NAS QNAP, victimes du rançongiciel Qlocker

Depuis quelques heures, les NAS QNAP sont victimes d’une attaque d’envergure. Ces serveurs sont de plus en plus nombreux dans les foyers (et en entreprises). De fait, ils intéressent les pirates en guette d’argent facile. Explications et aides à la récupération des fichiers…

7-Zip et mot de passe

L’attaque n’en est qu’à ses débuts et il est encore trop tôt pour évaluer le nombre de victimes. Le malware Qlocker (ransomware) utilise une faille de sécurité pour chiffrer (encrypter) vos données. Ce dernier va compresser vos données à l’aide de 7-Zip (fichier avec une extension .7z) avec un mot de passe. Surtout : NE PAYER PAS LA RANÇON ! Qnap a réagi très vite dès hier notamment sur notre forum, avec une procédure complète.

La cible, ce sont les NAS QNAP équipés de QTS et QuTS Hero. Si votre NAS est accessible sur Internet et que vous avez laissé les valeurs par défaut, alors il va falloir faire quelque chose. Tout d’abord, que vous soyez victime ou non de cette attaque d’envergure : NE REDÉMARRER PAS votre NAS (ne l’arrêtez pas non plus). Si rien ne semble indiquer que vous ayez été attaqué, désactiver l’accès à distance de votre NAS. Suivez la procédure (en français) décrite ici. Vous pourrez détecter si vous êtes victime (ou non) de Qlocker. Si ce dernier est en cours d’exécution, il sera possible d’arrêter le malware, de trouver la clé de chiffrement et de récupérer vos fichiers. Vous pourriez récupérer l’intégralité des fichiers…

Si vous avez été victime du malware et que vous avez arrêté (ou redémarré) le NAS… Il reste encore quelques solutions, mais elles sont minces. L’outil TestDisk (PhotoRec) serait la meilleure d’entre elles. Il faudra l’exécuter directement sur le NAS QNAP. Pour cela, il faudra suivre ce guide en anglais.

Si cela vous semble trop compliqué, sachez que les équipes du support QNAP France sont pleinement mobilisées depuis hier… malgré les vacances.

Aussi, pensez à installer la dernière version de l’outil Malware Remover et la dernière version de QTS. Attention à ne pas appliquer la mise à jour QTS sous peine que le NAS redémarre.

Enfin, nous ne rappellerons jamais assez : sauvegarde, sauvegarde, sauvegarde

  1. après une analyse de malware remover, il semblerait que je ne sois pas atteins.
    dois-je lancer la dernière mise à jour?

  2. après une analyse de malware remover, il semblerait que je ne sois pas atteint.
    dois-je lancer la dernière mise à jour?

    1. Salut,
      Voici la liste de versions dont la faille CVE-2020-36195 est corrigée :
      QTS 4.3.3: Add-on Media Streaming 430.1.8.10 et versions ultérieures
      QTS 4.3.6: Add-on Media Streaming 430.1.8.8 et versions ultérieures
      QTS 4.4.x et versions ultérieures: Multimedia Console 1.3.4 et versions ultérieures
      QTS 4.3.3.1624 Build 20210416 ou version ultérieure
      QTS 4.3.6.1620 Build 20210322 ou version ultérieure

      http://cve.circl.lu/cve/CVE-2020-36195...

  3. Donc étant en version 4.5.2, je n’ai pas à m’inquiéter?

    Question bête, comment ca se présente visuellement sur le nas, et comment on est informé de la rançon?

  4. Merci qnap pour ce joli cadeau !!!!!
    j’ai suivi les tutos sans savoir ce que je faisais ….
    et je ne trouve pas de fichier log dans le rep public qui donne la clef de cryptage et pourtant nas non rebooté. ticket ouvert chez qnap ….a suivre

    1. salut !
      d’abord tu n’est pas le seul, donc il va falloir être patient pour les tickets.
      d’après https://www.bleepingcomputer.com/news/security/age...
      le malware laisse un fichier HOW_TO_RESTORE_FILES.txt, je te dis çà car en fait il y a eu plusieurs type de malware et selon tu ou tu ne trouveras pas le log. le mieux c’est de :
      – ne pas arrêté le nas
      – déconnecte le cable LAN pour l’instant.
      – Attendre le contact du support qnap.

      patiente.

      check de tous les pcs en votre procession au cas où même si selon mes infos tout devrait être ok.
      commencer a faire comme si les données était perdu et bien analysé où il y aurait chez vous les données récupérables.
      par exemple la corbeille de votre Windows.
      un dossier en cours de traitement en double
      etc…
      un ancien disque externe avec des données plus ou moins vieille.
      cela permet de remettre sur la table tout l’existant.

      A savoir sur un ancien malware avec qnap en miroir (raid1) ; en utilisant sur un pc isolé un des deux disques et ayant préalablement préparé un disque neuf formaté ntfs, j’ai pu faire une analyse style récupe de données sur la signature des fichiers, cela a marché pour la plupart.
      ici je ne suis pas sur car c’est un autre malware….
      a voir j’en ai un dans mon SAV mais en raid 5 sur 4 disque et je ne peux utiliser la même méthode.
      pouaaahhh pauvre client.

      bon courage.

  5. Merci Fx pour l’article.

    Comment désactiver l’accès à distance stp ?

    Pour ma part j’ai désactivé via l’app sur le Nas Myqnapcloudlink :

    1/ Myqnapcloudlink
    2/ Dans configuration automatique du routeur, j’ai décoché réacheminement des ports Upnp
    3/ Dans la rubrique MyDDNS je l’ai désactivé

    Est ce suffisant ou faut il faire autre chose ?

    Merci

    1. salut

      oui très bien pour les 3 choix.

      idéalement aussi dans la box de désactiver les config automatique upnp.
      si il y a aussi des redirections de ports redirigés localement sur le nas, il faut soit les désactiver soit les supprimer…

      tout cela en attendant de voir l’orage passer.

      hummmm il est possible si le nas doit être accessible de l’extérieur de gratter de la configuration si possible coté VPN vers la box.

      par exemple sur du matos de chez free, il y a possibilité de créer un utilisateur avec un mdp fort, puis de configurer un vpn serveur. ensuite soit coté pc portable ou fixe de l’extérieur il faut configurer l’accès dont jusqu’à la box. puis après autorisation, il suffira de monter des lecteurs réseaux ou se rendre avec le navigateur sur l’IP fixe locale pour avoir accès au qnap.

      un gros article sur les VPN des opérateurs serait d’ailleurs fort intéressant.
      FREE permet d’avoir une ip fixe fullstack grauite
      orange le fait payer….
      mais bon il faut choisir.

  6. Bonjour, je suis atteinte par le malware, et mon premier reflexe est d’avoir éteint le NAS…
    Seulement après je suis tombé sur votre article! J’ai fais un ticket au sav qnap.
    Quels sont les risques d’avoir éteint le NAS?

  7. Bonjour,

    Merci pour toutes ces informations.
    Question bête sans doute : si les redirection de ports ne pointent que vers des services qui tournent sur des VM (sous linux), il y a t’il un risque ?

    Merci et bon courage à celles et ceux qui sont touchés.

  8. Heureusement l’on a eu il y a quelques semaines (31 mars 2021) un excellent tuto sur le backup et je n’ose pas imaginer qu’un seul possesseur de NAS n’ait fait au moins 1 backup ce jour là.

    https://www.cachem.fr/journee-mondiale-sauvegarde/...

    Si vous ne faites pas encore de backup, profitez de cette mésaventure pour démarrer avec au minimum un bon backup.

  9. Bonjour,
    Merci pour l’information.
    Moi qui voulais investir dans un NAS QNAP, je suis un peux refroidi.
    Pour de pas avoir de risque de piratage, c’est encore de ne pas connecter les NAS sur Internet. Après, cela oblige d’avoir deux réseaux : Back-end et Front-End.
    Bon courage pour celles et ceux qui seront impactés.

    1. Synology a eu la meme y’a quelques temps.
      il faut toujours mettre a jour afin de réduire les risques 😉

  10. Bonjour , Malheureusement je suis victime de cet attaque, et en installant la dernière version de QTS , Nas est redémarré. Il contient les photos de plus de 10 ans et je suis sous le choque.
    En plus je vois pas Malware remover dans AppCenter de QNAP. j’avais essayé de télécharger et installer manuellement, mais sans succès pour le moment. vous avez une idée svp?

    1. Salut à toi « PUR »

      Bon je ne te promets surtout rien, car ce que je vais te proposer peut ne pas fonctionner, et n’engage que ta responsabilité à suivre mon avis.
      Bref, ici ni ce site web ni moi peuvent prendre la responsabilité de ton action chez toi avec ton nas. Ceci dit….

      Premièrement, apparemment pour l’instant personne n’a trouvé une façon de régler le problème quand il est trop tard.

      J’ai réussi sur 2 clients à retrouver une bonne partie des données si et seulement si le raid est de type 1 (MIROIR).

      Tu dois avoir avec toi :
      – Du temps.
      – Un pc qui ne sera utilisé que pour l’analyse et la récupération de données rien d’autres décrit ci-dessous.
      – un pc qui sera débranché du réseau internet avec un disque vierge formaté ntfs de la capacité d’un des tes disques dur du nas. Exemple tu as un raid de 2x2To donc 2To max utilisable, alors tu devras avoir un 2 To en ntfs formaté. Il devra aussi avoir le câblage prêt à accueillir un autre disque dur (celui que l’on va analyser).
      – une clé usb de 32 Go ou plus et la plus rapide possible.
      – télécharger une distribution appelée MEDICAT et suivre les indications pour créer la distribution de celle-ci sur votre clé de 32 Go ou plus. (MEDICAT est illégal et contient de nombreuses applications payantes compilées, à vous de voir, sinon l’application de récupération est achetable sur le site web de l’éditeur https://www.file-recovery.com/recovery.html...)
      – vérifier que le pc permet de démarrer sur la clé préalablement créée.
      Il faut soit aller dans le bios et choisir de placer en premier la clé usb pour démarrer ; soit appuyer sur une touche de fonction style F8 ou f10 qui diffère selon la marque de la carte mère ou du constructeur du pc.
      Si la clé boot, tu vas avoir un accueil avec des ligne en anglais et un logo médicat au-dessus avec une clé usb.
      Tu utilises les flèches de directions pour te rendre dans ‘Boot an operating system’ et tu utilises la touche entrée
      Un sous menu s’affiche, tu vas sur mini Windows 10 et tu utilises la touche entrée.
      Tu patientes et tu vas arriver sur un Windows dit windowsPE, il y a plein de logiciel qui ne nous intéresse pas dans ton cas. L’arrivé sous Windows est proportionnel à la qualité de ta clé usb et du contrôleur de ton pc. L’idéal est du vrai USB 3.0.
      Si c’est ok c’est que ta clé est prête.
      Bon maintenant arrête ton pc de test sous médicat.
      Arrête aussi ton nas
      Débranche un de tes disques du du nas.
      Branche ce disque dur sur ta plateforme médicat de récupération. Il doit aussi y avoir ton disque vierge formaté NTFS.
      Vérifie de bien débranché tout câble réseau de ce pc.
      Tu redémarres ton pc sous médicat et tu vas donc sous ‘MINI WINDOWS 10’.
      Première chose tu vérifie avec l’explorateur de fichier si tu as bien une lettre correspondant ton gros disque dur vierge en NTFS et qu’il est présent.
      Ensuite, tu vas dans le menu windows, puis file, puis tu lances le logiciel Active File recovery
      Il y a un choix, tu choisis expert. Il va mouliner pour trouver tous les stockages possibles sur ce pc, qu’il soit linux (ext, ext2 …) mac (apfs) ou Windows (ntfs)….
      Ici commence la difficulté de trouvé la bonne partition a scanner.
      Déjà il s’agit d’un type EXT.
      Ensuite il s’agit d’une taille de partition importante, souvent en Terra. Il faut donc éliminer les tailles très petites qui sont en fait souvent des partitions de démarrage (boot) ou de cache.
      Trouvé ?
      Click droit dessus et choisir superscan.
      Ensuite coché en bas le type de fichier à trouver. Par exemple et coché par défaut il me semble ‘Documents & Photos’. Ce type de signature va se concentrer sur des type word excel et et des images photos.
      Si vous choisissez de prendre tous les types (select Signatures) attention, cela va allonger la durée de pré scan à plusieurs jours dans certains cas.
      Il faut être PATIENT. Il y a un mode de prévisions mais laisser faire, et si vous arrivez vers la fin du scan, il va se mettre à compiler sur plusieurs minutes ou quart d’heure … une liste de fichier par signature. Ensuite s’affichera ce qu’il peut vous proposer à récupérer.

      Ne soyez pas trop gourmand. Et attention dans certains cas il est capable de retrouver des fichiers supprimer il y a de cela plusieurs années et avec une taille supérieure au disque dur de départ.
      Oui je sais c’est bizarre mais bon.
      Donc cochez ce que vous voulez, et choisissez en destination la partition formaté ntfs. Moi personnellement je créer avec l’explorateur de Windows des dossiers nommé style : RECUP1 RECUP2 quand je fais plusieurs tests….

      Bon je vous souhaite bonne chance à tous.

      Ps : Et n’oubliez pas ; un nas n’est pas une sauvegarde mais une facilité d’accès.
      Sauvegardez en 3-2-1.

  11. Bonjour
    Les données stockées sur mon NAS T451 (OS version 4.3.5.0699) ont été intégralement cryptées (en 7Z) par QLocker (c’est le nom qui s’affiche lorsque je vais sur le portail de paiement). Depuis, je n’ai ni redémarré le NAS ni fait de mises à jour ni changé les paramètres d’accès (adresse IP, port, mot de passe) afin de laisser le NAS dans sa configurantion d’avant attaque.
    J’ai essayé une première procédure pour récupérer mes données en utilisant Malware Remover puis Qlocker Inspector. Malware Remover a bien trouvé un (ou plusieurs) Ransomware et les a éliminés. En revanche, je n’ai pas réussi à faire fonctionner Qlocker Inspector pour retrouver le mot de passe : l’application ne démarre pas malgré plusueurs réinstallations.
    J’ai donc essayé une nouvelle procédure avec QRescue (tuto PhotoRec + QRescue) que j’ai exécuté par trois fois mais elle ne permet pas de récupérer l’intégralité des données. Après exécution de PhotoRec, je note que 625042 fichiers ont été récupérés dans le dossier créé /share/rescue/recup1/recup_dir. En revanche, QRescue indique un traitement de 196064 fichiers 7Zs sur un total récap de 632784. Les quantités ne sont pas cohérentes. Pour essayer de comprendre ce qui se passait, j’ai dupliqué un dossier et me suis aperçu que QRescue récupérait exactement les même fichiers dans les 2 dossiers (comme s’il faisait une sélection de ce qu’il récupérait ou non). Avez vous une idée de ce qui se passe ou comment faire pour tout récupérer ?

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.