Les cyberattaques n’épargnent pas les TPE & les particuliers !
Les équipements de stockage/services en réseau que sont les boitiers NAS ne sont pas épargnés.

Exemple avec l'attaque de type cryptolocker touchant QNAP
*Teaser: si infection NE REDEMARREZ PAS votre NAS

#QLocker 1/x
#QLocker exploite une faille de sécurité sur des produits NAS de la marque QNAP et chiffre les données sur le NAS en utilisant l'outil de compression 7-zip (binaire 7z) avec un mot de passe.

➡️ C'est ballot et plutôt rudimentaire mais hélas diablement efficace 😭

#QLocker 2/n
Les règles de base (la fameuse hygiène) concernant un NAS sont :
1⃣ N'exposez pas votre NAS à tout Internet, si besoin, utilisez un VPN pour y accéder via un canal sécurisé.
➡️Si vous êtes un Geek (et que vous avez tout compris), la freebox dispose déjà d'un VPN …

#QLocker 3/n
…sinon il vous faudra être un geek++ et monter votre propre VPN maison:
-soit avec par ex. un Raspberry Pi medium.com/@piratelab.io/…
-soit via 1 boitier ayant un service VPN
vers lequel vous redirigerez les accès VPN Internet (ça même la Livebox Sosh peut le faire😏)

#QLocker 4/n
Règles d'hygiène (suite)
2⃣ Toujours suivre (voir paramétrer) les évolutions des mises à jour du système d'exploitation du NAS

➡️Chez QNAP, l'OS s'appelle #QTS, il s'agit, comme beaucoup de produit, d'une distribution maison Gnu/Linux
Check: qnap.com/fr-fr/download

#QLocker 5/n Image
Mais revenons à notre ransomware #QLocker car si vous me disiez "Ben ouaich, mais là c'est trop tard🥶", il y a encore de l'espoir … s'il est tjs ON
En effet, il n'y a pas que les fabriquants qui commettent des erreurs/failles: ici l'attaque …peut être piratée😋

#QLocker 6/n
Mais (car il y a un mais), il faut que votre boitier NAS QNAP attaqué n'est pas été éteint/redémarré, donc 3eme règle d'hygiène.

3⃣ En cas d'attaque, ne JAMAIS éteindre l'équipement, mais seulement l'isoler du réseau (cable RJ45 débranché, arrêt source accès Wifi)

#QLocker 7/n
Les attaquants on fait 1 boulette et il est possible -SANS PAYER- de récupérer le mot de passe pour déchiffrez vos données.

➡️Pour cela, rebranchez le réseau (si vous avez bien suivi la consigne 3⃣) et accéder à votre NAS en SSH (login/mdp de l'accès interface web)

#QLocker 8/n Image
Une fois connecté en SSH, vérifier si l'attaque est encore persistante avec la commande suivante (x$ pour numéroter les commandes)
1$ ps | grep 7z

➡️ Si oui, l'étape 2 va être dé-ter-mi-nan-te 😬
Si rien ne s'affiche après 1$, c'est mort ☠️ l'attaque est finie

#QLocker 9/n
Etape 2: ⚠️Suivez bien l'ordre des commandes⚠️
2$ cd /usr/local/sbin
3$ printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh
4$ chmod +x https://t.co/OkF5Qp9ctd
5$ mv 7z 7z.bak
6$ cp https://t.co/OkF5Qp9ctd 7z

#QLocker 10/n
Ça fait quoi me direz-vous ?

C'est tout simplement un bon vieux Hack de l'attaque en substituant le binaire 7z employé par le cryptolocker par un script perso permettant de connaître le mot de passe inconnu … que vous allez alors pouvoir récupérer avec l'étape 4

#QLocker 11/n
Etape 4: récupèration du Graal🤩
7$ cat /mnt/HDA_ROOT/7z.log

Vous devriez avoir alors qq chose comme
a -mx=0 -sdel -p3YzWQTzPK0f5brd8Ccj6VopYgFImsnHD

ou le mot de passe inconnu (par suite PASSWORD) employé est après l'option -p

3YzWQTzPK0f5brd8Ccj6VopYgFImsnHD

#QLocker 12/n
Faîtes un déchiffrement depuis votre PC afin de tester le PASSWORD

👍🏼Il ne vous reste plus qu'à historiser cette chaine de caractère sur votre ordinateur, puis de redémarrer votre NAS et de commencer la phase de déchiffrement afin de retrouver vos chères données🥰

#QLocker 13/n
Etape5: connexion SSH, remise en place du binaire 7z
8$ cd /usr/local/sbin
9$ rm 7z
10$ mv 7z.bak 7z

Puis on lancer le déchiffrement de tous les fichiers qui ont été touchés
12$ find / -name *.7z -exec /usr/local/sbin/7z e -pPASSWORD {} \; 2>/dev/null

#Qlocker 14/n
Ca y est, tout est rentré dans l'ordre …enfin presque, car comme vous avez été touché, revoyez BIEN les règles 1⃣+2⃣+
4⃣ Faîtes des sauvegardes

Chez moi (mode Geek+++🤪) j'ai 3 NAS : 1 exposé de manière sécurisé, 1 sécurisé en usage local, 1 backup des 2 autres)

#Qlocker 15/n
Fin de ce Thread

Comme le disait une célèbre parodie : "Vous pouvez reprendre une activité normale" … et sécurisé avec votre NAS 🤗

#Qlocker 16/n

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Fabian RODES

Fabian RODES Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!