Serveurs

NAS QNAP – L’attaque du virus Deadbolt chiffre vos données

Par Tutos-Info , le 26 janvier 2022 , mis à jour le 27 janvier 2022 , 3 commentaires - 4 minutes de lecture
logo fibre
5/5 - (2 votes)

Mauvaise nouvelle pour les propriétaires de NAS QNAP. En effet un groupe de hackeur a réussi à se connecter sur les NAS exposés sur le WEB. Grâce à une faille de sécurité non dévoilé publiquement (zéro day) ils ont réussi à chiffrer les données des utilisateurs.

Voici quelques explications pour le Ransomware DeadBolt.

C'est quoi le virus DEADBOLT ?

Des robots cherchent des accès aux NAS exposés sur internet (accès en https ). Une fois sur la page de connexion ils tentent des millions de combinaisons pour entrer sur l'interface. Actuellement il existe une faille (non communiquée par QNAP) qui permet aux pirates de chiffrer les données du NAS.

Le principe ressemble beaucoup au virus QLOCKER .

Une fois impacté vous ne pouvez plus vous connecter et vous observez la page suivante sur l'interface de connexion :

deadbolt page
D'après les forums de QNAP il semblerait que payer la rançon ne fonctionne pas !

Enfin les fichiers sont chiffrés avec une extension en .deadbolt

Il ne faut pas payer la rançon, en effet d'après les commentaires sur les forums de QNAP certains n'ont pas eu la clé permettant de déchiffrer les données.

Comment récupérer ses données

Couper l'accès extérieur au NAS

En priorité vous devez supprimer les accès depuis l'extérieur à votre NAS. Désactiver les ports ouvert (80/443) afin de plus être accessible.

Les robots tentent de se connecter par ces deux ports.

Il faut modifier cette configuration sur votre routeur/box ou Pare-feu.

Retrouver la page de connexion

Il est possible de retrouver la page de connexion, vous pouvez depuis l'outil QFINDER effectuer une mise à jour ou un redémarrage du NAS.

Après le redémarrage il semblerait que la page soit accessible pendant quelques minutes.

Vous pouvez tenter une connexion via ce lien : http://nas_ip:8080/cgi-bin/index.cg

qfinder pro
L'Outil Qfinder Pro permet de modifier la configuration de votre NAS

Si vous êtes toujours bloqué voici une autre solution. Connectez vous en SSH sur votre NAS (vous pouvez l'activer avec le QFINDER si vous ne l'avez pas).

Le compte "admin" par défaut doit pouvoir se connecter, l'outil utiliser pour la connexion au tunnel SSH est Putty.

Saisir les commandes suivantes :

f you want to have access to your NAS just connect to ssh with admin account (or root if you have Entware-alt installed and admin disabled) :

cd /home/httpd/
mv index.html index.html_deadlock
mv index.html.bak index.html
Une erreur de permission ? il faut dans ce cas saisir « sudo » avant votre commande.

Vous pouvez désormais vous reconnecter au NAS.

Utiliser votre sauvegarde

Pour le moment il n'existe pas de solutions pour déchiffrer les données. Il faut restaurer les données depuis votre sauvegarde.

Vous pouvez éventuellement garder sous le coude vos fichiers si plus tard il existe une solution pour déchiffrer les données en .deadbolt

Quelques règles de sécurités pour se protéger

Il est fortement conseiller de désactiver les accès extérieurs sur le NAS. Mettez à jour immédiatement votre NAS QNAP pour patcher la faille.

En effet ces versions ne sont pas affectées par la faille :

  • QTS 5.0.0.1891 build 20211221 et supérieure
  • QTS 4.5.4.1892 build 20211223 et supérieure
  • QuTS hero h5.0.0.1892 build 20211222 et supérieure
  • QuTScloud c5.0.0.1919 build 20220119 and supérieure

Pour forcer la mise à jour il faut aller dans le panneau de contrôle / Systèmes / Mise à jour et cliquer sur vérifier les mises à jour

Il faut également désactiver le compte admin sur le NAS et bien évidemment utiliser des mots de passes complexes (12 caractères , majuscules, minuscules, chiffres, symboles).

Tutos-Info

Fondateur de Tutos-Informatique, je suis Administrateur Systèmes et Réseaux. Je propose des tutoriels suite à mes interventions clients.

Commentaires

Le 25 août 2022 à 2 h 12 min, Amie a dit :


Nas infecté par Deadbolt. Pas de sauvegarde récente . Si on paie à tous on la Cle?


Votre réponse sera révisée par les administrateurs si besoin.

Le 25 août 2022 à 10 h 32 min, Tutos-Info a dit :


Hello, malheureusement ce n'est pas garantie de recevoir une clé.


Votre réponse sera révisée par les administrateurs si besoin.

Le 10 août 2022 à 19 h 20 min, guerin a dit :


serai je prévenu ,si une solution est trouvée pour que je puisse récupérer mes fichiers?


Votre réponse sera révisée par les administrateurs si besoin.

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.