This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Einsteinium

Synolocker

452 messages dans ce sujet

Des cyber criminels ont mis au point un clone du tristement célèbre Cryptolocker afin de racketter les possesseurs de Synology (et NAS alternatifs sous XPenology). Baptisé SynoLocker (vous apprécierez le symbole "marque déposée"), ce cheval de Troie entreprend de chiffre un par un tous les fichiers présents sur les disques de votre NAS.

Comment savoir si vous êtes infectés ? Vous aurez la page suivante en tentant d'accéder a l'interface web de votre synology :

1408031247d9b3ec75ee28c3b2.jpg

En cas d'infection : Débranchez physiquement votre DiskStation afin d'éviter d'autres problèmes. Contactez le support de Synology dès que possible via ce formulaire ou bien par e-mail à security@Synology.com

@ K-5 : (04 août - 09:13 )Bonjour,

Voila déjà une solution pour ceux qui sont infectés par Synolocker pour reprendre la main sur votre NAS, après, les fichiers qui ont été encryptés le seront encore :

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751

1. Arrêtez le NAS

2. Retirez tous les disques durs du NAS

3. Trouver un disque dur de rechange que vous n'utilisez pas et l'insérer dans le NAS

4. Utiliser le Synology Assistant pour trouver le NAS et installer le dernier DSM sur ce disque dur de rechange (utiliser la dernière DSM_file.pat de Synology)

5. Lorsque le DSM fonctionne parfaitement sur ​​ce disque dur de secours, arrêtez le NAS de l'interface web.

6. Retirez le disque de rechange et insérer tous vos disques originaux.

7. Mettez le NAS en marche et attendre patiemment. Si tout va bien, après environ une minute, vous entendrez un long bip et le NAS sera démarrer.

8. Utiliser Synology Assistant pour trouver le NAS. Il devrait maintenant être visible avec le statut "migrable".

9. Du Synology Assistant choisir d'installer DSM sur le NAS, utiliser le même fichier que vous avez utilisé à l'étape 4 et spécifier le même nom et l'adresse IP comme il était avant l'accident.

10. Parce que le NAS est reconnu comme "migrable", l'installation DSM ne va pas effacer les données de la partition système, ni de la partition de données.

11. Après quelques minutes, l'installation se terminera et vous serez en mesure de vous connectez à votre NAS avec vos pouvoirs originaux.

AVIS IMPORTANT

Nous vous conseillons de temporairement :

Retirer votre NAS Synology de la zone DMZ

Modifier les ports DSM (5000/5001)

Fermer l'accès à TELNET 23 et SSH 22

Fermer Web Station port 443 / 80

Fermer l'accès FTP port 21

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays

Activer le blocage automatique des IP's

Utiliser le serveur VPN et fermer l'accès externe à votre NAS.

Prévention en attendant plus d'informations de la part de Synology.

Topics forum Officiel :

https://forum.synology.com/enu/viewtopic.php?f=3&t=88716

https://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Topic forum Allemand :

http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker

Source : http://korben.info/synolocker.html

Source : http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/

Modifié par Einsteinium

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Le problème semble important, il est urgent de signaler à la communauté de désactiver le port 5000 des routeurs et tout accès au web de votre Syno.

D'ailleurs, pourquoi poster ça dans le bar ? Ca mérite largement d'être dans les news. :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas les droits pour la section news malheureusement =)

Oui encore une sacrée faille, l'on devient des cibles de choix :/

Modifié par Einsteinium

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Doit-on à votre avis seulement bloquer le Port 5000 ou également tous les ports externes que l'on a pu ouvrir pour accéder à notre NAS ? Je pense à Music Station, Photo, Video ... Qui fonctionne sur des ports différents ... Merci.

Partager ce message


Lien à poster
Partager sur d’autres sites

Enfin ouvrir le port tcp/5000 sur son routeur c'est déjà une faille en soi, mais rien ne dit que la faille n'est pas exploitable en HTTPS via le port tcp/5001.

Étant donné que l'origine de la faille n'a pas été identifiée, je recommanderais de fermer au moins les ports suivants tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).

Pour continuer à accéder au DSM à distance, il sera préférable d'utiliser VPN Server pour vous connecter à votre NAS.

Ayant constaté pas mal de scan de port tcp/5000 à mon travail, il y a de grandes chances que la faille ait été exploitée directement sur DSM.

Partager ce message


Lien à poster
Partager sur d’autres sites

Personnellement je suis bombardé sur le port 23, j'ai une moyenne de 30 IP bloquées par jour depuis le 2 Août !

Effectivement sur les forum allemand et chinois/japonais pas mal de monde à ce problème, cela semble être un simple brute force du compte admin...

Partager ce message


Lien à poster
Partager sur d’autres sites

Par sécurité, j'ai bloqué les connexions en provenances de Chine et des proxy anonymes. J'ai également arrêter le service TELNET.

Arrêter complètement le NAS n'est pas possible en raison du nombre de clients que j'ai par contre, ça serait un gros problème si le virus venait quand même à passer.

Le Brute Force sur le TELNET est peut-être le début, le virus recherche le mot de passe et ensuite se connecte sur DSM. On attend un communiqué officiel de la part de Synology pour en savoir plus.

Partager ce message


Lien à poster
Partager sur d’autres sites

Par sécurité, j'ai bloqué les connexions en provenances de Chine et des proxy anonymes.

Peux-tu dire comment se met en place le second blocage?**

**edit**

c'est bon: trouvé

Modifié par CoolRaoul

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut @ tous B)

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça .... :wacko:

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy :P

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon moi je fais simple.... Syno fera dodo en attendant une solution... trop de risque...

Comment fait on pour bloquer le sip chinoise etc ? Qq'un peut il me donner l'info ?

Merci !

Modifié par baubau

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour bloquer les IP douteuses : menu principal,panneau de config,sécurité,pare-feu,créer,ip source ---> région, et choisir les pays "indésirables ... ne pas oublier de sauvegarder ;)

Partager ce message


Lien à poster
Partager sur d’autres sites

Salut @ tous B)

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça .... :wacko:

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy :P

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

Bon moi je fais simple.... Syno fera dodo en attendant une solution... trop de risque...

Comment fait on pour bloquer le sip chinoise etc ? Qq'un peut il me donner l'info ?

Merci !

D'un autre topic venant de coolraoul :

iO0xJmd.png

Sauf que tu choisis région et sélectionne les pays que tu veux.

Modifié par Einsteinium

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est bien ce que je pensais ^^

par contre , sur ma Livebox 3, je ne vois pas trop où bloquer les port <_<

-EDIT-

c'est bon j'ai trouvé, config avancée,config pare-feu,personnaliser, et là, ajouter la nouvelle règle :)

Modifié par Bzhgringo

Partager ce message


Lien à poster
Partager sur d’autres sites

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

D'un autre topic venant de coolraoul :

iO0xJmd.png

Sauf que tu choisis région et sélectionne les pays que tu veux.

Le plus simple, je pense, reste de faire l'inverse, whitelister seulement les pays souhaites.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Bonjour Ce matin mauvaise surprise sur 3 syno 1 est infecté! Vraiment dégoûté! Est ce que l'un d'entre vous à testé la manip fourni par syno ? Avec succès ?

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Modifié par Einsteinium

Partager ce message


Lien à poster
Partager sur d’autres sites

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Il n'en est pas à son premier méfait ce chinois-la

http://www.abuseipdb.com/report-history/61.144.43.235

(sans doute une IP dynamique, donc pas forcément toujours le même gus à la manœuvre)

Partager ce message


Lien à poster
Partager sur d’autres sites

Certains vont tout à coup comprendre la différence entre RAID et sauvegarde... :rolleyes:

Quoi qu'il puisse se passer sur le NAS, mon disque de sauvegarde USB au fond du tiroir se porte à merveille.

Partager ce message


Lien à poster
Partager sur d’autres sites

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Ds1812+ raid5+raid1 je ne connais pas la version dsm, la dernière MA a été faite après heartbleed. Port ouvert :5000.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant