Vague d’attaques ransomwares Qlocker et eCh0raix sur les NAS QNAP

VAGUE D'ATTAQUES RANSOMWARES QLOCKER ET ECH0RAIX SUR LES NAS QNAP

Edit 13/01/2022 :

QNAP a publié une alerte de sécurité auprès de ses utilisateurs le 7 janvier 2022 pour les exhorter à effectuer des manipulations visant à renforcer la sécurité des appareils connectés à Internet.
En cause, une recrudescence d’attaque par force brute qui a été constatée et confirmée par plusieurs plaintes d’utilisateurs sur les forums.
Côté Recoveo, sommes sollicités depuis lundi par des clients touchés.
Nous conseillons de suivre les préconisations du constructeur et d’être encore plus vigilants sur les sauvegardes.

Une vague d’attaques par ransomware est en cours depuis 3 jours sur les NAS QNAP et se propage très rapidement.
Le rançongiciel utilise des vulnérabilités critiques corrigées il y a quelques jours seulement (CVE-2020-2509 et CVE-2020-36195) pour déplacer les données dans des archives 7z protégées par un mot de passe fort.

QUE FAIRE POUR SE PRÉMUNIR CONTRE QLOCKER ET ECH0RAIX ?

Si vous possédez un NAS QNAP et que vos données sont encore en état original, il est conseillé :

  • d’installer la dernière version de Malware remover et lancer une analyse préventive
  • d’effectuer les dernières mises à jour du QTS et des applications, notamment Multimedia Console, Media Streaming Add-on et Hybrid Backup Sync
  • de modifier le port réseau par défaut 8080 pour accéder à l’interface d’exploitation du NAS
  • de sauvegarder les données en suivant la règle 3-2-1

QUE FAIRE EN CAS DE CHIFFREMENT DE DONNÉES SUR SON QNAP (FICHIERS 7Z) ?

Si vos données ont d’ores et déjà été chiffrées par Qlocker ou eCh0raix, il est recommandé de :

  • ne pas redémarrer l’appareil
  • installer et lancer la dernière version de Malware remover
  • mettre à jour les applications, notamment Multimedia Console, Media Streaming Add-on et Hybrid Backup Sync


Les failles découvertes dans le chiffrement des données ne concernent a priori que les appareils qui sont encore en cours de chiffrement.
Pour les appareils qui ont été infectés, nous pouvons envisager une récupération de données en laboratoire.

Retour aux articles