Je souhaite obtenir des informations sur une formation complète concernant le thème DIVI dispensé
par un organisme de formation certifié par l’état.
Que la formation soit finançable par mon CPF (idéalement) ou autre


QNAP

Mise à jour 22/04/21: Un bogue a été découvert hier soir qui permettait aux victimes de récupérer gratuitement leur mot de passe 7zip, mais il a été corrigé peu de temps après sa découverte. Veuillez consulter la mise à jour ci-dessous pour plus d’informations.

Mise à jour 24/04/21: UNE Questions fréquemment posées Une section a été ajoutée à la fin de l’article.


Une vaste campagne de rançongiciels pour les appareils QNAP dans le monde entier est en cours et les utilisateurs peuvent désormais trouver leurs fichiers dans des archives 7zip protégées par mot de passe.

Le ransomware s’appelle Qlocker et a commencé à cibler les appareils QNAP le 19 avril 2021. Depuis lors, il y a eu énormément d’activité sur notre forum d’assistance ID ransomware La page d’identification des ransomwares a reçu de nombreuses contributions de victimes.

Dépôts ID-R des victimes de Qlocker
Dépôts ID-R des victimes de Qlocker

Selon les rapports des victimes dans un Rubrique de support de BleepingComputer QlockerLes attaquants utilisent 7-zip pour déplacer des fichiers sur des appareils QNAP vers des archives protégées par mot de passe. Pendant que les fichiers sont verrouillés, le moniteur de ressources QNAP affichera de nombreux processus «7z» qui est la ligne de commande exécutable 7zip.

7zip s'exécute dans le moniteur de ressources QNAP
7zip s’exécute dans le moniteur de ressources QNAP

Lorsque le ransomware se termine, les fichiers sur l’appareil QNAP sont enregistrés dans des archives 7-Zip protégées par mot de passe qui se terminent par le .7z Extension. Pour extraire ces archives, les victimes doivent saisir un mot de passe que seul l’attaquant connaît.

Archive 7zip protégée par mot de passe
Archive 7zip protégée par mot de passe

Une fois que les appareils QNAP ont été chiffrés, les utilisateurs restent un !!! READ_ME.txt Note de rançon contenant une clé client unique que les victimes doivent entrer pour se connecter à la page de paiement Tor du ransomware.

Note de rançon Qlocker
Note de rançon Qlocker

Les notes de rançon Qlocker de BleepingComputer indiquent que toutes les victimes doivent payer 0,01 bitcoins, ce qui équivaut à peu près à 557,74 $, afin d’obtenir un mot de passe pour leurs fichiers archivés.

Page de paiement Qlocker Tor
Page de paiement Qlocker Tor

Après avoir payé la rançon et saisi un identifiant de transaction Bitcoin valide, la page de paiement Tor affichera le mot de passe des archives 7Zip de la victime, comme indiqué ci-dessous.

Le mot de passe affiché après le paiement d'une rançon
Le mot de passe affiché après le paiement d’une rançon

Ce mot de passe est propre à la victime et ne peut pas être utilisé sur les appareils des autres victimes.

Mise à jour du 22/04/21 à 9h15 EST: Tôt le matin, BleepingComputer a été contacté par un chercheur en sécurité Câble Jack à propos d’un bug qu’il a découvert sur le site Web de Qlocker Tor qui permettait aux utilisateurs de récupérer gratuitement leurs mots de passe 7zip.

Avec l’aide de ce bug, les victimes ont pu prendre un identifiant de transaction Bitcoin d’une personne déjà payée et le modifier légèrement. Lorsqu’ils ont soumis l’ID de transaction modifié au site Qlocker Tor, elle l’a accepté comme paiement et a affiché le mot de passe 7zip de la victime.

Hier soir, Cable avait aidé en privé les gens à récupérer leurs mots de passe, et des accords ont été conclus avec Emsisoft pour créer un système d’aide qui pourrait mieux exploiter cette vulnérabilité.

Malheureusement, une heure après avoir entendu parler du bogue, les opérateurs de ransomware l’ont attrapé et l’ont corrigé.

À ce stade, il n’y a aucun moyen de récupérer les fichiers sans mot de passe qui ne sont plus accessibles gratuitement.

QNAP pense que les attaquants exploitent les vulnérabilités

Récemment, QNAP a corrigé des vulnérabilités critiques qui pourraient permettre à un acteur distant d’accéder à un appareil et d’exécuter un ransomware.

QNAP a corrigé ces deux vulnérabilités le 16 avril avec les descriptions suivantes:

Pour plus d’informations sur ces vulnérabilités, consultez un entrée de blog par l’équipe de recherche SAM Seamless Network qui a signalé les bogues à QNAP en octobre et novembre.

QNAP a annoncé à BleepingComputer que Qlocker exploitait la vulnérabilité CVE-2020-36195 pour exécuter le ransomware sur des appareils vulnérables.

Pour cette raison, il est fortement recommandé de mettre à jour QTS, la console multimédia et le module complémentaire de diffusion multimédia vers les dernières versions.

« QNAP recommande vivement à tous les utilisateurs d’installer immédiatement la dernière version de Malware Remover et d’exécuter une analyse des logiciels malveillants sur le NAS QNAP. La console multimédia, le module complémentaire de diffusion multimédia et les applications Hybrid Backup Sync doivent également être mis à jour avec la dernière version disponible sur le NAS QNAP. continuera à être protégé contre les attaques de ransomwares. QNAP travaille de toute urgence sur une solution pour supprimer les logiciels malveillants des appareils infectés », a déclaré QNAP dans un Avis de sécurité.

QNAP avertit que les fichiers chiffrés d’un appareil ne doivent pas redémarrer l’appareil et exécuter immédiatement le scanner de logiciels malveillants.

« Si les données utilisateur sont cryptées ou sont en cours de cryptage, le NAS ne doit pas être arrêté. Les utilisateurs doivent immédiatement lancer une analyse des logiciels malveillants avec la dernière version de suppression de logiciels malveillants, puis contacter le support technique de QNAP https://service.qnap.com/« conseille QNAP.

Bien que le scanner de logiciels malveillants et les mises à jour de sécurité ne restaurent pas vos fichiers, ils vous protégeront des futures attaques avec cette vulnérabilité.

Qlocker a souvent posé des questions

Essayer de suivre toutes les informations dans la section commentaires de cet article et dans les rubriques d’assistance Qlocker peut rapidement devenir accablant.

Pour aider les propriétaires de QNAP et les victimes de Qlocker, nous avons rassemblé cette FAQ sur l’attaque. Il utilise diverses contributions d’utilisateurs de QNAP qui ont publié des commentaires sur cet article et l’article Rubrique d’aide Qlocker.

Comment mes fichiers sont-ils chiffrés?

Les acteurs de la menace Qlocker exploitent les vulnérabilités des appareils QNAP qui leur permettent d’exécuter à distance des commandes sur votre appareil NAS.

Alors que la plupart des opérations de ransomware déploient des programmes malveillants spécialement conçus, les attaquants Qlocker recherchent simplement les appareils QNAP et utilisent des vulnérabilités pour lancer à distance l’utilitaire d’archivage 7zip intégré pour la protection par mot de passe des fichiers.

Dans ce type d’attaque, les appareils QNAP ne sont pas infectés par des logiciels malveillants, mais simplement utilisés à mauvais escient par des vulnérabilités qui exploitent les logiciels déjà inclus dans le système d’exploitation.

On ne sait pas quelles vulnérabilités sont utilisées, mais on pense que c’est l’une des vulnérabilités suivantes, que QNAP a corrigée ce mois-ci.

QNAP a annoncé à BleepingComputer qu’il pensait que la vulnérabilité CVE-2020-36195 était exploitée.

Les mises à jour de toutes ces vulnérabilités ont été publiées plus tôt ce mois-ci et devraient être installées immédiatement.

Mes fichiers sont cryptés! Que devrais-je faire?

Si vous constatez que vos fichiers QNAP sont activement cryptés, vous devez immédiatement désactiver myQNAPcloud et changer le port de l’administrateur Web par défaut du port 8080 à un autre numéro de port.

Ces modifications empêchent efficacement les auteurs de menaces d’émettre des commandes 7zip supplémentaires pour protéger vos fichiers avec un mot de passe.

Maintenant que les acteurs de la menace ne peuvent plus accéder à distance à votre appareil, vous devez tuer tous les processus ‘7z’ actifs en cours d’exécution pour arrêter les commandes de chiffrement en cours.

Vous pouvez le faire en vous connectant en utilisant SSH ou Telnet via le périphérique SSNAP suivant les instructions.

Entrez ensuite la commande suivante sur la console pour tuer tous les processus 7z.

kill -9 `ps |grep sbin/7z|grep -v grep|awk '{ print $1 }'`

Existe-t-il un moyen d’obtenir nos mots de passe gratuitement?

Mardi soir, le chercheur en sécurité Jack Cable a découvert une méthode qui a amené le site de paiement du ransomware à croire qu’un paiement avait été effectué et a affiché les mots de passe de la victime.

Malheureusement, ce bogue a été de courte durée et ne fonctionne plus.

Pour les utilisateurs qui n’ont pas redémarré leur appareil QNAP depuis qu’il a été chiffré, leur mot de passe peut être récupérable à l’aide d’une commande du fichier 7z.log offert par une victime.

La commande suivante doit être entrée via la console QNAP lors d’une connexion via SSH ou Telnet.

cd /usr/local/sbin; printf '#!/bin/sh necho [email protected] [email protected]>>/mnt/HDA_ROOT/7z.lognsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Une fois que vous avez exécuté la commande suivante, vous pouvez rechercher dans le /mnt/HDA_ROOT/7z.log une ligne de commande 7z qui affiche votre mot de passe (voir l’exemple ci-dessous).

a -mx = 0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]

Dans le cas ci-dessus, le mot de passe est « mFyBIvp55M46kSxxxxxYv4EIhx7rlTD ».

UNE vidéo Youtube a été créé pour montrer comment accomplir cette tâche.

Si vous avez exécuté l’outil de suppression de logiciels malveillants de QNAP, le programme a déplacé le fichier 7z.log vers ‘./share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log».

QNAP est Envoyer des instructions au client par e-mail En savoir plus sur la récupération d’un mot de passe à partir du fichier 7z.log.

Malheureusement, si vous avez redémarré votre appareil auparavant, le fichier journal sera supprimé.

Dans certains cas, le fichier journal peut être vide même si vous n’avez pas redémarré votre appareil.

Comment QNAP a-t-il réagi?

Dans une Avis de sécurité QNAP a été publié mardi et conseille aux utilisateurs de ne pas redémarrer leurs appareils QNAP et d’exécuter la dernière version de Malware Remover pour se protéger de Qlocker.

Lorsqu’il s’exécute, Malware Remover effectue les tâches suivantes:

  • Renommez / usr / local / sbin / 7z en 7z.orig
  • Remplacez / usr / local / sbin / 7z par 7z.orig par ce script.
  • Le script copie diverses données dans le fichier 7z.log actuel, puis copie ce fichier dans ‘/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log».
  • Recherche et mise en quarantaine /tmp/qnap/r.py et /tmp/qnap/re.sh Scripts dans le dossier / tmp / qnap. Si vous avez ces scripts, nous serions ravis de les voir, et vous pouvez Soumettez-le ici.

En plus d’exécuter Malware Remover, QNAP recommande aux utilisateurs de mettre à niveau vers les dernières versions de Console multimédia, Module complémentaire de diffusion multimédia, et Synchronisation de sauvegarde hybride via l’App Center.

Après avoir installé les dernières mises à jour, QNAP recommande aux clients de lire leur guide Meilleures pratiques d’amélioration Sécurité NAS.

Comment décrypter plusieurs fichiers en même temps

Lorsque vous avez trouvé vos mots de passe ou payé la rançon, vous pouvez utiliser la commande ci-dessous (merci ss1973) pour décrypter tous vos fichiers sous Windows en même temps.

SET source=C:Usersthomb158Downloads5thKind7z
FOR /F "TOKENS=*" %%F IN ('DIR /S /B "%source%*.7z"') DO "C:Program Files7-Zip7z.exe" x -pPASSWORD "%%~fF" -o"%%~pF"
EXIT

Dans la commande ci-dessus ‘SET source=‘est le chemin d’accès à vos fichiers cryptés et -p est le mot de passe. Vous devez également les installer Programme 7zip.

Si quelqu’un a une commande pour effectuer ces étapes directement à partir de la console QNAP, veuillez fais-moi savoir.

Mise à jour 24/04/21: Une section de questions fréquemment posées a été ajoutée.

IOC Qlocker:

Fichiers associés:

!!!READ_ME.txt

Texte de la note de rançon:

!!! All your files have been encrypted !!!
 
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
 
To purchase your key and decrypt your files, please follow these steps:
 
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
 
2. Visit the following pages with the Tor Browser:
 
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
 
3. Enter your Client Key:
 
[client_key]
 





Source link

Recent Posts