Il y a une semaine, les NAS Asustor étaient la cible d’un ransomware nommé DeadBolt. Si des solutions ont été trouvées pour récupérer l’accès au NAS, beaucoup se retrouvent dans l’impasse pour récupérer leurs données verrouillées par le malware. On fait le point avec quelques explications…
ASUSTOR vs DeadBolt
Tout est parti d’un message sur le Forum des NAS, lundi 21 février, rapidement rejoint par plusieurs dizaines d’autres. Un malware de type rançongiciel (ransomware en anglais) s’attaque aux NAS ASUSTOR. Son nom : DeadBolt (connu également des utilisateurs QNAP). Après être entré sur le NAS, l’attaquant va déposer son programme malveillant. Ce dernier va lancer le chiffrement des fichiers (encrypter les données), verrouiller l’accès au NAS et afficher une demande de rançon : 0,03 bitcoin (environ 1100€).
Le lendemain, mardi 22 février, ASUSTOR recommandait via différents canaux, notamment les réseaux sociaux, de débrancher le câble réseau (RJ45). Au même moment, il mettait en place en urgence une cellule de crise. Quelques heures plus tard, les premières consignes officielles étaient données : freiner l’attaque et protéger les NAS. Mais le plus dur restait encore à faire…
Le 24 février, le fabricant fournissait 2 versions de son logiciel interne (ADM 3.5.9 et ADM 4.0.4), pour tous les serveurs NAS… les plus récents, comme les plus anciens. Ces micrologiciels permettent de neutraliser DeadBolt, de boucher la faille utilisée et rendent aux utilisateurs l’accès à leur NAS. ASUSTOR a également fourni une application Ransomware Status pour s’assurer que le malware n’était plus présent dans le système et de savoir si on a été impacté. La procédure complète, en français, est disponible à cette adresse…
Et maintenant…
À ce jour, ASUSTOR n’a pas fourni de solution intégrée de récupération des données. Il est conseillé aux utilisateurs infectés et n’ayant pas de sauvegarde de contacter directement le support. À noter que certains utilisateurs ont constaté qu’il était possible de récupérer certains de leurs fichiers en renommant simplement leurs fichiers (suppression de l’extension .deadbolt). Ils ne seraient pas chiffrés, mais seulement renommés ! Malheureusement, cela ne semble pas fonctionner dans tous les cas… ce serait trop simple.
Pour ceux dont les fichiers ont réellement été chiffrés, il n’y a pas de solutions pour les récupérer (sauf sauvegarde). ASUSTOR ne dispose pas de la clé pour déchiffrer les données. Une des pistes pour les récupérer serait d’utiliser l’outil TestDisk. Cependant, cette procédure s’adresse aux utilisateurs expérimentés uniquement. L’opération de récupération est très longue, elle nécessite un travail post-traitement et le résultat n’est pas garanti.
Faille Internet ?
Si vous avez été victime ou pas de ce malware, vous recommandons d’opérer à quelques contrôles : EZ-Connect, UPnP avec EZ-Routeur, DDNS… Ces outils permettent de rendez accessible à votre NAS depuis l’extérieur (via Internet). C’est par ce biais que les hackers mal-attentionnés sont à parvenir à leurs fins. Aussi, contrôler votre routeur ou Box opérateur : assurez-vous qu’il n’y ait aucune redirection de port vers votre NAS.
L’UPnP (Universal Plug and Play) est le responsable de nombreuses attaques ces derniers mois. Il est activé par défaut sur de nombreuses Box opérateurs et si vous n’y faites pas attention, l’UPnP peut offrir/ouvrir des portes d’entrée à votre réseau local.
Sauvegarde, sauvegarde, sauvegarde
Selon nos informations, les victimes sont majoritairement des particuliers… et peu d’entreprises. Cette attaque sans précédent pour ASUSTOR mérite de rappeler que les sauvegardes régulières sont le meilleur rempart contre ce genre d’attaque. Une stratégie de sauvegarde 3 – 2 – 1 reste la meilleure arme… même si elle peut paraître fastidieuse. Pour rappel, l’objectif est de protéger ses données les plus importantes. Il faut donc :
- 3 copies d’un même fichier : la copie principale du fichier et deux autres sauvegardes ;
- 2 supports différents : un NAS, un disque externe, un service en ligne (cloud)… ;
- 1 sauvegarde hors site : une sauvegarde devra être dans un cloud ou sur un disque hors de votre domicile (au bureau, dans votre famille).
Le risque 0 n’existe pas, personne n’est à l’abri. Vous retrouverez les consignes, FAQ, communications officielles et autres tutos directement sur le Forum ASUSTOR en français… A noter que le service myasustor.com devrait être de nouveau actif sous 48h.