports  sur le site  Service de rapport en ligne
Sur le site clique sur Parcourir et chercher les rapports sur le bureau et sélectionne le
Sur la page Clique sur Ouvrir
Puis sur le site Clique sur  ENVOI, >> copie/colle les liens des rapports dans ta prochaine réponse.

[Croqueurdos]

Merci pour le coup de main.

Voici les deux fichiers textes :

https://up.security-x.fr/file.php?h=Rcadff8f94657919adc4c142fa90bcf3d

https://up.security-x.fr/file.php?h=Re45b3ca2841a52f59eb57a3ab505aa03

 

Toutefois la procédure semble partir du principe que c'est un PC qui est infecté, est-ce que ça pourrait être le NAS directement ? Car seuls les fichiers du NAS sont impactés...

 

Et donc, si tu penses que cela viens d'un PC, il faudrait donc appliquer la procédure sur tous les postes du réseau sur lequel se trouve le NAS ?

 

Merci !

Fred

[tomtom95]

Re,

Il faut une porte d'entrée pour infecter le NAS, le stockage de données passe généralement par un ordinateur.
S'il y a plusieurs ordinateurs, il faut effectivement rechercher celui qui est responsable ou celui qui était en fonction sur le réseau ce matin vers 4:20.

Il n'y a rien d'inquiétant sur les rapports que tu viens de poster, juste quelques erreurs du système.
Passe malgré tout cet outil.

Télécharges Adwcleaner sur ton Bureau
Ferme toutes les applications en cours (notamment le navigateur)
Fais clique droit dessus, exécuter en tant qu'administrateur
Clique sur oui pour Accepter la licence

Clique sur Analyser Maintenant
Lorsque le scan est terminé les éléments détectés s'affichent
Choisir l'option Quarantaine
Accepte l'avertissement en cliquant sur redémarrer maintenant l'ordinateur.
Ensuite C /Adwcleaner/Logs Héberge  le contenu du rapport
sur le site d'hébergement de fichiers
Puis copie/colle le lien fourni dans votre prochaine réponse.

Ensuite Ouvre une invite de commandes
Clique droit sur Windows >> puis sur  Windows PowerShell (admin)
Copie/colle la commande suivante : sfc /scannow  >> valide avec la touche Entrée
Si aucun problème n'est trouvé tu auras le message
Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité.

À l'avenir pour une meilleure protection de ton matériel,je te conseille à la place de WiperSoft d'utiliser Malwarebytes Anti-Malware

 

[tomtom95]

Re,

En complément.
Mon collégue longaripa de l'équipe Sécurité (Merci à lui).
Me signal les différents articles sur des attaques de NAS Qnap par Rançongiciel en début d'année.  
Consulte l'article du 17/05/2021 >> QNAP alerte ses clients sur une nouvelle vague d'attaques qui touchent les NAS de la marque
Article du 22 /04/ 2021 Une attaque de ransomware sur QNAP crypte le NAS des utilisateurs et demande une rançon pour récupérer des fichiers
Article 26/04/2021 Les utilisateurs de NAS Qnap visés par une vague d’attaques par rançongiciels

Une solution "sans certitude " serait de scanner le NAS avec la dernière version Malware Remover 5.6.1.2
Lien de téléchargement en bas de pages.

Autre information QNAP exhorte les utilisateurs à mettre à jour Malware Remover après l'alerte QSnatch

 

[Croqueurdos]

Re,

Encore merci.

Concernant l'horaire, il n'y avait aucun PC allumé à 4h20 à ma connaissance, seul p-e celui de mon collègue en télétravail qui pouvait l'être car son PC est chez lui. Je lui demanderai.

Je vais m'occuper de Adwcleaner et posterai ensuite le log.

Concernant l'appli Qnap Malware Remover, je ne la connaissais pas, je l'ai installé ce matin dans un vain espoir ; le problème est que je n'ai pas/plus de log/journaux sur le NAS...Hors, c'est ce sur quoi renvoi cette appli (qui a bien détecté qque chose...) mais, de fait, impossible de supprimer le problème.

Entre temps, j'ai également sollicité un ticket chez Qnap, ils me donnent la procédure pour réinitialiser le NAS...Ce que je ferais ensuite.

Mais il faut que je m'assure avant tout que tous les PC sont bien tous bien clean...

[Croqueurdos]

Il y deux fichiers log qui ont été générés par Adwcleaner :

https://up.security-x.fr/file.php?h=R430af4e4f7dc40ded2426cf5041ee10b

https://up.security-x.fr/file.php?h=Rc1950808885672d603d5bb05e7376fa6

[tomtom95]

Re,

D'accord,normalement avec l'utilitaire  Malware Remover tu dois pouvoir sortir un rapport
Au niveau (system event log =journal des événements système ) et en haut il faut cliquer sur export logs.

L'outil Adwcleaner a fait un peu de ménage concernant indésirable WiperSoft.
Je te conseille d'utiliser Malwarebytes Anti-Malware pour scanner l'ensemble de tes disques et supports brancher sur le PC.
Voici le tutoriel de Malwarebytes pour faire une Analyse Avancés (Personnalisée) et cocher toutes les cases des périphériques ,

Il y a combien d'autres ordinateurs ?

Modifié le 20 décembre 2021 par tomtom95

[Croqueurdos]

et le résultat du sfc /scannow :

https://up.security-x.fr/file.php?h=R505cfcb63eaf5ff445a5eeeaf2691ac1

 

Merci.

[Croqueurdos]

Pour malware remover sur le nas, j'avais justement pas possibilité de voir de log 😕

 

Il y a 3 autres PC sur ce réseau (soit 4 au total, dont 3 étaient de manière sûre éteints), mon tél perso qui accède au NAS via Qfile, et une imprimante aussi (une Epson) pour y envoyer les documents scannés directement dans un répertoire.

 

Je précise également que j'ai un ddns en place sur le NAS pour pouvoir le pointer par une url unique, au lieu de l'IP de la connexion, qui n'est pas une IP fixe je crois...Ca pourrait être une source potentielle de point d'entré pour un tel piratage ?

 

Encore merci.

Fred