Comment récupérer la clé Qlocker 7z sur un NAS QNAP affecté

27 avril 2021 Matt Mills Comment 0

Tous les clients des serveurs NAS du fabricant QNAP, ont subi au cours de la semaine dernière une attaque de ransomware dirigée spécifiquement sur leurs serveurs, exploitant différentes vulnérabilités qui étaient présentes dans différents logiciels de l'entreprise. Actuellement, ces vulnérabilités ont déjà été résolues, mais il est nécessaire de mettre à jour à la fois le système d'exploitation QuTS vers la dernière version, ainsi que toutes les applications installées sur votre NAS via l'App Center. Aujourd'hui, dans cet article, nous allons vous apprendre à récupérer la clé de décryptage, tant que vous êtes actuellement victime d'un ransomware.

Malheureusement, on ne sait pas encore comment obtenir la clé de déchiffrement de ce ransomware qui a affecté le NAS QNAP s'ils ont déjà été entièrement chiffrés, sauf pour suivre les instructions et payer 0.01 bitcoin aux cybercriminels qui ont fait cela. Si vous êtes actuellement victime du cryptage de fichiers, vous pouvez avoir la possibilité de récupérer cette clé de cryptage / décryptage utilisée.

Récupérer la clé Qlocker 7z sur le NAS QNAP affecté

Comment fonctionne le cryptage des fichiers Qlocker?

Le cryptage des fichiers sur le serveur NAS a été effectué via l'utilitaire 7z qui est installé par défaut sur le serveur NAS QNAP, un logiciel connu qui nous permet de compresser et décompresser les fichiers et les dossiers, ce logiciel nous permet également de crypter le contenu des fichiers avec un mot de passe, comme pour tout Linux/Unix or Windowssystème d'exploitation basé sur. Ce que les cybercriminels ont fait, c'est analyser tous les volumes du NAS et crypter les fichiers qui se trouvent dans les différents dossiers.

Ils ont également été en charge de supprimer les Snapshots ou «Snapshots» que nous avions configurés, les snapshots sont toujours là, mais ils sont complètement vides. Actuellement, on ne sait pas encore comment les informations pourraient être récupérées à l'aide de ces «instantanés», il est possible que certaines données et métadonnées de ces instantanés supprimés puissent être récupérées, car elles sont basées sur des blocs et devraient être récupérables.

Si vous n'avez pas été affecté par ce ransomware, nous vous recommandons de mettre à jour le NAS avec la dernière version du système d'exploitation, de mettre à jour toutes les applications et de suivre ceci guide complet pour protéger le NAS QNAP .

Comment récupérer la clé de déchiffrement à partir de fichiers Qlocker

Il existe actuellement deux méthodes pour récupérer la clé de déchiffrement, mais cela ne fonctionne que si le ransomware agit immédiatement. Si vous avez déjà été affecté par un ransomware, ces méthodes ne vous aideront pas.

Méthode 1

  1. On se connecte par SSH au serveur NAS en tant qu'administrateur, on clique sur «Q» puis sur «Y» pour entrer dans la console sans l'assistant.
  2. Nous exécutons la commande «ps | grep 7z ». S'il n'y a pas de processus en cours, ou si nous avons redémarré le NAS, mauvaise nouvelle, nous ne pourrons pas récupérer la clé.
  3. Si le 7z fonctionne actuellement, nous devons exécuter la commande suivante: cd / usr / local / sbin; printf '#! / bin / sh necho $ @ necho $ @ >> / mnt / HDA_ROOT / 7z.lognsleep 60000 '> 7z.sh; chmod + x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  4. Une fois exécuté, nous attendons quelques minutes et exécutons la commande suivante: cat /mnt/HDA_ROOT/7z.log
  5. Dans ce journal, nous pouvons voir un contenu similaire à celui-ci: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [CHEMIN]
  6. Cette clé en gras est le mot de passe avec lequel les informations sont chiffrées, et également avec lequel la clé doit être déchiffrée.

Méthode 2

  1. Nous installons le programme Malware Remover à partir de l'App Center et analysons notre ordinateur.
  2. On se connecte par SSH au serveur NAS en tant qu'administrateur, on clique sur «Q» puis sur «Y» pour entrer dans la console sans l'assistant.
  3. Nous exécutons la commande suivante: cp `getcfg MalwareRemover Install_Path -f /etc/config/qpkg.conf`/7z.log / share / Public
  4. Si la console renvoie un message «Aucun fichier ou répertoire de ce type», cela signifie que nous ne pouvons rien faire, que le NAS a redémarré ou que le processus de cryptage des données est terminé.
  5. S'il ne renvoie pas d'erreur, nous exécutons: cat /share/Public/7z.log. Et nous obtiendrons la clé dans le même format qu'auparavant: a -mx = 0 -sdel -p mFyBIvp55M46kSxxxxxYv4EIhx7rlTD [CHEMIN]

Nous insistons sur le fait que ces deux méthodes ne fonctionnent que si le ransomware fonctionne, et si nous n'avons pas redémarré le NAS dans le processus, sinon on ne sait pas encore comment récupérer les fichiers affectés. Certes, si vous aviez des instantanés ou des instantanés configurés, les informations peuvent être récupérées, mais ce ransomware a également «vidé» ces instantanés créés.