Aller au contenu

Communication Synology - Synolocker


rodo37

Messages recommandés

Nous aimerions fournir une brève mise à jour concernant le ransomware récent appelé « SynoLocker », qui touche actuellement certains serveurs NAS Synology.

Nous sommes entièrement mobilisés à enquêter sur ce problème et les solutions possibles et envisageables. Sur la base de nos observations actuelles, ce problème affecterait uniquement les serveurs NAS Synology exécutant certaines anciennes versions du DSM (DSM 4.3-3810 ou versions antérieures), en exploitant une vulnérabilité de sécurité qui a été fixée et corrigée en Décembre 2013. A l'heure actuelle, nous n'avons pas observé cette vulnérabilité dans la version DSM 5.0.

Pour les serveurs NAS Synology DSM fonctionnant sur DSM 4.3-3810 ou sur des versions antérieures, et si les utilisateurs rencontrent un des symptômes ci-dessous, nous recommandons l'arrêt de leur système et de contacter notre équipe de support technique au lien suivant: https://myds.synology.com/support/support_form.php :

• Lorsque vous tentez de vous connecter à DSM, un écran s'affiche pour informer les utilisateurs que les données ont été cryptées et une taxe est requise pour déverrouiller les données

• Un processus appelé "synosync" est en cours d'exécution dans le Moniteur de ressources

• DSM 4.3-3810 ou une version antérieure est installé, mais le système dit que la dernière version est installée au Panneau de configuration> Mise à jour de DSM

Pour les utilisateurs qui n'ont pas rencontré l'un des symptômes mentionnés ci-dessus, nous recommandons fortement de télécharger et d'installer DSM 5.0, ou toute version ci-dessous:

• Pour DSM 4.3, merci d’installer DSM 4.3-3827 ou une version plus récente

• Pour DSM 4.1 ou DSM 4.2, merci d’installer DSM 4.2-3243 ou une version plus récente

• Pour DSM 4.0, merci d’installer DSM 4.0-2259 ou une version plus récente

DSM peut être mis à jour en allant dans Panneau de configuration> Mise à jour de DSM. Les utilisateurs peuvent également télécharger et installer manuellement la dernière version de DSM directement notre centre de téléchargement au lien suivant: http://www.synology.com/support/download

Si les utilisateurs remarquent un comportement étrange ou soupçonnent que leur serveur NAS Synology a été affecté par le problème ci-dessus, nous les encourageons à nous contacter à security@synology.com

Nous nous excusons sincèrement pour tous les problèmes ou inconvénients que cette situation a causée à nos utilisateurs. Nous vous tiendrons informés des dernières informations et mises à jour au plus vite.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

j'avais reçu un mail de Synology il y a 6 jours pour la mise à jour vers 4.3-3827 Update5.

J'ai fait cette mise à jour le week end dernier.

Dans le doute, j'ai tout de même retiré l'accès à mon NAS depuis Internet lorsque j'ai appris la menace.

Pour les personnes infectées, je suppose qu'il faut voir directement avec le support synology, un traitement au cas par cas est surement envisagé, le nombre de victime a l'air d'être faible (réaction rapide de la communauté ?)

Lien vers le commentaire
Partager sur d’autres sites

Non, les fichiers cryptés sont perdus. Vous devrez les restaurer depuis votre dernière sauvegarde.

Depuis la dernière sauvegarde ? c'est à dire ?

Pour ma part, j'avais deux disques en RAID sur mon synology, est ce que les fichiers sur mon deuxième disque sont forcément cryptés eux aussi ?

Cdt,

Lien vers le commentaire
Partager sur d’autres sites

Depuis la dernière sauvegarde ? c'est à dire ?

Pour ma part, j'avais deux disques en RAID sur mon synology, est ce que les fichiers sur mon deuxième disque sont forcément cryptés eux aussi ?

Cdt,

Le RAID n'est pas une sauvegarde.

En RAID1 les 2 disques contiennent les mêmes données (chiffrées ou non).

Lien vers le commentaire
Partager sur d’autres sites

Le RAID n'est pas une sauvegarde.

En RAID1 les 2 disques contiennent les mêmes données (chiffrées ou non).

Oui donc qu'est ce que PiwiLAbruti entend par sauvegarde ? une sauvegarde manuelle faite sur un autre support ? Donc si on ne l'a pas fait, nos fichiers sont définitivement perdus ? Et pensez vous qu'en payant la "rançon" demandée pour le décryptage, ça peut marcher ou bien est ce encore une arnaque ? Ca me ferait mal de laisser de l'argent à des hackers mais j'ai perdu 15 ans de photos de famille(enfants etc .), vous comprendrez que j'ai le moral dans les chaussettes....

Cette faille a un côté pédagogique qui me plaît beaucoup, ça va enfin faire comprendre la différence entre le RAID et une sauvegarde.

Ok pour ça mais honnêtement ça vous plait car vous n'avez pas été touchés. Même si dans le fond vous avez raison, ça n'est pas drôle pour autant.

Lien vers le commentaire
Partager sur d’autres sites

Et pensez vous qu'en payant la "rançon" demandée pour le décryptage, ça peut marcher ou bien est ce encore une arnaque ? Ca me ferait mal de laisser de l'argent à des hackers mais j'ai perdu 15 ans de photos de famille(enfants etc .), vous comprendrez que j'ai le moral dans les chaussettes....

C'est TRES probablement une arnaque...

Pour tes 15 ans de photos de famille cela vaut peut-etre la peine de laisser tourner 15 ans un appareil pour decrypter le contenu (il ne faut tout de meme pas se lancer a l'aveuglette).

Peut-etre que l'exe du synolock possede la cle dans son code (ca m'etonnerait tout de meme) mais surement qu'en l'analysant on doit pouvoir au moins deduire l'algo et la longueur de la cle.

Modifié par Fravadona
Lien vers le commentaire
Partager sur d’autres sites

@gchabi :

Possedes-tu un fichier (de préférence de taille réduite) en version cryptée en non cryptée ? Ca m'étonne qu'avec un CPU aussi limité que celui d'un NAS le Synolocker puisse effectuer le chiffrement de tout le contenu aussi rapidement. Je peux essayer de regarder s'il n'y a pas une astuce pour "déchiffrer" les fichiers.

Lien vers le commentaire
Partager sur d’autres sites

Peut-etre que l'exe du synolock possede la cle dans son code (ca m'etonnerait tout de meme) mais surement qu'en l'analysant on doit pouvoir au moins deduire l'algo et la longueur de la cle.

On est sur une distro linux donc pas d'exe, idem pour la clé privée, elle n'est pas dans le code quand bien même tu en trouverais un.

L'encryption utilisée c'est typiquement de l'AES en 256 bits.

Pour ma part je ne toucherais plus au nas pendant quelques semaines/mois/années jusqu'au jour ou cette clé sera décryptable en quelques secondes/minutes.

@gchabi : Tu pourrais nous donner ta version du DSM et nous dire si tu joignais ton NAS depuis l"extérieur via ton ip publique, Quickconnect ou autre ? Tu avais gardé un mot de passe standard au compte admin ?

Lien vers le commentaire
Partager sur d’autres sites

On est sur une distro linux donc pas d'exe, idem pour la clé privée, elle n'est pas dans le code quand bien même tu en trouverais un.

L'encryption utilisée c'est typiquement de l'AES en 256 bits.

Pour ma part je ne toucherais plus au nas pendant quelques semaines/mois/années jusqu'au jour ou cette clé sera décryptable en quelques secondes/minutes.

@gchabi : Tu pourrais nous donner ta version du DSM et nous dire si tu joignais ton NAS depuis l"extérieur via ton ip publique, Quickconnect ou autre ? Tu avais gardé un mot de passe standard au compte admin ?

version DSM : 4.3 je crois mais comme je ne peux plus accéder à mon NAS via le port 5000 (page du hacker), je ne peux pas vérifier.

Sinon oui je joignais mon NAS par mon IP publique (via un nom DNS mais peu importe).

pour le mot de passe admin, c'était un mdp personnalisé avec des caractères spéciaux et pas un nom existant dans un dictionnaire.

Pensez vous que je doive réinstaller DSM 5.0 ou bien est il préférable d'attendre les consignes de Synology ?

Lien vers le commentaire
Partager sur d’autres sites

Il me semble que l'année dernière à la même époque subissait également un "exploit" dont je ne me souviens plus du contenu...

Quelqu'un peut confirmer?

http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=synology&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=

version DSM : 4.3 je crois mais comme je ne peux plus accéder à mon NAS via le port 5000 (page du hacker), je ne peux pas vérifier.

Sinon oui je joignais mon NAS par mon IP publique (via un nom DNS mais peu importe).

pour le mot de passe admin, c'était un mdp personnalisé avec des caractères spéciaux et pas un nom existant dans un dictionnaire.

Pensez vous que je doive réinstaller DSM 5.0 ou bien est il préférable d'attendre les consignes de Synology ?

Donc oui ça ressemble à une faille et pas un bruteforce, si tu n'avais pas fait la maj de sécurité d'il y'a quelques mois ça peux tout simplement venir de là.

Le bot fait un scan sur le port 5000 ou bien via google inurl:/syno/webman/blabla , trouve une réponse OK, bypass l'authentification, crypt tout et laisse une belle page html expliquant qu'il faut lui filer du fric.

Tu peux réinstaller le 5 et réinitialiser la partie system qui elle n'est pas cryptée, il te restera plus qu'à attendre un moyen simple de décrypter tes données (soit patient..) ou bien formater et tout perdre, ce que je ne ferais pas si j'avais 15 ans de photos cryptées.

Modifié par Duke57
Lien vers le commentaire
Partager sur d’autres sites

Je te rejoint ....il faut se faire prendre une fois pour comprendre ;-)

Ca n'est pas parce qu'on s'est fait avoir qu'on considérait le RAID comme une sauvegarde. Seulement le budget disponible contraint parfois à ne pouvoir multiplier les achats d'espace de stockage pour faire des sauvegardes sans arrêt/ j'en ai fait sur des DD externes avant mais par manque d'espace je n'en faisais plus. Alors oui je sais vous allez répondre que si j'avais su j'aurais investi un peu plus et franchi le pas mais avec des "si"...

C'est comme les assurances, on paye et on ne sait jamais si on doit prendre toutes les options pour être sur d’être couvert etc... et puis on fait toujours un compromis risque/coût...

Alors vos réflexions sont certes justes, mais elles ne font guère avancer le débat. Tant mieux pour ceux qui n'ont pas été infectés ou bien qui avaient fait des sauvegardes ailleurs et tant pis pour les autres comme moi mais qui n'ont pas besoin de lire ce genre de commentaire.

Lien vers le commentaire
Partager sur d’autres sites

On est sur une distro linux donc pas d'exe

Depuis quand ? Bien sur qu'il y a des executables sous Linux: binaires et scripts

pour la clé privée, elle n'est pas dans le code quand bien même tu en trouverais un.

Je parle du code assembleur de l'exe, la cle n'y est surement pas mais on doit pouvoir en tirer des infos.

L'encryption utilisée c'est typiquement de l'AES en 256 bits.

La vitesse de traitement me semble un peu trop rapide pour qu'une reelle encryption est ete effectuee, j'opterais plutot pour la generation d'une fausse entete et quelques autres traitements simples.

Pour ma part je ne toucherais plus au nas pendant quelques semaines/mois/années jusqu'au jour ou cette clé sera décryptable en quelques secondes/minutes.

Si les fichiers sont vraiment cryptés alors oui c'est une bonne solution (meilleure que laisser tourner un dechiffrement pendant des annees)

@gchabi:

Ton NAS n'est pas encore eteint ??? Si tu ne veux pas que le Synolocker finisse sont travail il va falloir au moins l'éteindre...

Sinon As-tu ce que je t'ai demande plus haut ? Un petit fichier en double, crypté et pas crypté.

Modifié par Fravadona
Lien vers le commentaire
Partager sur d’autres sites

Oui donc qu'est ce que PiwiLAbruti entend par sauvegarde ? une sauvegarde manuelle faite sur un autre support ? Donc si on ne l'a pas fait, nos fichiers sont définitivement perdus ? Et pensez vous qu'en payant la "rançon" demandée pour le décryptage, ça peut marcher ou bien est ce encore une arnaque ? Ca me ferait mal de laisser de l'argent à des hackers mais j'ai perdu 15 ans de photos de famille(enfants etc .), vous comprendrez que j'ai le moral dans les chaussettes....

Ok pour ça mais honnêtement ça vous plait car vous n'avez pas été touchés. Même si dans le fond vous avez raison, ça n'est pas drôle pour autant.

Ça n'a rien de drôle, c'est juste pour souligner le fait que si on tient réellement à certains contenus on en fait des copies multiples de façon à anticiper les problèmes. C'est ce qu'on appelle une sauvegarde.

Que mon NAS ait été touché ou pas m'importe peu, j'ai une sauvegarde de mes fichiers importants sur un disque externe USB rangé au fond d'un tiroir.

Lien vers le commentaire
Partager sur d’autres sites

version DSM : 4.3 je crois mais comme je ne peux plus accéder à mon NAS via le port 5000 (page du hacker), je ne peux pas vérifier.

Sinon oui je joignais mon NAS par mon IP publique (via un nom DNS mais peu importe).

pour le mot de passe admin, c'était un mdp personnalisé avec des caractères spéciaux et pas un nom existant dans un dictionnaire.

Pensez vous que je doive réinstaller DSM 5.0 ou bien est il préférable d'attendre les consignes de Synology ?

Dans ce genre de situation, la dernière chose à perdre, c'est son calme.

Si syno recommande d'éteindre le NAS (et c'est le cas), le mieux est de l'éteindre.

Surtout ne prendre aucune initiative du genre que tu propose ici : upgrade à DSM 5.0 Si ça résolvait le problème, tu penses bien que les gars de Synology d'empresserait de le communiquer !

Donc, le mieux : tu éteins le NAS, tu te rends sur le page recommandée, tu suis les instructions et tu attends une réponse.

Lien vers le commentaire
Partager sur d’autres sites

Depuis quand ? Bien sur qu'il y a des executables sous Linux: binaires et scripts

Je parle du code assembleur de l'exe, la cle n'y est surement pas mais on doit pouvoir en tirer des infos.

La vitesse de traitement me semble un peu trop rapide pour qu'une reelle encryption est ete effectuee, j'opterais plutot pour la generation d'une fausse entete et quelques autres traitements simples.

Si les fichiers sont vraiment cryptés alors oui c'est une bonne solution (meilleure que laisser tourner un dechiffrement pendant des annees)

@gchabi:

Ton NAS n'est pas encore eteint ??? Si tu ne veux pas que le Synolocker finisse sont travail il va falloir au moins l'éteindre...

Sinon As-tu ce que je t'ai demande plus haut ? Un petit fichier en double, crypté et pas crypté.

Je t'ai envoyé un message privé, j'ai effectivement les deux fichiers mais il me faut ton email pour t'envoyer des pièces jointes.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.