Communication Synology - Synolocker

[Foxdream94]

Ouai voilà pourquoi je demande le contenu d'un /etc/synolock

J'ai essayé mais pas réussi mon RAID empêche le DD de monter même en live-cd linux.

Et je peux pas accéder a la partion system via un pc Windows ni a l'interface graphique web, mon SSH est désactivé et je sais pas comment le remettre.

SI je passe mon NAS en DSM 5.0 par le processus de RESET je perds la partition system donc le répertoire /etc/symlock.

Si quelqu'un a une idée

[Fravadona]

J'ai essayé mais pas réussi mon RAID empêche le DD de monter même en live-cd linux.

Si quelqu'un a une idée

La partition systeme fait 2,55Go, tu peux en faire une copie :

1 - Booter sur le LiveLinux, se loguer avec l'utilisateur root

2 - Brancher le disque du NAS sur le PC (eSATA ou USB ou voir meme directement en SATA)

3 - Ouvrir un Terminal

dmesg | tail

(ca devrait te montrer la "device" systeme du nouveau disque insere)

Puis la suite serait (mais ca depend de ta configuration)

dd if=/dev/sdXXX1 of=/partitionPC/synosys.img

Modifié le 7 août 2014 par Fravadona

[Einsteinium]

@fox oui je sais, mais je trouve dommage que tu sois le seul a réagir

@fravo pour l'avoir test, je me rappel que par défaut la partition système était montée, pas le volume que j'avais en raid.

[Du 82]

Bonjour,

je n'ai pas pris le temps de vérifier si l'info se trouvait déjà sur le site.

je vous donne le lien, une solution semble avoir été trouvé pour ceux qui ont subi l'attaque de leur(s) NAS

Début de citation "Les fichiers chiffrés par le malware CryptoLocker ont une chance de pouvoir être récupérés par les propriétaires sans le paiement d'une rançon. Deux sociétés de sécurité ont mis en place un service gratuit à cet effet." Fin de citation

http://goo.gl/UB5E7v

Bon courage

[PiwiLAbruti]

Tous les liens d'articles que vous donnez pointent vers la même source : https://www.decryptcryptolocker.com/
Aucun utilisateur ayant envoyé un fichier crypté par SynoLocker à Decrypt CryptoLocker (lien ci-dessus) n'a réussi à obtenir une clé de décryptage.
Pour l'instant cette solution ne fonctionne pas.

Donc pas la peine de poster un énième lien vers un article qui fait référence à Decrypt CryptoLocker.

[dadoudidon]

Je rejoins Piwi. Je n'ai aucune information de personne ayant pu récupérer ses fichiers Cryptolockés grace à un logiciel ou service tiers.

[Foxdream94]

La partition systeme fait 2,55Go, tu peux en faire une copie :

1 - Booter sur le LiveLinux, se loguer avec l'utilisateur root

2 - Brancher le disque du NAS sur le PC (eSATA ou USB ou voir meme directement en SATA)

3 - Ouvrir un Terminal

dmesg | tail

(ca devrait te montrer la "device" systeme du nouveau disque insere)

Puis la suite serait (mais ca depend de ta configuration)

dd if=/dev/sdXXX1 of=/partitionPC/synosys.img

Alors j'ai mis le RAID 5 je crois donc je n'ai peut être pas pris le bon disque (même si le RAID 5 ecrit partout)

Quand j'ai tenté le coup avec le live CD, je ne voyais pas le DD.

J'ai ouvert un GPARTED, la j'ai vu le disque dur de mon NAS mais sans la possibilité de mon NAS.

Et j'ai peur de peter le RAID sur une fausse manipulation d'autant plus que Linux et moi ca fait deux.

Je suis comme même dans le monde de l'informatique mais côté Windows. Si on m'aide, je peux essayer de dumper la partition system pour partager le fameux dossier /etc/synolock

Autre solution, trouver un moyen de reprendre la main sur l'interface web du NAS afin de me connecter, killer le processus et dumper le dossier.

Mais je sais pas comment y parvenir. Une idée pour remettre la page par defaut et non celle du Synolocker ?

La solution via Putty en SSH est KO pour moi quar le SSH est désactivé sur le NAS .....

Merci de votre aide

[Einsteinium]

Sinon monte tous les disques sur ton PC et monte le raid ?

Édit : https://www.synology.com/fr-fr/support/faq/579

Modifié le 8 août 2014 par Einsteinium

[Foxdream94]

Sinon monte tous les disques sur ton PC et monte le raid ?

Édit : https://www.synology.com/fr-fr/support/faq/579

Tu peux me confirmer que cela est une solution sans risque ?

Le processus de cryptage ne s'exécutera pas ?

[Einsteinium]

Oui sans risque, quand tu as fini, tu coupe et remet dans le nas

Non il s'exécutera pas, car tu ne monte que les partitions, tu ne boot pas sur la partition système des disques, mais ubuntu.

Avec de la chance, au cas par cas, y aura moyen de recréé la clef de décryptage, voir elle sera peu être encore présente, j'ai même envie de te dire, qu'il faudrait passer un coup d'utilitaire de récupération de donnée, avec de la chance la clef sera récupérable.

[Sethy]

Je réédite mon conseil : "ne pas se précipiter !".

Si le Synology est éteint, pourquoi ne pas attendre quelques jours d'y voir plus clair pour le rallumer ?

C'est le b.a.-ba de la gestion de crise : garder son sang froid et son calme et ne pas essayer les 8-mille idées qui circulent.

Modifié le 8 août 2014 par Sethy

[Foxdream94]

Oui sans risque, quand tu as fini, tu coupe et remet dans le nas

Non il s'exécutera pas, car tu ne monte que les partitions, tu ne boot pas sur la partition système des disques, mais ubuntu.

Avec de la chance, au cas par cas, y aura moyen de recréé la clef de décryptage, voir elle sera peu être encore présente, j'ai même envie de te dire, qu'il faudrait passer un coup d'utilitaire de récupération de donnée, avec de la chance la clef sera récupérable.

Ok bah je vais tenter l'opération tant que cela ne case pas le RAID une fois remis sur le NAS pas de souci !

Merci pour ton aide en espérant que cela fonctionne. Si je dump le dossier, je le ferais tourner pour que d'autres puisses l'analyser.

Je vous tiens au jus. Je ferais la manip au calme ce weekend.

[Kway]

Bonjour à tous,

je suis tout nouvel utilisateur de Nas depuis euh... six jours ? j'ai installé mon DS214se dimanche dernier. Lors de la mise en route, la version DSM 5.0 a été installée. Depuis dimanche j'ai migré mes quelques 850go de données (musique, films, photos).. jusqu'à ce que je découvre cette histoire de Synolocker. (et dire que j'avais enfin opté pour un nas dans un souci premier de sécurité..). Pour le moment je ne me suis pas pris le temps de paramétrer mon accès via internet, j'ai désactivé Quick-connect et DNZ (ou un truc dans le genre).. ce matin dans le doute, via DSM j'ai cliqué sur "voir mise à jour disponible" (pardonner si c'est pas tout à fait ça) et DSM m'a mis "impossible de contrôler mise à jour car pas d'accès à internet"...

Question de bleu-bite : pouvez simplement me confirmer que pour le moment, et avec ma config actuelle, je ne risque pas d'être touché par Synolocker ? je n'ai pas installé de pare-feu ou d'anti-virus sur le nas, je ne sais même pas si ça existe.. comme dit je débute.. mon seul accès aux données est sur mon réseau privé (pc, tablette et WD TV Live).

Merci d'avance de me rassurer les amis !

[Foksadure]

Bonjour à tous,

La dernière communication de Synology au sujet de Synolocker précise bien qu'il est impossible de déchiffrer les fichiers sans la clé :

http://www.wegotserved.com/2014/08/06/synology-confirms-decyrption-help-available-synolocker-victims/

(les versions concernées du DSM sont la 4.1, certaines 4.0, 4.2 et 4.3)

Et via le site ci-dessus, on trouve un lien vers l'analyse du ransomware sur le site de F-Secure :

http://www.f-secure.com/weblog/archives/00002730.html

A compléter avec ce lien chez Symantec :

http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-080708-1950-99

Seules certaines extensions sont ciblées, ce qui explique la rapidité du processus, ajouté au fait que le message de racket n'apparaît qu'après le chiffrement d'un certains nombre de fichiers en tâche de fond pendant quelques temps, et que le hack est fort opportunément lancé durant le mois d'août pour retarder d'autant plus sa détection avant qu'il ne soit trop tard.

Définitivement très astucieux, malheureusement pour les victimes.

Modifié le 8 août 2014 par Foksadure

[Fredstudio]

Bonjour,

Je suis en dernière version la 5 avec les dernières mise à jour, j'ai bloqué l'accès du NAS par l'extérieur comme conseillé par Synogy pour le moment.

J'en ai profité pour mettre en place les quelques règles de sécurité lu sur le forum, c'est à dire en gros suppression du compte admin, filtrage des IP venant de l'étranger, interdiction de l’accès après 5 tentatives erronées en 5 minutes etc.

Bref à l'heure actuel que faut-il faire, est-ce que l'attaque peux être considérée comme sans danger pour le dernier DSM à jour ou faut-il encore resté isolé du net en attendant une communication officiel de Synology?

Merci

[Oooops!]

Bonjour,

je suppose que c'est dans le cadre de la communication autour de SynoLocker que je viens de recevoir du support Syno un courriel (08/08/14 à 15h01) intitulé "Important message regarding DDNS and QuickConnect services" et m'incitant à faire des màj.

Mais si c'est bien la raison d'envoi du message, ça me semble bien tardif?

On est le 8 août, ça fait 2 jours qu'on en parle, et pas de message avant...

[Duke57]

moi ce qui m'étonne c'est le titre du mail, je pensais qu'il s'agissait d'une faille d'authentification sur le DSM, pas en provenance de DDNS ou Quickconnect.. Bizarre cette histoire.

[Oooops!]

Bonsoir,

j'ai mis le message complet (hors formule de politesse) dans ., au cas où.

[catimimi]

moi ce qui m'étonne c'est le titre du mail, je pensais qu'il s'agissait d'une faille d'authentification sur le DSM, pas en provenance de DDNS ou Quickconnect.. Bizarre cette histoire.

Bonjour,

Moi aussi je pensais cela, lorsque j'ai reçu leur message, je me suis demandé s'ils ne s'étaient pas fait pirater leur serveur DNS et Quickconnect.

De manière égoïste, je me sentirais protégé car je n'utilise aucune de ces deux fonctionnalités. Il serait intéressant de savoir si les victimes utilisent l'une ou l'autre de ces fonctions.

Cordialement.

Michel.

[Topsy Krett]

Perso quickconnect et myds étaient désactivés, le blocage de compte actif, parefeu qui acceptait sur (parefeu synology), utilisation d'un port différent pour le connexion web (au lieu du 5000/5001), et filtrage parefeu de la box activé ( ne laissant passé que le nouveau port web, en HTTPS uniquement), certificat autosigné par contre

[Oooops!]

Bonjour,

et le résultat: tu as été affecté ou pas?

[Topsy Krett]

non, je touche du bois. j'ai quand même fait la mise à jour dsm 5, meme si je crois que pour le ds413j il n'y a pas d'update 3

[Oooops!]

Re-,

content pour toi que tu n'aies pas été touché.

Pour l"update3, si, il y en a une, que tu as dû voir dans le message de Bud77 sur ton autre topic .

[Edit]

cf aussi l'Edit de ma réponse à Bud77

Sur ce sujet, il vaut peut-être mieux continuer la discussion là-bas.

[Fin Edit]

[Topsy Krett]

Oui oui ma réponse et sa réponse se sont croisées. N'en parlons pas plus. Restons à mon constat.

Sinon j'ai aussi un DS211j pour le coup jamais mis à jour qui n'a pas été touchés. Je verrais le dernier lundi. (pas accès pour le moment)

[Foxdream94]

Sinon monte tous les disques sur ton PC et monte le raid ?

Édit : https://www.synology.com/fr-fr/support/faq/579

Bon

J'ai réussi a lire mes DD en RAID depuis un Live CD linux !

Je recupère ce qui n'est pas cryptés.

Mais pas de dossier system disponible pour récupérer le dossier /etc/synolock !

Il se trouve ou ? Je ne vois que les données pas le système.

Comment outre passer la redirection de l'interface web sur le NAS pour accéder a l'interface ?

Sinon pour ce qui sont dans la même misère, je vous confirme que payer est bien l'unique solution pour le moment. Un de nous a payé pour récupérer ses données qui sont actuellement en cours de décryptage.