Aller au contenu

Synolocker


Einsteinium

Messages recommandés

Des cyber criminels ont mis au point un clone du tristement célèbre Cryptolocker afin de racketter les possesseurs de Synology (et NAS alternatifs sous XPenology). Baptisé SynoLocker (vous apprécierez le symbole "marque déposée"), ce cheval de Troie entreprend de chiffre un par un tous les fichiers présents sur les disques de votre NAS.

Comment savoir si vous êtes infectés ? Vous aurez la page suivante en tentant d'accéder a l'interface web de votre synology :

1408031247d9b3ec75ee28c3b2.jpg

En cas d'infection : Débranchez physiquement votre DiskStation afin d'éviter d'autres problèmes. Contactez le support de Synology dès que possible via ce formulaire ou bien par e-mail à security@Synology.com

@ K-5 : (04 août - 09:13 )Bonjour,

Voila déjà une solution pour ceux qui sont infectés par Synolocker pour reprendre la main sur votre NAS, après, les fichiers qui ont été encryptés le seront encore :

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751

1. Arrêtez le NAS

2. Retirez tous les disques durs du NAS

3. Trouver un disque dur de rechange que vous n'utilisez pas et l'insérer dans le NAS

4. Utiliser le Synology Assistant pour trouver le NAS et installer le dernier DSM sur ce disque dur de rechange (utiliser la dernière DSM_file.pat de Synology)

5. Lorsque le DSM fonctionne parfaitement sur ​​ce disque dur de secours, arrêtez le NAS de l'interface web.

6. Retirez le disque de rechange et insérer tous vos disques originaux.

7. Mettez le NAS en marche et attendre patiemment. Si tout va bien, après environ une minute, vous entendrez un long bip et le NAS sera démarrer.

8. Utiliser Synology Assistant pour trouver le NAS. Il devrait maintenant être visible avec le statut "migrable".

9. Du Synology Assistant choisir d'installer DSM sur le NAS, utiliser le même fichier que vous avez utilisé à l'étape 4 et spécifier le même nom et l'adresse IP comme il était avant l'accident.

10. Parce que le NAS est reconnu comme "migrable", l'installation DSM ne va pas effacer les données de la partition système, ni de la partition de données.

11. Après quelques minutes, l'installation se terminera et vous serez en mesure de vous connectez à votre NAS avec vos pouvoirs originaux.

AVIS IMPORTANT

Nous vous conseillons de temporairement :

Retirer votre NAS Synology de la zone DMZ

Modifier les ports DSM (5000/5001)

Fermer l'accès à TELNET 23 et SSH 22

Fermer Web Station port 443 / 80

Fermer l'accès FTP port 21

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays

Activer le blocage automatique des IP's

Utiliser le serveur VPN et fermer l'accès externe à votre NAS.

Prévention en attendant plus d'informations de la part de Synology.

Topics forum Officiel :

https://forum.synology.com/enu/viewtopic.php?f=3&t=88716

https://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Topic forum Allemand :

http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker

Source : http://korben.info/synolocker.html

Source : http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/

Modifié par Einsteinium
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Le problème semble important, il est urgent de signaler à la communauté de désactiver le port 5000 des routeurs et tout accès au web de votre Syno.

D'ailleurs, pourquoi poster ça dans le bar ? Ca mérite largement d'être dans les news. :)

Lien vers le commentaire
Partager sur d’autres sites

Enfin ouvrir le port tcp/5000 sur son routeur c'est déjà une faille en soi, mais rien ne dit que la faille n'est pas exploitable en HTTPS via le port tcp/5001.

Étant donné que l'origine de la faille n'a pas été identifiée, je recommanderais de fermer au moins les ports suivants tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).

Pour continuer à accéder au DSM à distance, il sera préférable d'utiliser VPN Server pour vous connecter à votre NAS.

Ayant constaté pas mal de scan de port tcp/5000 à mon travail, il y a de grandes chances que la faille ait été exploitée directement sur DSM.

Lien vers le commentaire
Partager sur d’autres sites

Par sécurité, j'ai bloqué les connexions en provenances de Chine et des proxy anonymes. J'ai également arrêter le service TELNET.

Arrêter complètement le NAS n'est pas possible en raison du nombre de clients que j'ai par contre, ça serait un gros problème si le virus venait quand même à passer.

Le Brute Force sur le TELNET est peut-être le début, le virus recherche le mot de passe et ensuite se connecte sur DSM. On attend un communiqué officiel de la part de Synology pour en savoir plus.

Lien vers le commentaire
Partager sur d’autres sites

Salut @ tous B)

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça .... :wacko:

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy :P

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

Lien vers le commentaire
Partager sur d’autres sites

Salut @ tous B)

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça .... :wacko:

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy :P

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

Bon moi je fais simple.... Syno fera dodo en attendant une solution... trop de risque...

Comment fait on pour bloquer le sip chinoise etc ? Qq'un peut il me donner l'info ?

Merci !

D'un autre topic venant de coolraoul :

iO0xJmd.png

Sauf que tu choisis région et sélectionne les pays que tu veux.

Modifié par Einsteinium
Lien vers le commentaire
Partager sur d’autres sites

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

D'un autre topic venant de coolraoul :

iO0xJmd.png

Sauf que tu choisis région et sélectionne les pays que tu veux.

Le plus simple, je pense, reste de faire l'inverse, whitelister seulement les pays souhaites.

Lien vers le commentaire
Partager sur d’autres sites

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Bonjour Ce matin mauvaise surprise sur 3 syno 1 est infecté! Vraiment dégoûté! Est ce que l'un d'entre vous à testé la manip fourni par syno ? Avec succès ?

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Modifié par Einsteinium
Lien vers le commentaire
Partager sur d’autres sites

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Il n'en est pas à son premier méfait ce chinois-la

http://www.abuseipdb.com/report-history/61.144.43.235

(sans doute une IP dynamique, donc pas forcément toujours le même gus à la manœuvre)

Lien vers le commentaire
Partager sur d’autres sites

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Ds1812+ raid5+raid1 je ne connais pas la version dsm, la dernière MA a été faite après heartbleed. Port ouvert :5000.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.