Ransomware sur NAS Qnap

[tomtom95]

Re,

As-tu pris le temps de lire les liens que j'ai fournis sur les attaques NAS Qnap ?

Voici ce qui est recommandé ( à faire pour la prochaine fois)
*Utiliser un mot de passe complexe pour les comptes administrateurs.
*Activer la fonction "IP Protection" pour vous protéger contre les attaques de type brute force, aussi bien en SSH qu'en accès HTTPS
*Ne pas utiliser et modifier le port réseau par défaut 443 et 8080 pour l'accès Web.
*Mettre à jour leurs boîtiers NAS avec son dernier firmware.

Bien puisque tu es sûr qu'aucun ordinateur n'est en cause,et qu'il sont propore.
Je te conseille malgré tout de faire un scanne sur chaque ordinateur avec Malwarebytes Anti-Malware (idem pour le tél perso Malwarebytes for Android
Sinon il n'y a pas grand-chose d'autre a faire que réinitialiser "formater" le NAS et de réinstaller ta sauvegarde valide.

Pour terminé sur le PC analyser on supprimer les outils
Télécharge KpRm sur ton Bureau
Faites un clique droit sur le fichier téléchargé et choisir Exécuter en tant qu'administrateur
puis clique sur 'YES' lors de l'Avertissement de sécurité
Coche les 4 cases.
Supprimer les outils.
Supprimer les points de restaurations.
Créer un point de restauration
Supprimer maintenant

Puis clique sur Exécuter
Héberge le rapport sur le site d'hébergement de fichiers
Puis copier/coller le lien fourni dans votre prochaine réponse.

[Croqueurdos]

Bonjour,

Voici le log de KpRm, exécuté à l'instant :

https://up.security-x.fr/file.php?h=R7e6945876f4452a0969930dd33a9bff3

Concernant les autres PC, concrètement je ne les ai pas testés (ADWClener serait-il suffisant ? ou bien Malwarebytes ? ou les deux ? ) ; c'est notamment celui de mon collègue en télétravail que je souhaiterai tester également...

Concernant les articles et recommandations Qnap, j'en ai lu un pour le moment, et les recommandations sont les mêmes qu'ils m'ont donné dans leur réponse à mon ticket d'hier...

Encore merci !

Fred

Modifié le 21 décembre 2021 par Croqueurdos

[tomtom95]

Bonjour Croqueurdos,

Normalement des ordinateurs d'entreprise qui ne servent que pour une activité de travail devraient être propre.
Mais si certains ordinateurs personnels sont reliés au serveur, on ne peut pas écarter les risques.  
(Un comportement à risque de la personne, des téléchargements douteux, P2P, .. un système non à jour, des programmes installés non à jour etc.)

Donc sans avoir fait un diagnostic du contenu des ordinateurs, on ne peut jamais être sûr qu'il n'y a pas d'indésirables dessus.
C'est ce que l'on a fait pour ton ordinateur avec l'outil FRST qui a révélé le programme indésirable WiperSoft.

Maintenant comme je te l'ai indiqué dans mon autre message.
Je te conseille malgré tout de télécharger Malwarebytes Anti-Malware
Puis de faire un scanne d'analyse sur chaque ordinateur.
C'est un bon début, si des malwares sont présents sur l'un des ordinateurs ils seront mis en quarantaine par l'outil.
Ensuite, on peut toujours vérifier l'ordinateur concerné avec un diagnostic FRST pour savoir s'il est propre.

[Croqueurdos]

Oui les PC utilisés ici et qui sont les seuls à se connecter sont utilisés uniquement pour le boulot.

J'ai fait vérifier au collègue son PC avec Malwarebyte et ADWCleaner, tout semble ok.

Encore merci pour ton aide.

[tomtom95]

Re,

OK c'est une bonne chose.
Pour repartir sur de bonnes bases, il ne te reste plus cas réinitialiser le NAS et de réinstaller ta sauvegarde.
De vérifier que le NAS soit a jour avec le dernier firmware et utilitaire QNAP TS-212P
Puis de la configurer avec les recommandations Qnap

Voilà si le problème est réglé et que tu considères que ton problème est résolu, marque le comme tel.comment Marquer un sujet

 

[Croqueurdos]

C'est fait, il est réinitialisé, le DL de la sauvegarde est en cours, mais c'est lent...

Encore merci !

[tomtom95]

J'image que c'est long, ça doit contenir pas mal de donnée à transférer.