ASUSTOR / DeadBolt : suite et fin ?

Il y a une semaine, les NAS Asustor étaient la cible d’un ransomware nommé DeadBolt. Si des solutions ont été trouvées pour récupérer l’accès au NAS, beaucoup se retrouvent dans l’impasse pour récupérer leurs données verrouillées par le malware. On fait le point avec quelques explications…

ASUSTOR vs DeadBolt

Tout est parti d’un message sur le Forum des NAS, lundi 21 février, rapidement rejoint par plusieurs dizaines d’autres. Un malware de type rançongiciel (ransomware en anglais) s’attaque aux NAS ASUSTOR. Son nom : DeadBolt (connu également des utilisateurs QNAP). Après être entré sur le NAS, l’attaquant va déposer son programme malveillant. Ce dernier va lancer le chiffrement des fichiers (encrypter les données), verrouiller l’accès au NAS et afficher une demande de rançon : 0,03 bitcoin (environ 1100€).

Cliquez pour agrandir

Le lendemain, mardi 22 février, ASUSTOR recommandait via différents canaux, notamment les réseaux sociaux, de débrancher le câble réseau (RJ45). Au même moment, il mettait en place en urgence une cellule de crise.  Quelques heures plus tard, les premières consignes officielles étaient données : freiner l’attaque et protéger les NAS. Mais le plus dur restait encore à faire…

Le 24 février, le fabricant fournissait 2 versions de son logiciel interne (ADM 3.5.9 et ADM 4.0.4), pour tous les serveurs NAS… les plus récents, comme les plus anciens. Ces micrologiciels permettent de neutraliser DeadBolt, de boucher la faille utilisée et rendent aux utilisateurs l’accès à leur NAS. ASUSTOR a également fourni une application Ransomware Status pour s’assurer que le malware n’était plus présent dans le système et de savoir si on a été impacté. La procédure complète, en français, est disponible à cette adresse

Et maintenant…

À ce jour, ASUSTOR n’a pas fourni de solution intégrée de récupération des données. Il est conseillé aux utilisateurs infectés et n’ayant pas de sauvegarde de contacter directement le support. À noter que certains utilisateurs ont constaté qu’il était possible de récupérer certains de leurs fichiers en renommant simplement leurs fichiers (suppression de l’extension .deadbolt). Ils ne seraient pas chiffrés, mais seulement renommés ! Malheureusement, cela ne semble pas fonctionner dans tous les cas… ce serait trop simple.

Pour ceux dont les fichiers ont réellement été chiffrés, il n’y a pas de solutions pour les récupérer (sauf sauvegarde). ASUSTOR ne dispose pas de la clé pour déchiffrer les données. Une des pistes pour les récupérer serait d’utiliser l’outil TestDisk. Cependant, cette procédure s’adresse aux utilisateurs expérimentés uniquement. L’opération de récupération est très longue, elle nécessite un travail post-traitement et le résultat n’est pas garanti.

Faille Internet ?

Si vous avez été victime ou pas de ce malware, vous recommandons d’opérer à quelques contrôles : EZ-Connect, UPnP avec EZ-Routeur, DDNS… Ces outils permettent de rendez accessible à votre NAS depuis l’extérieur (via Internet). C’est par ce biais que les hackers mal-attentionnés sont à parvenir à leurs fins. Aussi, contrôler votre routeur ou Box opérateur : assurez-vous qu’il n’y ait aucune redirection de port vers votre NAS.

box redirection - ASUSTOR victime du malware DeadBolt

L’UPnP (Universal Plug and Play) est le responsable de nombreuses attaques ces derniers mois. Il est activé par défaut sur de nombreuses Box opérateurs et si vous n’y faites pas attention, l’UPnP peut offrir/ouvrir des portes d’entrée à votre réseau local.

Sauvegarde, sauvegarde, sauvegarde

Selon nos informations, les victimes sont majoritairement des particuliers… et peu d’entreprises. Cette attaque sans précédent pour ASUSTOR mérite de rappeler que les sauvegardes régulières sont le meilleur rempart contre ce genre d’attaque. Une stratégie de sauvegarde 3 – 2 – 1 reste la meilleure arme… même si elle peut paraître fastidieuse. Pour rappel, l’objectif est de protéger ses données les plus importantes. Il faut donc :

  • 3 copies d’un même fichier : la copie principale du fichier et deux autres sauvegardes ;
  • 2 supports différents : un NAS, un disque externe, un service en ligne (cloud)… ;
  • 1 sauvegarde hors site :  une sauvegarde devra être dans un cloud ou sur un disque hors de votre domicile (au bureau, dans votre famille).

Le risque 0 n’existe pas, personne n’est à l’abri. Vous retrouverez les consignes, FAQ, communications officielles et autres tutos directement sur le Forum ASUSTOR en français… A noter que le service myasustor.com devrait être de nouveau actif sous 48h.

  1. « À noter que certains utilisateurs ont constaté qu’il était possible de récupérer certains de leurs fichiers en renommant simplement leurs fichiers (suppression de l’extension .deadbolt). Ils ne seraient pas chiffrés, mais seulement renommés ! Malheureusement, cela ne semble pas fonctionner dans tous les cas… ce serait trop simple. »

    ce n’est pas a toi que je vais l’apprendre mais c’était identique chez Qnap 😉

    a tout les coups, les noyaux Linux sur lesquels sont basé QTS/QHS et et ADM sont les memes donc avait la même faille.

    par contre, je ne comprend pas que les gars chez Asus n’ai pas patch sitôt apres la faille Qnap….

    un peu de veille les gars….

    1. @jhermet
      « a tout les coups, les noyaux Linux sur lesquels sont basé QTS/QHS et et ADM sont les memes donc avait la même faille. »
      => quelle faille? ASUSTOR Inc n’est pas au courant
      Pouvez-vous m’en dire plus? ça nous intéresse.

      bonne soirée

      1. Bonjour Damien.

        tout d’abord, comprenez bien que mon message précédant n’était en aucun cas une critique mais bel et bien une interrogation.

        Qnap s’est fait plomber (et terrasmaster aussi apparemment) par le même virus.

        Chez QNAP, ces failles aurait été corrigés par la Distri QTS 5.0.0.1891 build 20211221

        celles ci corrigent les failles suivantes:

        CVE-2016-2124, CVE-2020-25717, CVE-2020-25718, CVE-2020-25719, CVE-2020-25722, CVE-2021-3738, CVE-2020-25721, and CVE-2021-23192

        D’ou mon interrogation (et ma curiosité)…

        Etes vous basé a la base sur les memes noyaux Linux de QNAP (et terra master) ?

        Si oui, pourquoi ne pas garder une veille sécuritaire entre vos services même si concurrent ?

        apres je sais que je vis dans le monde des bisounours…. 🙂

        1. coquille dans mon messages précédant…

          Remplacer « entre vos services » par « entre fournisseurs ».

          en gros entre Qnap, vous, syno, … entre confrères quoi 😉

  2. Bonjour Damien,

    Je vois que vous êtes le représentant d’Asustor.

    Heureusement que depuis quelque mois mon NAS est seulement accessible par le biais d’une connexion Wireguard (derrière un routeur OpenWRT). Cela m’a certainement épargné d’une attaque.

    J’ai un NAS Asustor AS5104T, je me rends compte de plusieurs lacunes:
    Kernel ancien (non compatible Wireguard)
    Difficulté d’utiliser un Reverseproxy autre que celui proposé dans ADM (Nginx RPM, Treafik)
    Suite aux attaques récentes je doute sur la sécurité de l’ADM
    Terminal limité
    ZFS

    J’ai vu qu’il était possible d’installer une distribution linux autre sur ce modèle et je me tâte à me lancer dans l’aventure. Certes on perd la gestion de l’écran LCD et des leds, mais à vrai dire le NAS passe sa vie dans un placard et je ne le vois quasiment jamais.

    Il est déconseillé d’écraser la mémoire EMMC du NAS afin de ne pas se retrouver sans la possibilité de restaurer le firmware d’origine (ADM). Ce n’est pas problématique car dans un premier cas j’ai prévu, pour faire mes tests, d’installer l’OS alternatif sur une clé USB.

    Cependant pouvez vous me dire si Asustor est en capacité de fournir l’image de restauration de la mémoire EMMC afin d’utiliser cet espace pour un OS alternatif si mes tests se montrent convaincants. Dans le cas d’un échec d’installation de l’OS alternatif sur la mémoire EMMC j’aimerais être capable de restaurer l’ADM.

    Merci par avance pour votre réponse

    Bonne journée

  3. Tres mecontent d’ASUSTOR. Ils ne repondent a aucun message et grâce a eux, j’ai perdu plus de 8To de données et photos. Malgré le formulaire qu’ils m’ont fait remplir, aucune réponse de leur part, depuis 15 jours.
    je ne suis pas content de leur service et je regrette mon achat chez eux.
    Je cherche un technicien capable de me supprimer cette cochonnerie de Deadbolt sur mon NAS.
    Salutations

  4. A ce jour, ayant été infecté par ce virus, je n’ai pas récupéré grand chose sur mon as 202t; depuis le temps, j’avais espérer avoir une solution d’Asus, mais toujours rien. Il est à noter que je n’avais pas de sauvegarde; alors, déçu d’asustor

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.