[Piratage] - Ransomware

[formath]

Hello à tous,

 

je ne sais pas si ma question est au bon endroit, la déplacer si besoin.

Je n'ai pas trouvé d'info au sujet de ce qui m’amène.

Un amis qui a un syno (DS-916+) vient de subir une attaque. les fichiers sont remplacés par un fichier .txt

 

" All your data has been locked(crypted).
How to unclock(decrypt) instruction located in this TOR website: http://qkqkro6buaqoocv4.onion/order/17a43s4fFvnoNKrwZJvcxzTm8E6BDsckUA
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

"

 

Bref, sur le coup c’est plus un exercice de style pour voir s'il est possible de récupérer quelque chose. Les données ne sont pas importantes sur ce nas, le formatage règlera le soucis.

Est ce que vous avez déjà eu ce genre de mésaventure? Comment avez-vous réglé le soucis?

Je vais renforcer les règles de sécurité sur son accès nas pour éviter que ca se reproduise.

 

Merci d'avance 🙂

Math.

 

 

[niklos0]

Hmmm, ne s'agit-il pas de ce que les gendarmes ont démantelé récemment ?

J'ai cru comprendre qu'ils s'occupaient aussi du déblocage des données (de ce que j'ai compris du JT du moins) ce qui semble un peu curieux au demeurant. Pourquoi ne pas attendre une semaine et voir si c'est bien le cas ?

Sinon, je doute que tu puisses récupérer quoique ce soit par toi même !

[formath]

je ne suis pas sur que c'était de ce type... je pense plutot à des bot en brute force pour cracker les pass et apres mise en place du cryptage des data avec lien pour payer sur le réseau TOR.

 

bref, pas plus de mal que ca, le nas est en phase de réinstallation, et je vais lui durcir les accès avec VPN et keycode via smartphone... ca devrait suffir ;)

 

merci d'avoir pris le temps de répondre.

 

mathieu.

[unPixel]

Citation

Est ce que vous avez déjà eu ce genre de mésaventure? Comment avez-vous réglé le soucis?

Bonjour,

Le soucis se situe surtout entre la chaise et le clavier 🙄

Oui le soucis a déjà été rencontré ici mais toujours pareil, le soucis se situe là ou je l'ai dit et ce n'est pas une faille côté Synology.

Citation

bref, pas plus de mal que ca, le nas est en phase de réinstallation, et je vais lui durcir les accès avec VPN et keycode via smartphone... ca devrait suffir 😉

Ça aurait déjà du être fait depuis le début...

Citation

je ne suis pas sur que c'était de ce type... je pense plutot à des bot en brute force pour cracker les pass et apres mise en place du cryptage des data avec lien pour payer sur le réseau TOR.

Si en plus il n'y a pas de fail2ban de mit en place...

Tu as regardé le centre de journaux ce qu'il disait ?

Ça devrait te dire qui a fait quoi et par quel protocole ?

Il n'a pas rencontré de soucis avec un ordinateur qui aurait été vérolé ainsi que les périphériques réseaux enregistrés sur l'ordinateur avec droits en écriture ?

 

Bref, à faire absolument :

- Fail2ban

- Double authentification

- Mot de passe fort

- Désactivation du compte "admin".

- Sauvegarde sûre

- Limitation dans l'ouverture des ports

- VPN si possible

Modifié le 29 août 2019 par Zeus

[formath]

Salut,

 

le Fail2ban était actif, le mot de passe sans doute trop faible, pas de données critiques juste une surveillance station qui tournait dessus... ports limités au mini sur le nas...

 

Merci pour les conseils en tous cas.

math

[unPixel]

As-tu regardé ces logs afin de trouver la source ? C'est ça qui serait important de connaître pour éviter les futurs désagréments.

Parce que si il a attrapé comme je le pense un rançonware sur un ordinateur, alors tu pourras toujours mettre le plus de sécurité possibles sur le NAS, à partir du moment ou il y aura un accès réseau d'ouvert en écriture sur l'ordinateur, le soucis pourra se reproduire !