Cr1ptT0r Ransomware Infects D-Link NAS Devices

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

SebPMT
newbie
newbie
Messages : 30
Inscription : 16 mars 2017 09:38

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par SebPMT »

Je reviens vers vous pour donner des nouvelles enfin rien de bien probant ils en prennent la responsabilité, mon ticket étant ayant été ouvert le 26 février, je leur ai envoyé la version du firmware et la version du NAS mais pour l'heure aucun retour, le dernier échange date du 05 Mars.
Faites des tickets c'est le seul conseil que je peux vous donner en espérant qu'ils trouvent ...

Kywalh
newbie
newbie
Messages : 5
Inscription : 11 mars 2019 13:38

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Kywalh »

Perso, après avoir créer un ticket et longuement échangé avec eux , c'est silence radio... Je pense que DLink ne fera strictement rien.
Via des connaissances travaillant dans la cybersecurité avec un backoffice en Russie, il n'y a pour l'heure pas de solution pour décrypter les données...
Reste plus qu'à croiser les doigts....
Pour info, si vous remettez votre NAS sur le web, le cryptage continue et de nouveaux fichiers apparaissent a la racine dont 1 fichier texte pointant sur un lien TOR.... Je n'ai pas fouillé plus sur TOR....

Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Malekal_morte »

Pour créer un outil qui récupère les fichiers, il faut reverse le ransomware et trouver une faille dans le code qui fait que le chiffrement a mal été effectué.
Je pense pas que D-Link aient un service de sécurité informatique capable de proposer cela.
Il n'y a que les éditeurs de sécurité qui proposent cela, parfois l'outil est grand public, parfois faut payer ou réserver aux clients.
Donc faut pas trop compter sur eux pour trouver une solution.

Après ils peuvent proposer des mises à jour pour les NAS touchées afin de combler la vulnérabilité.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

iggy29
Messages : 2
Inscription : 11 mars 2019 23:54

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par iggy29 »

Bonjour,
Je viens aux nouvelles, qui malheureusement n'ont pas l'air de beaucoup avancer. Moi aussi je reste en contact avec le service DLink, car mon premier problème est la version de mon firmware qui n'est que la version 1.01 et je ne trouvais pas la version la plus récente, ils m'ont envoyé un lien, il faut que je l'essaye. mon deuxième problème est comme vous, la récupération des fichiers, et la réponse et comme pour tous, ils y travaillent.
J'ai quand même un complément d'information, il y aurait une personne spécialisé en retro ingénierie qui travaillerait sur la récupération des données. Donc je garde espoir.
En attendant, mon NAS est débranché et prend la poussière avec ses données inutilisables....

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Parisien_entraide »

Le soucis avec D link, c'est qu'on s'aperçoit qu'il y a de gros soucis avec leurs matériels (pas que les NAS) et de nombreuses failles
La sécurité n'est pas vraiment leur domaine
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

MatthieuCHAUMONTEUIL
Messages : 1
Inscription : 22 mai 2019 20:43

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par MatthieuCHAUMONTEUIL »

Bonjour,

J'ai moi aussi depuis qqs mois le même soucis, avec un ticket ouvert chez D-Link.
Je ne crois plus tellement au fait que un jour je puisse récupérer mes données (j'ai plus de confiance en D-Link, j'ai l'impression qu'ils en ont rien a faire).

Bref, ma question est : peux-t-on (en formatant le tout) récupérer un NAS fonctionnel tout de même ?
Car le ransoware est semble-t-il totalement intégré au système (vu qu'il est aussi présent quand on se connecte depuis l'interface admin). Sinon, au vu du prix d'un NAS, ça m’embêterais bien de devoir le jeter (déja que ça m'embête énormément de perdre mes fichiers dessus).

jbodoux
Messages : 2
Inscription : 08 juin 2019 15:38

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par jbodoux »

Bonjour
ils ont envoyé à ceux qui avaient ouvert un ticket chez eux une mise à jour du firmware du dns320 pour empêcher les futures attaques ( mouiais ) mais ils n'ont toujours aucun outils pour que nous retrouvions nos fichiers.... Après une quantité importante d'échanges houleux avec eux, ils mont parlé du dev re-solver qui aurait un premier jet d'outil pour nos fichiers.... avez vous essayé? je crois que c'est fichier par fichier qu'il faut le faire.
Si vous avez d'autres moyens de récupération, je suis preneur ... 12ans de photos perdues ... ça pique. merci et bon week end à tous

Malekal_morte
Site Admin
Site Admin
Messages : 104582
Inscription : 10 sept. 2005 13:57
Contact :

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Malekal_morte »

Ce n'est pas donné à tous de dev un outil de récupération de fichiers.
Il faut reverse le malware, je ne suis pas certains que D-Link ait les ressources pour cela.
C'est plutôt les sociétés de sécu qui ont l'habitude de cela.

Ensuite et surtout, il faut une faille dans le processus de chiffrement des fichiers.
En gros une erreur de dev ou que le chiffrement soit fort que celui annoncé par le malware.
Sinon ce n'est techniquement pas possible.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

sharky02X
Messages : 1
Inscription : 02 oct. 2019 02:21

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par sharky02X »

Bonjour

Avez vous eu des nouvelles ou une solution pour récupérer les fichiers cryptés ?

Comme plusieurs personnes, j'ai plusieurs années de souvenir de perdu...

MErci

jbodoux
Messages : 2
Inscription : 08 juin 2019 15:38

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par jbodoux »

Bonjour
hélas non aucune nouvelle, et je ne trouve rien sur le net qui puisse nous faire espérer....

Dégouté.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 6295
Inscription : 02 juin 2012 20:48

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par Parisien_entraide »

Rien officiellement en tous les cas

En plus rien ne bouge https://twitter.com/hashtag/cr1ptt0r mais bon.. Certains décrypteurs pour d'autres ransomwares sont apparus seulement un an après

Peut être reposer la question chez D-link pour savoir où ils en sont ?

Edit : Peut etre qu'ils connaissent ? https://resolverblog.blogspot.com/2019/ ... e.html?m=1
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House

heyveno
Messages : 3
Inscription : 09 janv. 2010 16:14

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par heyveno »

Bonjour à tous,

Le sujet est ancien mais le ransomware Cr1ptor toujours actif et la solution toujours inconnue.

Je me suis fait attaquer en fin de semaine dernière, et comme beaucoup j'ai littéralement perdu ma vie....pensant que le NAS en RAID 1 était la solution la plus fiable pour éviter de perdre mes données.

Je vais vous indiquer ce que j'ai pu faire pour récupérer un peu de données, en mode « pour les nuls » car les Nas DLINK ayant pullulé à bas prix sur leboncoin (on sait maintenant pourquoi), le profil des utilisateurs à quelque peu changé.

1) Récupérer et exportez sur une clé ou imprimez :
-le fichier journal de votre nas, pour y retrouver l’adresse IP des pirates, et les traces laissées.( accessible dans l’interface web DLINK)
-un exemplaire de chaque fichier texte laissé par les pirates.
-les fichiers SCR.

2) Débrancher votre NAS et lancer une inspection avec les outils habituels, malwarebytes, antivirus etc…même si cr1ptor passait entre les mailles du filet en 2019, j’ose espérer qu’en 2020 ce n’est plus le cas.
Sous Windows, si vous avez une tour avec plusieurs disques, débranchez ( tour éteinte) vos disques si ils ne contiennent pas l’OS.

3) Portez plaintes, via la pré plainte en ligne : https://www.pre-plainte-en-ligne.gouv.fr/
C’est important surtout si vous pensez payer. Les ransomwares sont pris très au sérieux dans la mesure où ils frappent surtout les entreprises. Le ministère de l’intérieur a mis en place une cellule dédiée en région parisienne, et collecter les données laissées sur votre nas peut les aider.
Il s’agit pénalement d’une tentative d’extorsion et d’une modification données résultant d’un accès frauduleux, ce sont des délits graves et vous serez pris très au sérieux même si vous n’avez perdu que les photos de mémé.
A ce que j’ai compris, ils vous accompagnent également si vous souhaitez payer, sachant que c’est le meilleur moyen pour eux d’identifier les pirates.

Quoi qu’il en soit, portez plainte au plus vite, en cas d’usurpation d’identité si des documents sensibles étaient sur votre NAS ou d’utilisation frauduleuse de vos données volées, vous devez vous prémunir.

4) Si vous avez un portable faites l’acquisition d’un boitier externe pour disque 3,5 ‘ ou d’un dock, bref tout ce qui peut vous permettre de brancher un disque sata en usb.

Procurer vous également un disque d’une capacité 2x fois supérieures à celle de votre NAS si c’est possible, à défaut de même capacité.

5) Télécharger une distribution linux bootable à partir d’une clé usb (choisissez une bonne clé). Pour ma part j’ai choisi Lubuntu en version 18, la 20 était un peu lourde pour l’usage qu’on en a.

Voici les infos pour créer un support usb linux bootable, pour ma part j’ai choisi RUFUS, mais libre à vous de trouver la méthode qui vous va bien.

https://rufus.ie/fr_FR.html
https://www.malekal.com/creer-une-cle-u ... vec-rufus/

6) Sortez 1 des disques du nas en et branchez le en sata dans votre tour, ou en usb sur votre portable, puis branchez le nouveau disque vu au 4) selon la connectique dont il dispose.

7) Redémarrez votre PC en bootant sur la clé, je vous laisse trouver sur le net comment faire, mais je pars du principe que si vous avez installé un nas, vous avez les bases.

8) Une fois booté sous linux, créez un dossier « recup NAS 1 » (ou autre) dans le nouveau disque.

9) Utilisez la récupération sous photorec.

Ouvrer le terminal

Tapez :
sudo apt-get install Testdisk

Puis
Sudo Photorec

Suivez la procédure pour choisir en premier lieu le disque à analyser, puis le répertoire d’export des fichiers trouvés.
Si vous ne trouvez pas le disque externe dans la liste, allez et venez sur les adresses se terminant par des « … » ou par le nom de l’OS, dans mon cas « Lubuntu » et vous finirez par trouver « média », et dedans votre « Nouveau disque » et le fichier que vous avez créé.


Ecrivant ce post sur un pc qui n’est pas le miens, je n’ai pas accès à tous les sites à cause du pare feu, je laisse les bonnes âmes mettre le lien qui va bien ou corriger car je tape les commandes de mémoire.

10) Allez vivre votre vie, pour vous donner une idée la récupération de 2 TO a duré chez moi environ 9h avec les disques en sata et un bon gros pc gamer.
Pour info mes disques n’étaient même pas à moitié pleins, ça aide beaucoup et ils n’avaient que 3 mois, jamais remplis, jamais formatés etc..
Personnellement, même si les disques du DNS320 étaient en RAID 1, j’ai scanné les 2 disques au cas où, et ce fut une bonne idée car j’ai retrouvé quelques fichiers différents ou en meilleur état.

J’ai également scanné les disques internes par lesquels avait transité les documents avant d’être coupés/collés sur le nas.
Bilan : J’ai retrouvé énormément de photos dont la quasi-totalité des plus récentes.
Les pdf et les fichiers office également.
Par contre les musiques et fichiers videos….j’ai bien récupéré bon nombre de fichiers mais tous sont corrompus et lisibles quelques secondes uniquement.

Enfin gardez bien dans un coin l’intégralité des fichiers .txt trouvés. La plupart sont ceux laissés par les pirates, il s’agit de la copie du fichier qui contient les informations de paiement. Mais certains prétendent sur les forums anglo-saxons que lorsque le processus a été interrompu ou mal executé, ils ont pu retrouver un fichier log contenant la clé Privée d’encryptage.
Vous devez déjà disposer de la Public dans le fichier log ( sauf si comme moi vous l’avez supprimé pour voir si elle revenait…spoiler..non).
Légende urbaine ou pas, ça vaut le coup de vérifier.

Je me suis fait un petit programme sous windevexpress ( je suis pas développeur de métier je fais avec ce que j’ai  ) qui liste les fichiers selon leur extension et les déplace dans un dossier choisi, à terme il comparera les doublons pour les écarter.

Quand il sera viable je le mettrai à dispo si ça vous intéresse, dans mon cas, je ne me voyais pas trier les 80 000 fichiers retrouvés à la main.
Attention toutefois, la méthode dépend de beaucoup de variables, notamment l’état de remplissage de vos disques et la méthode utilisée pour vos sauvegardes, comme celle des pirates pour l’encryptage.
Cependant vous ne perdez rien à essayer.

Bon courage à tous, je sais qu’on est souvent au fond du trou quand ça arrive, et je sais aussi que dans X to de données, nous ne tenons bien souvent qu’à quelques documents, quelques photos, j’espère qu’en les voyant réapparaitre vous retrouverez le sourire.


Edit modo : Remplacement d'un lien non fonctionnel avec RUFUS

heyveno
Messages : 3
Inscription : 09 janv. 2010 16:14

Re: Cr1ptT0r Ransomware Infects D-Link NAS Devices

Message par heyveno »

Suite de mon aventure avec ce ransomware,

Le petit programme de ma composition sous windevexpress m'a permis de trier mes fichiers par extension/taille, notamment les .txt afin d'écarter les "readme" laissés par les pirates dont la taille est constante à 1414 octets, des fichiers logs cachés à taille variable.

Il restait un petit millier de fichiers .txt à examiner, la plupart n'ayant rien à voir avec le ransomware, sur les 19 000 laissés volontairement par les pirates.

Parmis ces fichiers on retrouve le log qui m'avait été remis après le piratage, mais que j'avais malencontreusement supprimé à l'époque.

La recherche windows 10 m'a permis tout d'abord de le retrouver puisqu'il contenait ma clé publique, que j'avais trouvé entre temps, via un éditeur hexadecimal dans un des fichiers cryptés.Je vous renvoie vers ce lien pour plus d'explications.
https://resolverblog.blogspot.com/2019/ ... mware.html

Puis à partir des mots contenus dans ce fichier, vous pouvez chercher par mots clés (RSA, puis TOR, etc.... selon les mots retrouvés dans chaque fichier).

La clé publique de chiffrement est une clé RSA 32 bits, ce qui semble être une bonne nouvelle dans la mesure où ce niveau de chiffrement est facilement cassable ( si j'ai bien tout compris, je suis preneur de retours).

A la lecture des fichiers je confirme également que le ransomware a été placé dans le secteur de boot des disques.( logique).

Également bien que trop faible techniquement pour vous le confirmer, il semble que chaque commande soit routée via le réseau tor, et renvoie une IP différente.

"v Tor 0.4.2.6
pr Cons=1-2 Desc=1-2 DirCache=1-2 HSDir=1-2 HSIntro=3-4 HSRend=1-2 Link=1-5 LinkAuth=1,3 Microdesc=1-2 Relay=1-2
w Bandwidth=12700
r Quintex85 AOs6Esd+cPGfZqe70JTWKWmvNQ0 2020-10-05 16:11:01 199.249.230.174 443 80
a [2620:7:6001::174]:80
m r2G0wgaYPYhJ2zAruBW+SdF8xtNgEzv7e+E/FlwvSQE
s Exit Fast HSDir Running Stable V2Dir Valid"

Un des fichiers contient les clés RSA utilisées par l'appli Tor,32 bits également.

L'aventure continue donc puisque je vais m'initier au déchiffrement de la clé privée. Si la modération me l'autorise je pourrais donner les détails du processus suivi.

Répondre

Revenir à « Actualité & News Informatique »