Synolocker

[Einsteinium]

Des cyber criminels ont mis au point un clone du tristement célèbre Cryptolocker afin de racketter les possesseurs de Synology (et NAS alternatifs sous XPenology). Baptisé SynoLocker (vous apprécierez le symbole "marque déposée"), ce cheval de Troie entreprend de chiffre un par un tous les fichiers présents sur les disques de votre NAS.

Comment savoir si vous êtes infectés ? Vous aurez la page suivante en tentant d'accéder a l'interface web de votre synology :

En cas d'infection : Débranchez physiquement votre DiskStation afin d'éviter d'autres problèmes. Contactez le support de Synology dès que possible via ce formulaire ou bien par e-mail à security@Synology.com

@ K-5 : (04 août - 09:13 )Bonjour,

Voila déjà une solution pour ceux qui sont infectés par Synolocker pour reprendre la main sur votre NAS, après, les fichiers qui ont été encryptés le seront encore :

http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751

1. Arrêtez le NAS

2. Retirez tous les disques durs du NAS

3. Trouver un disque dur de rechange que vous n'utilisez pas et l'insérer dans le NAS

4. Utiliser le Synology Assistant pour trouver le NAS et installer le dernier DSM sur ce disque dur de rechange (utiliser la dernière DSM_file.pat de Synology)

5. Lorsque le DSM fonctionne parfaitement sur ​​ce disque dur de secours, arrêtez le NAS de l'interface web.

6. Retirez le disque de rechange et insérer tous vos disques originaux.

7. Mettez le NAS en marche et attendre patiemment. Si tout va bien, après environ une minute, vous entendrez un long bip et le NAS sera démarrer.

8. Utiliser Synology Assistant pour trouver le NAS. Il devrait maintenant être visible avec le statut "migrable".

9. Du Synology Assistant choisir d'installer DSM sur le NAS, utiliser le même fichier que vous avez utilisé à l'étape 4 et spécifier le même nom et l'adresse IP comme il était avant l'accident.

10. Parce que le NAS est reconnu comme "migrable", l'installation DSM ne va pas effacer les données de la partition système, ni de la partition de données.

11. Après quelques minutes, l'installation se terminera et vous serez en mesure de vous connectez à votre NAS avec vos pouvoirs originaux.

AVIS IMPORTANT

Nous vous conseillons de temporairement :

Retirer votre NAS Synology de la zone DMZ

Modifier les ports DSM (5000/5001)

Fermer l'accès à TELNET 23 et SSH 22

Fermer Web Station port 443 /

Fermer l'accès FTP port 21

Modifier le pare-feu afin qu'il n'accepte les connexions que depuis votre Pays

Activer le blocage automatique des IP's

Utiliser le serveur VPN et fermer l'accès externe à votre NAS.

Prévention en attendant plus d'informations de la part de Synology.

Topics forum Officiel :

https://forum.synology.com/enu/viewtopic.php?f=3&t=88716

https://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Topic forum Allemand :

http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker

Source : http://korben.info/synolocker.html

Source : http://www.cso.com.au/article/551527/synolocker_demands_0_6_bitcoin_decrypt_synology_nas_devices/

Modifié le 5 août 2014 par Einsteinium

[K-5]

Bonjour,

Le problème semble important, il est urgent de signaler à la communauté de désactiver le port 5000 des routeurs et tout accès au web de votre Syno.

D'ailleurs, pourquoi poster ça dans le bar ? Ca mérite largement d'être dans les news.

[Einsteinium]

Je n'ai pas les droits pour la section news malheureusement =)

Oui encore une sacrée faille, l'on devient des cibles de choix :/

Modifié le 4 août 2014 par Einsteinium

[kenny61]

Bonjour,

Doit-on à votre avis seulement bloquer le Port 5000 ou également tous les ports externes que l'on a pu ouvrir pour accéder à notre NAS ? Je pense à Music Station, Photo, Video ... Qui fonctionne sur des ports différents ... Merci.

[Einsteinium]

Oui mieux vaut couper les vannes en attendant de savoir comment cette faille est exploitée

[K-5]

Coupe tout, comme dit Einsteinium, c'est très frais, et avant de trouver une parade, si elle existe, mieux vaut se prémunir.

[PiwiLAbruti]

Enfin ouvrir le port tcp/5000 sur son routeur c'est déjà une faille en soi, mais rien ne dit que la faille n'est pas exploitable en HTTPS via le port tcp/5001.

Étant donné que l'origine de la faille n'a pas été identifiée, je recommanderais de fermer au moins les ports suivants tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).

Pour continuer à accéder au DSM à distance, il sera préférable d'utiliser VPN Server pour vous connecter à votre NAS.

Ayant constaté pas mal de scan de port tcp/5000 à mon travail, il y a de grandes chances que la faille ait été exploitée directement sur DSM.

[rodo37]

Personnellement je suis bombardé sur le port 23, j'ai une moyenne de 30 IP bloquées par jour depuis le 2 Août !

[Einsteinium]

Personnellement je suis bombardé sur le port 23, j'ai une moyenne de 30 IP bloquées par jour depuis le 2 Août !

Effectivement sur les forum allemand et chinois/japonais pas mal de monde à ce problème, cela semble être un simple brute force du compte admin...

[rodo37]

Par sécurité, j'ai bloqué les connexions en provenances de Chine et des proxy anonymes. J'ai également arrêter le service TELNET.

Arrêter complètement le NAS n'est pas possible en raison du nombre de clients que j'ai par contre, ça serait un gros problème si le virus venait quand même à passer.

Le Brute Force sur le TELNET est peut-être le début, le virus recherche le mot de passe et ensuite se connecte sur DSM. On attend un communiqué officiel de la part de Synology pour en savoir plus.

[Einsteinium]

Pas de soucis, mon post étant en première ligne, au besoin vous pouvez le modifier sans soucis.

[CoolRaoul]

Par sécurité, j'ai bloqué les connexions en provenances de Chine et des proxy anonymes.

Peux-tu dire comment se met en place le second blocage?**

**edit**

c'est bon: trouvé

Modifié le 4 août 2014 par CoolRaoul

[sapique]

En espérant que syno fasse le nécessaire très rapidement !

Putain de bot de troie !

Font chié les kikoolol

[Bzhgringo]

Salut @ tous

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça ....

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

[baubau]

Bon moi je fais simple.... Syno fera dodo en attendant une solution... trop de risque...

Comment fait on pour bloquer le sip chinoise etc ? Qq'un peut il me donner l'info ?

Merci !

Modifié le 4 août 2014 par baubau

[Bzhgringo]

Pour bloquer les IP douteuses : menu principal,panneau de config,sécurité,pare-feu,créer,ip source ---> région, et choisir les pays "indésirables ... ne pas oublier de sauvegarder

[Einsteinium]

Salut @ tous

je viens juste de me lever et de boire mon café ... je lis les news sur ma tablette quand je vois ça ....

je file vite me connecter à mon DS214Se .... ouf c'est bon no soucy

vérification : accès telnet désactivé .... IP douteuses ( Chne ... etc .. ) bloquéés ^^

concernant les ports 5000 & 5001, c'est bien via DSM qu'on doit les bloquer : panneau de config,sécurité,pare-feu, créer,liste d'applis, et tout en bas les 2 ports 5000&5001 conrrespondant au protocole DSM ... ?

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

Bon moi je fais simple.... Syno fera dodo en attendant une solution... trop de risque...

Comment fait on pour bloquer le sip chinoise etc ? Qq'un peut il me donner l'info ?

Merci !

D'un autre topic venant de coolraoul :

Sauf que tu choisis région et sélectionne les pays que tu veux.

Modifié le 4 août 2014 par Einsteinium

[Bzhgringo]

C'est bien ce que je pensais ^^

par contre , sur ma Livebox 3, je ne vois pas trop où bloquer les port

-EDIT-

c'est bon j'ai trouvé, config avancée,config pare-feu,personnaliser, et là, ajouter la nouvelle règle

Modifié le 4 août 2014 par Bzhgringo

[blondophile]

Bonjour Ce matin mauvaise surprise sur 3 syno 1 est infecté! Vraiment dégoûté! Est ce que l'un d'entre vous à testé la manip fourni par syno ? Avec succès ?

[Buffer_Error]

Non si tu les bloques dans le dsm. Tu te bloque toi même l'accès, c'est dans le pare feu de ta box qui faut les désactivés

D'un autre topic venant de coolraoul :

Sauf que tu choisis région et sélectionne les pays que tu veux.

Le plus simple, je pense, reste de faire l'inverse, whitelister seulement les pays souhaites.

[thelimp]

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

[Einsteinium]

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Bonjour Ce matin mauvaise surprise sur 3 syno 1 est infecté! Vraiment dégoûté! Est ce que l'un d'entre vous à testé la manip fourni par syno ? Avec succès ?

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Modifié le 4 août 2014 par Einsteinium

[CoolRaoul]

Je confirme, je suis victime d'attaque via SSH depuis quelques jours, voici mon log de connexion :

Il n'en est pas à son premier méfait ce chinois-la

http://www.abuseipdb.com/report-history/61.144.43.235

(sans doute une IP dynamique, donc pas forcément toujours le même gus à la manœuvre)

[PiwiLAbruti]

Certains vont tout à coup comprendre la différence entre RAID et sauvegarde...

Quoi qu'il puisse se passer sur le NAS, mon disque de sauvegarde USB au fond du tiroir se porte à merveille.

[blondophile]

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Ds1812+ raid5+raid1 je ne connais pas la version dsm, la dernière MA a été faite après heartbleed. Port ouvert :5000.