Le ransomware Qlocker utilise 7zip pour chiffrer les appareils QNAP

Une campagne massive du ransomware Qlocker ciblant les appareils QNAP dans le monde entier est en cours, et les utilisateurs trouvent leurs fichiers maintenant stockés dans des archives 7zip protégées par un mot de passe.

Le ransomware Qlocker a commencé à cibler les appareils QNAP le 19 avril 2021. Depuis lors, il y’a eu une énorme quantité d’activité et le site d’identification de ransomware ID-Ransomware a observé une vague de soumissions de victimes.

qlocker

Selon les rapports des victimes, les attaquants utilisent 7zip pour déplacer des fichiers sur les appareils QNAP dans des archives protégées par un mot de passe. Pendant que les fichiers sont verrouillés, le moniteur de ressources QNAP affichera de nombreux processus « 7z » qui sont les commandes exécutables de 7zip.

7z

Lorsque le ransomware a fini ses actions, les fichiers de l’appareil QNAP seront stockés dans des archives 7zip protégées par un mot de passe se terminant par l’extension .7z’. Pour extraire ces archives, les victimes devront entrer un mot de passe connu uniquement de l’attaquant.

7z

Une fois que les appareils QNAP sont chiffrés, les utilisateurs se retrouvent avec une note de rançon !!!READ_ME.txt qui inclut une clé client unique que les victimes doivent entrer pour se connecter au site Tor de paiement du ransomware.

note de rançon

D’après les notes de rançon de Qlocker, toutes les victimes doivent payer 0,01 Bitcoins, qui est d’environ 557,74$, pour obtenir un mot de passe pour leurs fichiers archivés.

qlocker

Après avoir payé la rançon et entré un identifiant de transaction de Bitcoin valide, le site de paiement Tor affichera le mot de passe des archives 7Zip de la victime, comme indiqué ci-dessous.

qlocker

Ce mot de passe est unique à la victime et ne peut pas être utilisé sur les appareils d’autres victimes.

Le chercheur en sécurité Jack Cable a découvert un bogue le site Tor de Qlocker qui a permis aux utilisateurs de récupérer gratuitement leurs mots de passe 7zip.

À l’aide de ce bogue, les victimes pouvaient prendre un identifiant de transaction Bitcoin d’une personne qui l’avait déjà payé et le modifier légèrement. Lorsqu’ils ont soumis l’identifiant de transaction modifié sur le site Tor de Qlocker, ils l’ont accepté comme paiement et ont affiché le mot de passe 7zip de la victime.

Cable avait aidé en privé les gens à récupérer leurs mots de passe, et des dispositions étaient prises avec Emsisoft pour créer un système d’aide pour mieux exploiter cette faiblesse.

Une heure après la prise de connaissance de ce bug, les opérateurs du ransomware ont corrigé ce bogue.

À ce stade, il n’y a aucun moyen de récupérer les fichiers sans mot de passe car il ne peut plus être récupéré gratuitement.

QNAP pense que les pirates exploitent les vulnérabilités

Récemment QNAP a résolu des vulnérabilités critiques qui pourraient permettre à un individu malveillant distant d’obtenir un accès complet à un appareil et exécuter le ransomware.

QNAP a corrigé ces deux vulnérabilités le 16 avril avec les descriptions suivantes:

Plus d’informations sur ces vulnérabilités peuvent être trouvées dans un article de blog par l’équipe de recherche de SAM Seamless Network, qui a divulgué les failles de sécurité de QNAP en Octobre et Novembre.

QNAP a déclaré qu’ils croient que Qlocker exploite la vulnérabilité CVE-2020-36195 pour exécuter le ransomware sur les appareils vulnérables.

Pour cette raison, il est fortement recommandé de mettre à jour QTS, Multimedia Console, et l’extension Media Streaming aux dernières versions.

« QNAP recommande fortement que tous les utilisateurs installent immédiatement la dernière version de Malware Remover et exécute un scan de logiciels malveillants sur le NAS de QNAP. Les applications Multimedia Console, Media Streaming Add-on et Hybrid Backup Sync doivent être mises à jour vers la dernière version disponible afin de sécuriser davantage le NAS de QNAP contre les attaques fr ransomware. QNAP travaille d’urgence sur une solution pour supprimer les logiciels malveillants des appareils infectés », a déclaré QNAP dans un avis de sécurité.

QNAP avertit que si les fichiers d’un appareil ont été chiffrés, ils ne devraient pas redémarrer l’appareil mais dévraient commencer immédiatement une analyse de malware.

« Si les données des utilisateurs sont chiffrées, la NAS ne doit pas être arrêtée. Les utilisateurs doivent exécuter une analyse de logiciels malveillants avec la dernière version de Malware Remover immédiatement, puis contacter le support technique de QNAP Support à https://service.qnap.com/ », conseille QNAP.

Bien que le scanner de logiciels malveillants et les mises à jour de sécurité ne récupéreront pas vos fichiers, ils vous protégeront contre les attaques futures qui utilisent cette vulnérabilité.

Les questions posées à Qlocker

Essayer de suivre toutes les informations dans les commentaires de cet article et les sujets de soutien Qlocker peut rapidement devenir une corvée.

Pour aider les propriétaires d’appareils QNAP et les victimes de Qlocker, nous avons mis sur pied cette FAQ concernant l’attaque en utilisant diverses contributions des utilisateurs de QNAP qui ont posté des commentaires sur cet article et le sujet d’aide Qlocker.

Comment mes fichiers sont-ils chiffrés?

Les pirates informatiques derrière Qlocker exploitent les vulnérabilités des périphériques QNAP qui leur permettent d’exécuter des commandes sur votre appareil NAS à distance.

Alors que la plupart des opérations de ransomware déploient des programmes de logiciels malveillants spécialement conçus, les attaquants derrière Qlocker scannent les appareils QNAP et utilisent des vulnérabilités pour lancer à distance l’utilitaire d’archives 7zip intégré pour protéger les fichiers par un mot de passe.

Avec ce type d’attaque, les appareils QNAP ne sont pas infectés par des logiciels malveillants, mais simplement abusés par des vulnérabilités profitant de logiciels déjà présents sur le système d’exploitation.

Ils n’ont pas précisé quelles vulnérabilités sont utilisées, mais c’est certainement l’une des failles suivantes que QNAP a corrigé ce mois-ci.

QNAP pense que c’est la vulnérabilité CVE-2020-36195 qui est exploitée.

Des mises à jour pour toutes ces vulnérabilités ont été déployées plus tôt ce mois-ci et doivent être installées immédiatement.

Mes fichiers sont en train d’être chiffrés! Que dois-je faire?

Si vous voyez que vos fichiers QNAP sont activement chiffrés, vous devez immédiatement désactiver myQNAPcloud et changer le port d’administration Web par défaut du port 8080 à un autre numéro de port.

Ces modifications empêcheront efficacement les pirates informatique d’émettre d’autres commandes 7zip pour protéger vos fichiers par un mot de passe.

Maintenant que les pirates informatiques ne peuvent plus accéder à votre appareil à distance, vous devez mettre fin à tous les processus « 7z » actifs qui peuvent être en cours d’exécution pour arrêter les commandes de chiffrement actuelles.

Vous pouvez le faire en vous connectant à votre appareil QNAP via SSH ou Telnet et en utilisant le guide suivant.

Ensuite, émettez la commande suivante sur la console pour mettre fin à tous les processus 7z.

kill -9 `ps |grep sbin/7z|grep -v grep|awk '{ print $1 }'`

Est-il possible d’obtenir les mots de passe gratuitement?

Mardi dernier, le chercheur en sécurité Jack Cable a découvert une méthode qui a trompé le site de paiement du ransomware en lui faisant croire qu’un paiement a été effectué et qu’il pouvait afficher les mots de passe de la victime.

Malheureusement, ce bug a été de courte durée, et il ne fonctionne plus.

Pour les utilisateurs qui n’ont pas redémarré leur appareil QNAP depuis qu’ils ont été chiffrés, il peut être possible de récupérer votre mot de passe à partir du fichier ‘7z.log’ à l’aide d’une commande offerte par une victime.

La commande suivante doit être saisie à partir de la console QNAP lorsque vous êtes connecté via SSH ou Telnet.

cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;

Une fois que vous exécutez la commande suivante, vous pouvez regarder dans /mnt/HDA_ROOT/7z.log pour trouver la ligne de commande de 7z affichant votre mot de passe, comme indiqué dans l’exemple ci-dessous.

a -mx = 0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [CHEMIN DE DOSSIER]

Dans le cas ci-dessus, le mot de passe est ‘mFyBIvp55M46kSxxxxxYv4EIhx7rlTD.’

Une vidéo postée sur YouTube démontre comment effectuer cette tâche.

Si vous avez exécuté l’outil Malware Remover de QNAP, le programme aura déplacé le 7z.log vers ‘/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log’.

QNAP envoyant des instructions aux clients avec plus d’informations sur la récupération éventuelle d’un mot de passe dans le fichier 7z.log .

Malheureusement, si vous avez déjà redémarré votre appareil, le contenu du fichier log sera effacé.

Dans certains cas, même si vous n’avez pas redémarré votre appareil, le fichier log peut être vide.

Quelle a été la réponse de QNAP?

Dans un avis de sécurité, QNAP conseille aux utilisateurs de ne pas redémarrer leurs appareils QNAP et d’exécuter la dernière version de Malware Remover pour aider à se protéger contre Qlocker.

Une fois exécuté, Malware Remover effectuera les tâches suivantes :

  • Renommer /usr/local/sbin/7z en 7z.orig 
  • Remplacer /usr/local/sbin/7z en 7z.orig avec ce script.
  • Le script va copier des données variées dans le fichier 7z.log et copie ensuite ce fichier vers ‘/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/7z.log‘.

En plus d’exécuter Malware Remover, QNAP conseille aux utilisateurs de mettre immédiatement à jour les dernières versions de Multimedia Console, Media Streaming Add-on, et Hybrid Backup Sync via l’App Center.

Après avoir installé les dernières mises à jour, QNAP conseille aux clients d’examiner leur guide sur les meilleures pratiques pour améliorer la sécurité de leur NAS.

Comment déchiffrer plusieurs fichiers d’un seul coup?

Si vous avez trouvé vos mots de passe ou payé la rançon, vous pouvez utiliser la commande suivante pour décrypter tous vos fichiers à la fois à partir de Windows.

SET source=C:\Users\thomb158\Downloads\5thKind\7z
FOR /F "TOKENS=*" %%F IN ('DIR /S /B "%source%\*.7z"') DO "C:\Program Files\7-Zip\7z.exe" x -pPASSWORD "%%~fF" -o"%%~pF\"
EXIT

Dans la commande ci-dessus, ‘SET source=‘ est le chemin de vos fichiers chiffrés, et -p est le mot de passe. Vous aurez aussi besoin d’avoir installé le programme 7zip.

Laisser un commentaire