NAS QNAP – L’attaque du virus Deadbolt chiffre vos données
Mauvaise nouvelle pour les propriétaires de NAS QNAP. En effet un groupe de hackeur a réussi à se connecter sur les NAS exposés sur le WEB. Grâce à une faille de sécurité non dévoilé publiquement (zéro day) ils ont réussi à chiffrer les données des utilisateurs.
Voici quelques explications pour le Ransomware DeadBolt.
Sommaire
C'est quoi le virus DEADBOLT ?
Des robots cherchent des accès aux NAS exposés sur internet (accès en https ). Une fois sur la page de connexion ils tentent des millions de combinaisons pour entrer sur l'interface. Actuellement il existe une faille (non communiquée par QNAP) qui permet aux pirates de chiffrer les données du NAS.
Le principe ressemble beaucoup au virus QLOCKER .
Une fois impacté vous ne pouvez plus vous connecter et vous observez la page suivante sur l'interface de connexion :
Enfin les fichiers sont chiffrés avec une extension en .deadbolt
Il ne faut pas payer la rançon, en effet d'après les commentaires sur les forums de QNAP certains n'ont pas eu la clé permettant de déchiffrer les données.
Comment récupérer ses données
Couper l'accès extérieur au NAS
En priorité vous devez supprimer les accès depuis l'extérieur à votre NAS. Désactiver les ports ouvert (80/443) afin de plus être accessible.
Les robots tentent de se connecter par ces deux ports.
Il faut modifier cette configuration sur votre routeur/box ou Pare-feu.
Retrouver la page de connexion
Il est possible de retrouver la page de connexion, vous pouvez depuis l'outil QFINDER effectuer une mise à jour ou un redémarrage du NAS.
Après le redémarrage il semblerait que la page soit accessible pendant quelques minutes.
Vous pouvez tenter une connexion via ce lien : http://nas_ip:8080/cgi-bin/index.cg
Si vous êtes toujours bloqué voici une autre solution. Connectez vous en SSH sur votre NAS (vous pouvez l'activer avec le QFINDER si vous ne l'avez pas).
Le compte "admin" par défaut doit pouvoir se connecter, l'outil utiliser pour la connexion au tunnel SSH est Putty.
Saisir les commandes suivantes :
f you want to have access to your NAS just connect to ssh with admin account (or root if you have Entware-alt installed and admin disabled) : cd /home/httpd/ mv index.html index.html_deadlock mv index.html.bak index.html
Vous pouvez désormais vous reconnecter au NAS.
Utiliser votre sauvegarde
Pour le moment il n'existe pas de solutions pour déchiffrer les données. Il faut restaurer les données depuis votre sauvegarde.
Vous pouvez éventuellement garder sous le coude vos fichiers si plus tard il existe une solution pour déchiffrer les données en .deadbolt
Quelques règles de sécurités pour se protéger
Il est fortement conseiller de désactiver les accès extérieurs sur le NAS. Mettez à jour immédiatement votre NAS QNAP pour patcher la faille.
En effet ces versions ne sont pas affectées par la faille :
- QTS 5.0.0.1891 build 20211221 et supérieure
- QTS 4.5.4.1892 build 20211223 et supérieure
- QuTS hero h5.0.0.1892 build 20211222 et supérieure
- QuTScloud c5.0.0.1919 build 20220119 and supérieure
Pour forcer la mise à jour il faut aller dans le panneau de contrôle / Systèmes / Mise à jour et cliquer sur vérifier les mises à jour
Il faut également désactiver le compte admin sur le NAS et bien évidemment utiliser des mots de passes complexes (12 caractères , majuscules, minuscules, chiffres, symboles).
Commentaires
Le 25 août 2022 à 2 h 12 min, Amie a dit :
Nas infecté par Deadbolt. Pas de sauvegarde récente . Si on paie à tous on la Cle?
Le 25 août 2022 à 10 h 32 min, Tutos-Info a dit :
Hello, malheureusement ce n'est pas garantie de recevoir une clé.
Le 10 août 2022 à 19 h 20 min, guerin a dit :
serai je prévenu ,si une solution est trouvée pour que je puisse récupérer mes fichiers?
Laisser un commentaire