Pour information : attaque du filecoder MARS sur un NAS Western Digital

[Ltdrogo]

Mon NAS WD a été attaqué fin novembre par le filecoder MARS-encrypt identifié mais non résolu (Emsisoft - NoMoreRansom) pour le moment. Je n'ai aucun PC mais deux macs ainsi que des périphériques connectés : TV Samsung,  Bluenode. Sur les macs aucun analyseur ne trouve d'infection. WD ne me répond pas (j'avais la dernière version de l'OS à jour). Sur la recommandation de Bluesound (qui ne répond pas non plus) certains répertoires partagés étaient autorisés guest pour pouvoir être lus par mon Bluenode, et ce sont ceux-là qui ont été cryptés. Selon une info donnée via Emsisoft MARS serait un virus Windows - mais il n'y a pas de Windows à la maison (et donc je n'y connais rien), à part Bluesound qui exige que les protocoles Windows soient activés sur les NAS. Il semble que le process ait été interrompu par l'arrêt automatique du NAS (il s'arrête tous les jours à minuit, hors le fichier rançon est daté de 23h59 le 23/11) et donc certains fichiers sont restés indemnes, le process n'a pas repris.

Ceci juste pour dire qu'une infection par ransomware sur un NAS WD existe bel et bien même sans Windows dans les parages. Maintenant je ne sais plus trop quoi faire avec ce NAS, l'outil d'analyse WD (Virus Essential) m'inspire assez peu confiance.  

[zelandonii]

Bonjour @Ltdrogo,

Souhaites-tu que je tague nos spécialistes désinfection ?

[Ltdrogo]

Bonjour, je crois que cela pourrait effectivement être utile pour les utilisateurs de NAS WD (je ne dois pas être le seul en France). Sur une machine il y a toujours moyen de trouver des ressources mais sur un OS de NAS aussi fermé c'est compliqué. Par exemple l'unique outil de désinfection promu par WD a commencé son scan hier en fin d'après-midi et là il en est à 1% (ça ne bouge plus depuis ce matin) ; et si je veux savoir où il en est je dois d'abord réautoriser l'accès à internet du NAS sinon la console Applications ne s'ouvre pas.

Il y a une véritable incitation voire nécessité à baisser la garde sur les NAS utilisés avec des équipements connectés (lecteurs réseaux, ...). Je n'ai pas perdu de fichiers car j'avais des backup à l'ancienne sur de vieux disques. Mais ça serait bien de savoir si on peut effectivement désinfecter/désensibiliser un NAS WD (le NAS + 2 disques de 6to usage intensif c'est pas donné).

[calisto06]

@Ltdrogo Bonjour , 

Je vais déplacer ton topic dans le forum Désinfection ..... @Firebird ou @Christian-S passeront donner un avis sur la désinfection d'un NAS dès qu'ils pourront .

[Ltdrogo]

OK super, merci

[Firebird]

Bonjour @Ltdrogo

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

Je suis spécialisée sur Windows et j'ai peu de compétences sur système macOS.

Si @Christian-S connaît ce système, je lui passe volontiers la main.

Citation

Selon une info donnée via Emsisoft MARS serait un virus Windows.

Peux-tu donner le lien de cette information ?

Citation

Maintenant je ne sais plus trop quoi faire avec ce NAS, l'outil d'analyse WD (Virus Essential) m'inspire assez peu confiance.  

Peux-tu donner le lien de cet outil ?

Citation

Je n'ai pas perdu de fichiers car j'avais des backup à l'ancienne sur de vieux disques.

Sage précaution, à respecter systématiquement.
Cela te dispense de déchiffrer tes fichiers.

Des outils de désinfection et de nettoyage efficaces existent pour macOS.

• Malwarebytes for MAC => Très fiable
• Logiciels de nettoyage
• Bitdefender Adware Removal Tool => Efficace, mais non adapté à un ransomware
• CCleaner for Mac.

Si ces informations ne te suffisent pas, pour une prise en charge en désinfection personnalisée sur système macOS, je te conseille d'ouvrir un sujet dans la section macOS du forum MacGeneration.

Tiens-nous au courant.

À te relire.

[Christian-S]

Hello

 

Il y a 5 heures, Firebird a dit :

Si @Christian-S connaît ce système, je lui passe volontiers la main.

 

 

je plussoie ta prise en charge  

Bon amusement !! lol.

 

Christian-S

[Ltdrogo]

Il y a 12 heures, Firebird a dit :

Bonjour @Ltdrogo

Bienvenue sur le Forum LeCrabe.net - Forum d'aide informatique / Sécurité.

Je suis spécialisée sur Windows et j'ai peu de compétences sur système macOS.

Si @Christian-S connaît ce système, je lui passe volontiers la main.

Peux-tu donner le lien de cette information ?

Peux-tu donner le lien de cet outil ?

Sage précaution, à respecter systématiquement.
Cela te dispense de déchiffrer tes fichiers.

Des outils de désinfection et de nettoyage efficaces existent pour macOS.

• Malwarebytes for MAC => Très fiable
• Logiciels de nettoyage
• Bitdefender Adware Removal Tool => Efficace, mais non adapté à un ransomware
• CCleaner for Mac.

Si ces informations ne te suffisent pas, pour une prise en charge en désinfection personnalisée sur système macOS, je te conseille d'ouvrir un sujet dans la section macOS du forum MacGeneration.

Tiens-nous au courant.

À te relire.

Bonjour Firebird, merci pour ton post.

Le lien pour l'information Windows : 

(provenant du site Emsisoft). Ça m'étonne un peu car il n'y a pas l'ombre d'un Windows chez moi : soit (ce que je pense) le NAS a été attaqué direct (je crois que le WD OS est du linux, Debian ??), soit il est passé par un Mac, ou par un appareil connecté (TV Samsung ? Bluenode ?). 

L'appli anti-virus de WD s'appelle Anti-virus Essentials. J'ai été incapable de trouver la moindre référence, à part des plaintes à son sujet sur les forums d'utilisateurs WD.

Pour le mac j'ai essayé deux outils (CleanMyMac, Avast), evidemment ils n'ont rien trouvé.  Je vais en essayer d'autres + prendre des renseignements dans le monde mac, là je suis en terrain connu. 

Re-merci

 

[Firebird]

Bonjour @Ltdrogo

Merci pour les informations.

L'antivirus Anti-Virus Essentials fait l'objet d'un article sur TousLesDrivers.
Un antivirus pour les NAS Western Digital My Cloud

Je le pense aussi fiable que les outils de sécurité que tu as employés, CleanMyMac et Avast.

Je t'ai indiqué plusieurs outils de sécurité dans mon premier message, et je te conseille en particulier Malwarebytes for MAC.

Les attaques de ransomwares sur les NAS et autres outils de sauvegarde se multiplient.
Nouvelles attaques de ransomware sur les NAS et les outils de sauvegarde

Ces malwares n'ont pas besoin de passer par un Mac, un système Windows, ou un appareil connecté.

À te relire.

[Firebird]

Hello @Ltdrogo

J'ai fait des recherches complémentaires sur les infections ciblant les NAS.
Les infections sur NAS et autres outils de sauvegarde se multiplient, en particulier avec une nouvelle vague de ransomware, malwares peu fréquents en France avant 2019.

Citation

Repérée le 19 juillet 2019, cette attaque de ransomware consiste à essayer de nombreux mots de passe couramment utilisés au niveau des boîtiers NAS connectés à Internet. Les attaquants espèrent trouver un mot de passe leur permettant d’obtenir l’accès nécessaire au chiffrement des données.

Le premier symptôme de la réussite d’une telle opération sera une demande de rançon dans un fichier ‘Lisez-moi’, exigeant généralement des milliers d’euros en bitcoin pour déchiffrer les données.

Hormis les techniques utilisées pour masquer l’adresse IP source, il ne s’agit pas d’une attaque complexe. C’est une bonne nouvelle car cela signifie qu’il est facile de se défendre, à partir du moment où les propriétaires auront vérifié et activé les paramètres de sécurité spécifiques (voir ci-dessous).

Malheureusement, cela signifie également qu’il n’est pas difficile non plus de compromettre un boîtier NAS (Network Attached Storage) faiblement protégé, ce qui a conduit un certain nombre d’utilisateurs à se retrouver dans des situations de lock-out concernant de gros volumes de données.

Avertissement : cette campagne ne cible pas uniquement les boîtiers Synology NAS. En effet, les mêmes techniques sont également utilisées pour cibler les produits d’autres fournisseurs.

Source : https://news.sophos.com/fr-fr/2019/07/30/nas-network-attached-storage-cibles-attaques-ransomware/
=> Informations détaillées (en anglais) sur le ransomware eCh0raix ciblant les NAS.

  Autre exemple : PureLocker - Crypto-ransomware multi-OS visant les serveurs
https://www.bleepingcomputer.com/news/security/purelocker-ransomware-can-lock-files-on-windows-linux-and-macos/
https://www.zdnet.com/article/new-ransomware-attack-targets-your-nas-devices-backup-storage/
https://www.zdnet.com/article/this-unusual-new-ransomware-is-going-after-servers/
https://www.intezer.com/blog/ransomware/purelocker-ransomware-being-used-in-targeted-attacks-against-servers/
https://www.lemondeinformatique.fr/actualites/lire-purelocker-un-ransomware-multi-os-visant-les-serveurs-77079.html

  Conclusion : Vérifie les paramètres de sécurité de ton NAS Western Digital.

À te relire.

Modifié le 14 décembre 2020 par Firebird

[Ltdrogo]

Bonjour Firebird, hélas j'avais vu la même chose (le ciblage des NAS).

Depuis mon dernier message :

- J'ai fait une analyse de mes macs avec Malwarebytes => rien trouvé ;

- WD m'a répondu, une réponse assez complète et documentée en ce qui concerne la récupération (problème que je n'ai pas) ; pour la protection WD me renvoit à l'installation de Virus Essentials que je n'arrive pas à faire tourner correctement et sur lequel on ne trouve pratiquement pas d'infos (j'avais vu l'article dans TLD mais il n'y a pas de site d'éditeur). Il est par exemple impossible de savoir si c'est un outil de scan seul (ce que suggère l'interface) ou si un pare-feu surveille les ports en permanence. Entre temps j'ai vu que c'est le même antivirus qui est en téléchargement pour Sinology. Je vais donc refaire une tentative en ouvrant sur internet, de toute façon je n'ai en quelque sorte plus rien à perdre. 

J'ai également fait une saisie de pré-plainte (sur conseil du commissariat) et j'attends une convocation pour signer mon PV, en attendant je ne dois pas toucher le NAS (restauration des fichiers, maj, ...).

Morale : utilisateurs de NAS, méfiance !!  

[Firebird]

Hello Ltdrogo

Citation

 Il est par exemple impossible de savoir si c'est un outil de scan seul (ce que suggère l'interface) ou si un pare-feu surveille les ports en permanence.

Selon TLD, Virus Essentials est une protection résidente, pas seulement un outil de scan.

Citation

Tout comme un antivirus PC, Anti-Virus Essentials peut fonctionner en tâche de fond pour détecter les éventuels fichiers infectés mais les détections peuvent aussi être planifiées ou lancées à la volée.

Je te renouvelle mon conseil d'adopter Malwarebytes for MAC.
En effet, Malwarebytes développe des logiciels de sécurité efficaces pour toutes les plateformes.

Pour ma part, je ne recommande pas les NAS dans un environnement personnel. 
C'est assez complexe, des solutions plus simples existent, et les NAS sont une cible de choix pour les pirates, en particulier pour les développeurs de ransomwares, car les NAS sont surtout employés par les entreprises, utilisateurs plus fortunés que les particuliers, donc plus intéressants pour les pirates.

À te relire.

[Ltdrogo]

Bonsoir Firebird, voilà Le lien WD  sur Virus Essential et qui correspond à ce que j'ai effectivement sur mon interface : j'ai lu l'article de TLD mais au vu des paramètres et de la prose WD j'ai du mal à croire que l'antivirus soit résident. 

Malwarebytes : j'ai adopté, merci du conseil !

Je te rejoins sur l'opportunité du NAS à la maison. Il peut être utile comme un serveur multimédia avec des backups sécurisés par ailleurs, mais je continuerai à ne pas l'utiliser comme sauvegarde de données sensibles. Ni en accès à distance comme cloud personnel. En lisant sur le sujet, ce que tu as envoyé + ce que j'ai trouvé on se rend compte que les fournisseurs de NAS ont encore des progrès à faire côté sécurité, ainsi que sur les conseils intégrés à l'utilisateur (messages d'alertes ou de confirmation en cas de réglage potentiellement dangereux ou sensible). Je n'ose pas imaginer les PME qui se retrouvent dans ma situation avec compta, fichiers clients, paie, ....

Je vais continuer ma lente recherche. J'ai alerté le service client WD sur le fait qu'à 1% de scan antivirus par jour le scan complet prendra plus de 3 mois...

 

[Firebird]

Bonjour @Ltdrogo

Le 14/12/2020 à 18:27, Ltdrogo a dit :

mais au vu des paramètres et de la prose WD j'ai du mal à croire que l'antivirus soit résident. 

Après lecture de l'article WD, je suis de ton avis.

Le 14/12/2020 à 18:27, Ltdrogo a dit :

Je n'ose pas imaginer les PME qui se retrouvent dans ma situation avec compta, fichiers clients, paie, ....

Normalement, les responsables de la sécurité mettent en place des protections fiables et plusieurs outils de sauvegarde. Dans le cas contraire, une attaque malveillante peut engendrer une catastrophe.

Le 14/12/2020 à 18:27, Ltdrogo a dit :

J'ai alerté le service client WD sur le fait qu'à 1% de scan antivirus par jour le scan complet prendra plus de 3 mois...

Effectivement, c'est très lent et WD ne communique pas là-dessus.

  Ce sujet m'intéresse, et je suis preneuse d'informations, par exemple si WD te communique de nouveaux éléments techniques ou des données chiffrées.

À te relire.

Modifié le 15 décembre 2020 par Firebird

[Ltdrogo]

Il y a 20 heures, Firebird a dit :

  Ce sujet m'intéresse, et je suis preneuse d'informations, par exemple si WD te communique de nouveaux éléments techniques ou des données chiffrées.

À te relire.

Bonjour Firebird, dès que j'ai du neuf je poste. Pour le moment le scan a repris suite à une maj inopinée du firmware qui l'avait interrompu. Il en est à 2%...

[Firebird]

Hello @Ltdrogo

Merci pour ces tests.

Cette lenteur rend cet outil inutilisable.
Entre le lancement de l'analyse et son terme, tu peux récupérer de nouvelles infections.
Qu'en dit Western Digital ?

À te relire.

[Firebird]

Hello @Ltdrogo

Quels logiciels de sécurité sont installés sur tes ordinateurs Mac ?

Il existe un antivirus gratuit, Avast pour Mac.

 d’autres éditeurs fournissent des logiciels antivirus, notamment Sophos, ClamXav et Kaspersky.

À te relire.

[Ltdrogo]

Le 16/12/2020 à 23:01, Firebird a dit :

Hello ....
Qu'en dit Western Digital ?

Bonjour, voilà ci-dessous la dernière réponse de WD (visiblement traduite en français avec un outil de traduction => elle est plus claire retraduite en anglais avec google). Évidemment ma livebox était configurée en routeur avec un pare-feu. La seule ouverture extérieure du NAS était vers le service de cloud propriétaire "hautement sécurisé" de WD ! Comme je n'ai rien perdu je vais donc lui faire reprendre sa vie normale juste en local, je n'aurai rien de plus avec WD qui va se défausser de toute responsabilité (réflexe US, la crainte de se retrouver assignés pour les éventuels préjudices).

Mon mac a été scanné avec 4 AV différents qui n'ont rien trouvé de résident. Le trojan, où qu'il se soit trouvé, s'est certainement auto-détruit.

"

Sur la base de votre problème, malheureusement, Western Digital ne fournit pas de conseils de sécurité ou de services de récupération de données et ne peut pas vous recommander ou vous diriger vers des outils spécifiques sur Internet pour décrypter le contenu infecté ou résoudre votre problème de sécurité. Nous vous suggérons de contacter un conseiller qui se spécialise dans la sécurité et la récupération des données pour tous les besoins de récupération.
 

L'appareil My Cloud est conçu pour n'avoir que son fichier Samba disponible sur le réseau local sécurisé protégé par un routeur. C'est la configuration par défaut pour la plupart des routeurs. Pour que le contenu sur My Cloud soit vulnérable, l'appareil My Cloud doit soit (1) être non protégé par un routeur et exposé directement à Internet (c'est-à-dire, le routeur est configuré pour révéler l'appareil My Cloud dans la DMZ ou via l'expédition de port) ou (2) être exposé à un ordinateur infecté à l'intérieur du réseau local.
 

Veuillez consulter les paramètres de votre routeur et les autres ordinateurs dans votre réseau. Vous pouvez également protéger davantage votre contenu en utilisant le partage de fichier Samba avec des mots de passe forts, mais cela n'empêcherait pas l'infection dans le cas d'un ordinateur local infecté qui avait enregistré le mot de passe pour cette part. Vous pouvez vous référer au lien ci-dessous pour en savoir plus. 
 
Connexion d'un appareil de stockage en réseau à un dispositif internet FAI
https://support-fr.wd.com/app/answers/detail/a_id/25644/track/AvMykwqbDv8S~U~CGsce~yI2LoMqPi75Mv~H~zj~PP8O"

:

[Ltdrogo]

Le 17/12/2020 à 01:06, Firebird a dit :

Hello @Ltdrogo

Quels logiciels de sécurité sont installés sur tes ordinateurs Mac ?

Il existe un antivirus gratuit, Avast pour Mac.

 d’autres éditeurs fournissent des logiciels antivirus, notamment Sophos, ClamXav et Kaspersky.

À te relire.

J'ai scanné mes volumes avec Avast, Malwarebytes, CeanMyMac et Bitdefender (ces deux derniers sont proposés sur l'Apple Store) = rien trouvé. Je vais probablement en installer un résident mais entre les faux classements et l'agressivité commerciale des éditeurs ça n'est pas facile de se décider...

Merci encore !

[Firebird]

Bonjour @Ltdrogo

Il y a 11 heures, Ltdrogo a dit :

La seule ouverture extérieure du NAS était vers le service de cloud propriétaire "hautement sécurisé" de WD ! Comme je n'ai rien perdu je vais donc lui faire reprendre sa vie normale juste en local.

Donc, tu vas dispenser du Cloud, décision préférable, surtout pour les données sensibles.
Tu sembles avoir assez de ressources informatiques pour te passer du Cloud.

  Autres logiciels de sécurité

• AppCleaner : Outil pour désinstaller des programmes indésirables
• EtreCheck : Outil de diagnostic, bien utile quand on ne parvient pas à détecter l'infection.

  Choix d'un antivirus : article intéressant

 Avez-vous besoin d’un antivirus sur Mac ? (securitemac.com)

  Tu peux Marquer le sujet comme résolu.

=> Clique en haut de la page sur le bouton vert

Bonne continuation et bon surf.

Modifié le 18 décembre 2020 par Firebird