Aller au contenu

Important - Synology Corrige Une Faille De S


Messages recommandés

Posté(e)

Au passage, vérifiez qu'il n'y ait pas de processus nommé synosync en cours d'exécution (responsable du cryptage sauvage).

Ce n'est pas sûr du tout.

Pour décrypter les données il faudra déjà trouver la clé, et là je vous souhaite bonne chance car ça m'étonnerait que Synology apporte son aide.

Je viens de vérifier: pas de processus synosync qui tourne... il a dû être éliminé à l'installation du DSM 5...

Posté(e)

Je me trompe où dans le cas d'un chiffrement symétrique pour lequel on connait la valeur chiffrée, la valeur déchiffrée et l'algorithme, on devrait pouvoir retrouver la clé ?

En tout cas je travaille dans un milieu où on fait pas mal de crypto (mais pas moi-même). Si quelqu'un, victime du Synolocker, me fournit un fichier chiffré et sa version déchiffrée, je peux regarder ça.

Posté(e)

Je me trompe où dans le cas d'un chiffrement symétrique pour lequel on connait la valeur chiffrée, la valeur déchiffrée et l'algorithme, on devrait pouvoir retrouver la clé ?

En tout cas je travaille dans un milieu où on fait pas mal de crypto (mais pas moi-même). Si quelqu'un, victime du Synolocker, me fournit un fichier chiffré et sa version déchiffrée, je peux regarder ça.

Et l'algorithme ce trouvant dans /etc/synolock

Mais bon je trouve marrant de voir que personne ne l'est encore extrait et diffusé >.>

Une simple équation au final

Posté(e)

Je me trompe où dans le cas d'un chiffrement symétrique pour lequel on connait la valeur chiffrée, la valeur déchiffrée et l'algorithme, on devrait pouvoir retrouver la clé ?

En tout cas je travaille dans un milieu où on fait pas mal de crypto (mais pas moi-même). Si quelqu'un, victime du Synolocker, me fournit un fichier chiffré et sa version déchiffrée, je peux regarder ça.

Bonjour,

Je viens te t'envoyer sur ton compte hotmail une photo crypté et l'originale, en espérant que tu trouve le truc pour décrypter.

Merci pour ton aide

Posté(e)

Bonjour,

Suite à tout les problèmes, j'ai fermé tous les ports sur ma box et j'accède à mon NAS depuis l'extérieur seulement avec le VPN.

J'ai aussi changé le port 5000 et 5001 mais depuis que je l'ai changé je n'arrive plus à accéder à d'autres services comme DS Video (en local). Comment je peux faire marché DS Video avec d'autres ports ?

Merci,

Posté(e)

Bonjour,

Suite à tout les problèmes, j'ai fermé tous les ports sur ma box et j'accède à mon NAS depuis l'extérieur seulement avec le VPN.

J'ai aussi changé le port 5000 et 5001 mais depuis que je l'ai changé je n'arrive plus à accéder à d'autres services comme DS Video (en local). Comment je peux faire marché DS Video avec d'autres ports ?

Merci,

Dans le premier des champs, après l'adresse tu rajoute le port => IP:PORT

Posté(e)

J'ai enfin reçu la réponse des services Syno et en clair, on ne peut récupérer les fichiers déjà cryptés car ils ne cherchent pas là clé de déchiffrement donc, il sont soit perdu à jamais, soit on doit nous même faire le déchiffrement chose super facile pour le commun des mortels quoi !!!!

Je vous mes en copie la réponse de syno pour ce qui souhaiterai suivre les procédés des manipulations qu'ils proposent.

Je suis de plus en plus prête à essayer de payer la rançon pour récupérer mes données, le hic est que la procédure me parait complexe et je ne suis pas sure de faire correctement. <_<

Thank you for contacting us. We appreciate your continued patience and support during this time.

According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:
1. Follow the steps in this tutorial to reset your DiskStation:
2. The latest version of DSM can be downloaded from our Download Center here:
3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume.
4. Restore your backup data to the new volume.
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it.
If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
1. Power off DS and take out all hard drive.
2. Power on DS without hard drives.
3. Run Synology Assistant and perform the installation using the following DSM patch below:
4. Using this method, the installation will appear to fail, but Telnet service shall be open.
5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information:
*Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application:
*The WAN IP address of your DiskStation (Please go to to find your IP address and check whether or not port 23 is open)
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.
Sincerely,
Kirby Liu
Posté(e)

Je comprend que c'est agaçant.
mais il est vrai que Synology n'est pas obligé de déchiffrer les fichier cryptés, même si on peut considérer ca comme un geste commercial sympa.

Encore que:

Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data,

laisse planer un espoir pour ceux qui ont été victime du ransomware.
Peut être vont ils tenter le coup malgrés tout!
Ce qui est sur c'est qu'avoir les deux versions du même fichier (la version cryptée et la non cryptée) pourrais aider a trouver la clé de cryptage, je sais qu'il existe des logiciels de décryptages qui savent le faire.
Avec de la chance, un des technoCador de la communauté voudra bien se dévouer.
Ou alors, un gars des services nouvelles techno de la police plein de bonne volonté, ils ont des moulinettes très performantes dans le domaine.

bonne chance quoi qu'il en soit.

Posté(e)

Ils ont absolument aucune obligation de déchiffrer et encore moins de demander à leurs équipes de plancher dessus... C'est tout simplement pas leur boulot. :(

Ils avaient fourni la solution avant: MAJ de sécurité. ça c'était leur taff.

C'est plus côté anti-virus ou pare-feu à la limite, je ne sais pas comment ça marche... :wacko:

Posté(e)

J'ai enfin reçu la réponse des services Syno et en clair, on ne peut récupérer les fichiers déjà cryptés car ils ne cherchent pas là clé de déchiffrement donc, il sont soit perdu à jamais, soit on doit nous même faire le déchiffrement chose super facile pour le commun des mortels quoi !!!!

Je vous mes en copie la réponse de syno pour ce qui souhaiterai suivre les procédés des manipulations qu'ils proposent.

Je suis de plus en plus prête à essayer de payer la rançon pour récupérer mes données, le hic est que la procédure me parait complexe et je ne suis pas sure de faire correctement. <_<

Si tu comptes vraiment payer la rançon alors tu ne dois pas suivre les procedures de Synology avant que tes fichiers n'aient été décryptés.

Posté(e)

Ils ont absolument aucune obligation de déchiffrer et encore moins de demander à leurs équipes de plancher dessus... C'est tout simplement pas leur boulot. :(

Ils avaient fourni la solution avant: MAJ de sécurité. ça c'était leur taff.

C'est plus côté anti-virus ou pare-feu à la limite, je ne sais pas comment ça marche... :wacko:

Pare-feu ou antivirus n'auraient rien pu faire de plus, la seule chose qui aurait pu empêcher ça c'est la mise à jour du DSM vers une version où la faille avait été comblée.

Cette catastrophe aura eu un impact positif: un aspect éducatif concernant l'importance des mises à jour et des sauvegardes, même si je suis de tout cœur avec ceux qui ont perdu des données à cause de cette attaque, m'étant moi même fait avoir au tout début de mon aventure dans le monde des NAS il y a quelques années.

Perso, ce qui m'inquiète c'est pour les gens qui n'ont pas la possibilité de faire une mise à jour vers une version sure du fait de l'abandon du support de Synology sur d'anciens modèles.

Posté(e) (modifié)

Les anciens modèles n'ont rien à craindre, les versions 3.x du DSM ne sont pas impactées par ce problème.
(vu dans une réponse officielle de Synology sur un des sujets concernant la faille, mais je ne sais plus où).

edit:

Sur le site officiel en fait : http://www.synology.com/en-global/company/news/article/472

  • DSM 4.3-3827 or later
  • DSM 4.2-3243 or later
  • DSM 4.0-2259 or later
  • DSM 3.x or earlier is not affected
Modifié par PiwiLAbruti
Posté(e)

Les anciens modèles n'ont rien à craindre, les versions 3.x du DSM ne sont pas impactées par ce problème.

(vu dans une réponse officielle de Synology sur un des sujets concernant la faille, mais je ne sais plus où).

Merci Piwi, excellente nouvelle ! J'ai dû passer à côté de la réponse.

Posté(e) (modifié)

Merci Piwi, excellente nouvelle ! J'ai dû passer à côté de la réponse.

Les anciens modèles n'ont rien à craindre, les versions 3.x du DSM ne sont pas impactées par ce problème.

(vu dans une réponse officielle de Synology sur un des sujets concernant la faille, mais je ne sais plus où).

edit:

Sur le site officiel en fait : http://www.synology.com/en-global/company/news/article/472

Yahouuuuuuuuuuuuuuuuuu

EDIT : ayant un Syno 207+, je réfléchis maintenant à la conduite à tenir pour retrouver les fonctionnalités que j'ai "perdu" en l'isolant d'Internet par précaution.

En pratique, je veux pouvoir a minima pouvoir utiliser la Photo Station et la FileStation depuis Internet ainsi que DS Photo+ et DS File depuis mon smartphone.

En première analyse, j'aurais besoin seulement des ports 443, 5006, 5001 et 7001.

Si c'est bien cela, il suffit que sur ma box je route 4 ports exotiques (11111 par exemple) vers les 4 ports précités et que j'accepte les 4 ports précités dans mes règles de firewall avec pour source l'adresse IP interne (en 192.168.x.y) de ma box

Est-ce que cela est bien la bonne solution ? est-ce suffisant pour être serein ?

En complément, je m'interroge aussi sur le mise en place des fonctionnalités reverse proxy de Apache pour mieux se cacher d'internet (créant une adresse mafilestation.mondomaine.fr et maphotostation.mondomaine.fr)

Effet de bord du port 5001 (utile pour Photo Station), la page d'admin serait accessible

Merci pour vos conseils !

Modifié par mlelorra
Posté(e)

J'ai enfin reçu la réponse des services Syno et en clair, on ne peut récupérer les fichiers déjà cryptés car ils ne cherchent pas là clé de déchiffrement donc, il sont soit perdu à jamais, soit on doit nous même faire le déchiffrement chose super facile pour le commun des mortels quoi !!!!

Je vous mes en copie la réponse de syno pour ce qui souhaiterai suivre les procédés des manipulations qu'ils proposent.

Je suis de plus en plus prête à essayer de payer la rançon pour récupérer mes données, le hic est que la procédure me parait complexe et je ne suis pas sure de faire correctement. <_<

J'ai reçu le même email que toi et je suis pas convaincu que Synology cherche a décrypter les données.

Néanmoins, il te demande de données des infos pourqu'il les transmettent au FBI ! Une enquêtes est donc en cours, s'il mettent la main sur les serveurs les clés seront publié et donc on pourra déchiffrer !

J'ai peur dune chose, que l'attaque des mecs soit restreint dans le temps pour limiter leurs expositions et donc a se faire prendre, leur aide après avoir payé sera pas éternel !

Une partie de moi même veut payer mais je sais pas si cela en vaut vraiment la peine. J'ai perdu ma musique, certains docs dont je pense éventuellement pouvoir les refaire, quelques docs d'informatique ( je suis du métier), et surtout une bonne partie des photos ce qui me fait le plus chier dans l'histoire.

Je vais attendre ce weekend voir si les choses bougent pour me décider surtout que le compteur temps tourne avant que la rançons double (vrai ou pas allez savoir).

Je peux fournir une photo originale et la même cryptés si cela peut aider.

Article intéressant d'un mec en suisse qui a payer, le plus fort c'est qu'il dit avoir reçus un bon support des hacker pour l'aider dans le décryptage, meilleur que celui de Syno !

En même temps aider les gens est facile pour eux car ils sont ceux qui ont mis au point cette merde ...

http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

Posté(e)

Oui m'enfin facile de jouer la comédie pour motivé les gens au paiement je trouve, les faux avis sur les sites, on connais tous :/

Pour moi le FBI atteindra son but. D'ici la fin de l'année les fichiers cryptés seront decryptable a coup sur

Posté(e) (modifié)

J'ai reçu le même email que toi et je suis pas convaincu que Synology cherche a décrypter les données.

Néanmoins, il te demande de données des infos pourqu'il les transmettent au FBI ! Une enquêtes est donc en cours, s'il mettent la main sur les serveurs les clés seront publié et donc on pourra déchiffrer !

J'ai peur dune chose, que l'attaque des mecs soit restreint dans le temps pour limiter leurs expositions et donc a se faire prendre, leur aide après avoir payé sera pas éternel !

Une partie de moi même veut payer mais je sais pas si cela en vaut vraiment la peine. J'ai perdu ma musique, certains docs dont je pense éventuellement pouvoir les refaire, quelques docs d'informatique ( je suis du métier), et surtout une bonne partie des photos ce qui me fait le plus chier dans l'histoire.

Je vais attendre ce weekend voir si les choses bougent pour me décider surtout que le compteur temps tourne avant que la rançons double (vrai ou pas allez savoir).

Je peux fournir une photo originale et la même cryptés si cela peut aider.

Article intéressant d'un mec en suisse qui a payer, le plus fort c'est qu'il dit avoir reçus un bon support des hacker pour l'aider dans le décryptage, meilleur que celui de Syno !

En même temps aider les gens est facile pour eux car ils sont ceux qui ont mis au point cette merde ...

http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

J'ai essayé de cliquer sur le lien support mais la page qui s'affiche ne reste visible que quelques secondes et ne donne pas vraiment d'indices.

Je me tâte de plus en plus de payer, surtout quand je vois que les utilisateurs qui ont été piratés en décembre et ont payé ont bel et bien reçus la clé, le hic est que j'ai vraiment du mal à comprendre la procédure d'achat du bitcoin et la suite c'est pire. Je n'ai pas de grande connaissance en informatique et ne parlons pas de l'anglais que je parle et lis comme une vache espagnole. -_-'

J'ai encore 2 jours pour y réfléchir.

Modifié par Kentama
Posté(e)

Bonjour,

J'ai poser la question suivante au Support Synology :

- Si je suis la methode de RESET (procédure qui permet de supprimer l'OS DSM 4.3 et de le réinstaller en 5.0) afin de remettre le NAS en fonction est ce que je perds la possibilité dans le futur de décrypter mes données ?

La reponse du support est la suivante :

- OUI, les fichiers cryptés ne sont plus récupérables

Pourquoi ?

Car ton système infecté comprend le dossier /etc/synolock ou est stocké le virus : Il contient l'algorithme pour le cryptage des données avec ta clés public.

Réinstaller le système supprimera ce dossier.

Question ton NAS est entièrement cryptés ou partiellement ?

J'ai vue que tu as des soucis avec l'anglais et la procédure, tu connais personnes de ton entourage qui pourrait t'aider ?

Y'a des forums et des tutos sur le net pour acheter des Bitcoin regarde.

Perso, je pense pas payé au final, je vais estimer mes pertes en photos et surement considérer le reste comme perdues a jamais.

Courage

Posté(e)

A propos!

pour ceux qui ont été touché, en dehors de toutes les considérations techniques, Synolocker constitue un délit.
si vous le sentez, ne vous privez pas d'aller déposer plainte pour tentative d'extorsion de fonds, surtout pour ceux qui ont un usage pro de leur NAS,

Posté(e)

Pour info j'ai payé car je considère que mes photos et autres données valaient le coup, j'ai bien reçu la clé de décryptage une heure après le versement, j'ai eu quelque soucis pour que le décryptage se lance, mais après avoir réussi à comprendre comment contacter le "support" j'ai eu une aide très rapide et réactive, bien utile et des conseils pour plus tard.

Là le décryptage est en cours depuis hier soir, les docs déjà décryptés s'ouvrent bien et je peux à nouveau aller sur l'interface du syno, enfin, me reste plus cas trouver pourquoi j'ai le message suivant "le système se prépare.Connectez-vous ultérieurement" et ce depuis plus de 3 mois, car sinon je n'arriverai jamais à passer à la version DSM 5.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.