NAS et ransomware : ce qu’il faut faire

Vous possédez un NAS et malheureusement du jour au lendemain, les fichiers qui s’y trouvent sont illisibles.
Généralement cela est dû à une attaque par un ransomware ou rançongiciel.
C’est d’autant plus grave que votre NAS stocke toutes vos données (fichiers .zip, .pdf, .doc, .exe, .js, etc).
La plupart du temps, l’extension des fichiers est modifiée et un fichier d’instructions de paiement se trouve dans chacun des dossiers.

Voici quelques informations sur la bonne attitude à suivre après une attaque d’un ransomware sur son NAS.

NAS et ransomware : ce qu'il faut faire
NAS et ransomware : ce qu’il faut faire

Introduction

Avant de lire la suite de cet article, nous vous conseillons de lire l’article suivant.
Ce dernier vous donnera une vision globale des ransomwares et pourquoi il existe parfois des outils de déchiffrement.

Historique

Voici l’historique de quelques attaques par des rançongiciels particuliers.
Bien entendu, il existe bien d’autres ransomwares.
Certains sont créés spécialement pour viser les NAS à travers des vulnérabilités connus et d’autres sont plus généralistes.

SynoLocker : Apparu en Août 2018, ce rançongiciel s’attaque au NAS Synologic.
Un outils de déchiffrement avait alors vu le jour : https://github.com/F-Secure/Synounlocker

Cr1ptT0r Ransomware Infects D-Link NAS Devices : Février 2019, ce ransomware attaque les NAS D-Link non à jour.

MegaLocker Ransomware : apparu autour de mars et avril 2019, ce ransomware touche tous les NAS (WD MyCloud, ReadyNas, Synologic)

L’attaque par un crypto-ransomware

Pour atteindre votre NAS, nous distinguerons deux attaques distinctes.

Les vulnérabilités

Il s’agit d’attaque directe contre votre NAS et exploitant des vulnérabilités sur ce dernier.
Par exemple, le partage de fichiers est accessible sur internet et le service de partage possèdent des vulnérabilités.
Cela peut-être tout autre service réseau sensible étant accessible par internet (FTP, SMB, WEB, etc).

Si un de ces services requiert une authentification, assurez-vous d’avoir des comptes avec des mots de passe forts.
Il ne faut surtout pas laisser des comptes avec le mot de passe par défaut et encore moins lorsqu’il s’agit de compte administrateur.

Dans ce cas, toutes les données du NAS sont rendus inaccessibles par le ransomware.

La bonne attitude à suivre :

  • Vérifiez la présence de mise à jour pour le NAS (firmware, mise à jour logicielle, etc)
  • Vérifiez les comptes utilisateurs et surtout administrateur.
  • Sécuriser l’accès au service en utilisant des mots de passe forts

Les attaques par rebond

Dans ce second scénario plus classique, le ransomware a infecté votre ordinateur.
Or ce dernier a accès à vos fichiers et dossiers du NAS via des partages réseaux.
Durant la phase de chiffrement par le ransomware, ce dernier liste et attaque les fichiers se trouvent sur vos partages.

Dans ce cas de figure, les fichiers locaux de votre ordinateur ainsi que les données se trouvant sur le NAS par le réseau sont alors touchés.

Attention aussi aux clés USB utilisées sur votre NAS qui peuvent aussi être une porte d’entrée.

Les ransomwares qui s'attaquent au NAS
source: https://www.qnap.com/solution/ransomware/fr-fr/

Récupérer les données

Quelques conseils pour récupérer vos données de votre NAS après une attaque de ransomware.

Dans un premier temps, assurez-vous que votre ordinateur n’est pas touché.
Encore une fois, si les données de votre ordinateur ne sont pas chiffrés, probablement que l’attaque est directe et vise votre NAS.
Toutefois si vous préférez vérifier, vous pouvez alors effectuer :

Faites de même avec votre NAS via l’installation d’un logiciel antivirus.

Ensuite, vous pouvez tenter de récupérer vos données.
Suivez alors notre guide et notamment l’utilisation du site ID-Ransomware.

Si aucune solution pour déchiffrer les données ne se présente, il faudra patienter en espérant qu’une fois le jour.
Vous pouvez alors conserver les données touchées, cela ne craint rien au niveau de la sécurité de votre NAS.

(Visité 565 fois, 2 visites ce jour)