Plusieurs utilisateurs de NAS Synology indiquent avoir été victimes d'un pirate doublé d'un maître chanteur. En effet, ce dernier prend possession de leur NAS, en chiffre les données et leur demande ensuite 0,6 bitcoin afin d'obtenir la clé permettant de les récupérer. Contacté par nos soins, Synology confirme le problème et évoque un « problème de sécurité ».
SynoLocker : données chiffrées, demande de rançon pour les récupérer
Synology est certainement le constructeur de NAS le plus prolixe en matière de mises à jour pour ses NAS, mais cela n'est visiblement pas toujours suffisant. En effet, que ce soit sur Twitter ou bien via le forum officiel du fabricant, plusieurs utilisateurs indiquent depuis peu être dans la tourmente à cause d'un logiciel malveillant : SynoLocker. Un nom tout droit inspiré du tristement célèbre CryptoLocker.
Sans que l'on sache exactement comment, un pirate prend possession d'un NAS Synology et en chiffre petit à petit les données, vous empêchant ainsi d'y accéder. Dans le même temps, la page d'administration du DSM est remplacée par un lien sur le réseau Tor, renvoyant vers une demande de rançon.
Lovely. My @Synology NAS has been hacked by ransomware calling itself Synolocker. Not what I wanted to do today. pic.twitter.com/YJ1VLeKqfY
— Mike Evangelist (@MikeEvangelist) 3 Août 2014
Le pirate se transforme alors en maître chanteur et vous demande 0,6 bitcoin (268 euros environ au cours actuel) en échange de la clé permettant de déchiffrer les données. Si vous ne vous exécutez pas dans un laps de temps donné, il est précisé que le montant sera doublé. Problème, sans cette clé il est impossible d'accéder à vos fichiers.
Il est d'ailleurs indiqué qu'il ne faudra payer qu'en bitcoin, probablement afin d'assurer un certain anonymat au pirate. Nous avons regardé les transactions de l'adresse indiquée, celles-ci étant publiques et inscrites dans la chaîne de blocs. Actuellement, aucune transaction n'a été faite et le solde est toujours à 0. Mais il ne pourrait s'agir là que d'un compte parmi d'autres.
Synology confirme et travaille afin de trouver une solution
Contacté par nos soins, Synology nous confirme qu'il s'agit d'un « problème de sécurité » et ajoute que son équipe « est déjà au courant et travaille afin de trouver une solution ». Nous n'avons par contre pas pu obtenir plus de détails pour le moment sur les causes de la faille et la manière de s'en protéger. Concernant les versions du DSM touchées, tous les cas que nous avons recensés et où cette information est connue concernaient la 4.3. Néanmoins, la société ne nous a pas confirmé que le passage à la version 5.0 permettait d'éviter le problème.
En attendant, la prudence est donc de mise et il est recommandé de couper tous les accès extérieurs à votre NAS. Si vous n'êtes pas certains de savoir comment configurer votre réseau local afin d'arriver à ce résultat, le plus simple sera sûrement de le débrancher, au moins le temps que le problème soit clairement identifié et qu'une solution soit trouvée. Comme toujours, n'hésitez pas à nous faire part de vos retours si vous deviez malheureusement être touchés par SynoLocker.
Commentaires (189)
#1
juste quand je vais pour m’acheter un DS 415Play " />" />
Allez Syno, au boulo " />
#2
D’où l’intérêt de faire son propre NAS maison, plus de travail, mais moins de risque (un petit WS Core avec update automatique et roulez jeunesse :p)
#3
Vu le nombre de faille sur les syno (et autres ?) j’ai choisi une solution simple: pas d’accès à distance via internet " /> (ou alors via un vpn, mais pas celui du NAS " />)
#4
J’ai temporairement désactivé toutes les redirections de mon routeur vers mon NAS.
Ça me fait penser qu’il serait pas mal que je pense à prendre une petite machine pour me faire un firewall en front-end pour toutes mes machines.
#5
j’ai une autre solution maison, pas de NAS du tout (-_-)b
#6
#7
#8
#9
Inquiétant " />
Mais rapidité exemplaire de Synology, qui a pour habitude de dégainer plus vite que son ombre pour sortir des correctifs, c’est tout à leur avantage. En espérant que le correctif arrive vite.
Comme je suis en 4.2, j’imagine être touché par le problème. Du coup j’ai changé les ports HTTP et HTTPS et désactivé webstation.
Est-ce que le problème ne serait pas circonscrit à une région particulière ?
Reste à glaner d’éventuels infos sur le post dédié au sujet sur le forum de Synology.
#10
#11
Pour le moment il n’y a que des personnes en DSM 4.3 qui ont été touchées, personne en 5.0.
Dans le doute, les NAS font dodo…
#12
#13
Conclusion :
Le BitCoin sert les opérations illicites, il faut l’encadrer. " />
#14
#15
#16
« problème de sécurité » Oui mais lequel ? Faudrait un peut plus de précision … parceque couper tout les acces exterieur c’est un peut expeditif comme méthode non ?1
#17
#18
#19
#20
sinon, perso je ne payerais pas la rançon, parceque rien ne dis qu’il te donnera la clé… il y a même de bonne chance qu’il te demande plus, parcequ’il sait au moins que tu considères que tes données ont de la valeur …
enfin bon, si pour payer sa rançon il faut installer TOR, et payer en bitcoin, je sais pas si grand monde fera l’effort " />
#21
#22
#23
#24
cela sert preque à rien de regarder dans la blockchain, on peut/doit générer les adresses à la volée avec le client bitcoin, cela arrivera dans le même wallet.
une pour chaque transaction/victime
#25
#26
NAS perso sur des ports non standard et hop. C’est tout le souci d’une marque connue, elle est toujours la cible d’attaques précises.
Sinon, pour un NAS avec des données sensibles le mieux c’est de ne pas lui ouvrir de ports, ou alors à la demande quand on a besoin.
#27
#28
Moi j’ai un NAS en local pour mettre mes données en securité. Allumé quand j’ai besoin.
J’ai jamais compris tout ceux qui fond de l’accès à distance, il travaille jamais au boulot?
#29
#30
#31
#32
#33
#34
Syno ecto gammat? " /> " />" />
#35
#36
#37
#38
#39
Pour être concerné par cette faille, il faut :
Sinon votre NAS n’est pas concerné.
De là à hurler au loup comme certains, il y a quand même de la marge… " />
#40
#41
#42
#43
#44
0,6 bitcoin (268 euros environ au cours actuel)
" /> merci d’avoir spécifié. Je ne suis pas du tout ce genre d’actualité et je ne m’attendais pas à ce que 0.6 puisse faire déjà une somme bien rondelette.
#45
Perso j’ai changé la passerelle et le DNS dans les parametres pour le couper d’internet et continuer de l’utiliser en local " />
#46
Si on écoute pas sur les ports 5000 et 5001 coté routeur, c’est a peu pret safe ?
(PAT 80 -> 5001 pour etre plus précis)
#47
La question est de savoir si les antivirus proposer dans le centre de paquet bloque ce genre de merde ou non ?
Parce que dans ce cas je m’en vais l’installer de ce pas " />
#48
#49
#50
#51
#52
question: est-ce que le système quickconnect de Synology est touché ? (sans aucune redirection de port donc)
#53
#54
Le DS fait dodo pour l’instant en ce qui me concerne du coup.
#55
#56
#57
#58
D’accord avec Kiroha, ne prenons pas de risques ! Par précaution j’ai également désactivé Quickconnect et toutes les redirections de mon routeur vers le NAS. Ca devrait être suffisant pour le moment.
Quelqu’un sait si des utilisateurs français ont été touchés par la faille ?
#59
Aïe…. Mes nouvelles sont diffusées par mon NAS, et je suis en ce moment à 1000 bornes au nord de l’engin…
Au pire, j’ai ma sauvegarde sur mon Thecus, accessible qu’en local et qui n’est pas allumé en permanence.
Pour l’instant,mon 412 reste sain…
#60
J’ai régulièrement des tentatives d’intrusion (« L’adresse IP x.x.x.x a été bloquée par SSH »). J’aimerais bien que Synology ajoute un service permettant de désactiver ces services en définissant une plage horaire (genre 23h/6h car je sais que mon NAS n’a pas à être utilisé à ce moment). D’habitude quand on leur fait des propositions, ils répondent vite, les intègre dans leur roadmap, là je n’ai jamais eu de réponse, je suppose que ce n’est donc pas prévu " /> Dommage car pour moi ces attaques surviennent la plupart du temps la nuit, ça permettrait donc de les limiter.
#61
#62
#63
#64
Mike Evangelist, le gus dont l’un des tweets est cité dans l’article a l’air d’un sacré gagnant à poster des screenshots de son navigateur montrant explicitement qu’il utilise son Synology pour stocker des oeuvres téléchargées illégalement…
#65
#66
#67
#68
Tous les ports ouverts sur mon NAS sont exclusivement réservés à mon réseau local.
Les IP qui ont besoin d’accéder au NAS par Internet sont fixes et les seules autorisées.
Et bien sûr les ports par défaut sont changés autant que possible.
#69
#70
#71
#72
#73
#74
#75
#76
#77
#78
#79
#80
J’ai rien configuré pour accéder le NAS à distance donc ça devrai être bon " />
Pis bon j’ai un backup des données sur un autre HD externe au cas où le feu prendra donc si vraiment hop un format et on recommence la config. S’est chian mais je préfère recommencer que payer ce genre de chameau.
#81
#82
#83
#84
#85
#86
#87
#88
#89
Je regardais justement pour acheter un NAS pour sauvegarder mes données mais du coup, ça fait un peu peur… :)
je profite de cette news pour poser qques questions… :)
À ceux qui disposent d’un NAS pour sauvegarder vos données, couplez-le vous avec autre chose ? j’ai lu que certains avaient également un DD externe stocké ailleurs (parents, etc.) et mis à jour de temps en temps (1 fois l’an par exemple)… ?
Par ailleurs, est-il possible, sur un NAS, de rendre une partie accessible online pour les trucs qui ne craignent rien (musique, film, etc.), et une autre partie uniquement accessible en local, histoire d’éviter tout soucis ?
#90
#91
#92
Ma copine a débranché le câble réseau, et ça restera comme ça jusqu’à la sortie d’un patch.
Je suis bon pour monter une vrai politique de PAT si les attaques se multiplient … le tout avec une livebox >_<.
#93
#94
moi qui voulait acheter un Synology… " />
je crois que je vais faire l’impasse pour un moment
#95
#96
Tant qu’on a pas plus de nouvelles, difficile de savoir où se situe la faille.
Après, il y a des habitudes à avoir que ce soit sur un NAS ou tout autre appareil connecté (un serveur distant par exemple).
Il faut toujours TOUT interdire et n’autoriser que ce qui doit l’être.
Activer les connexions sécurisées au lieu des non sécurisées.
Et bien sûr modifier autant que possible les ports par défaut.
De base il ne faut faire confiance à rien.
#97
#98
#99
Eh beh…
Perso moi ça me fait chier de débourser 400€ pour un NAS Synology…surtout quand j’ai encore du matos à la maison qui traine…
Du coup, pour ceux qui connaissent pas, essayez Xpenology, c’est un projet qui permet d’installer le DSM de Synology sur n’importe quel matos (dont DSM 5).
Du coup j’ai 2 NAS “Synology” qui tournent très bien sur du matos de récup, l’un dédié aux backups de tous les ordis de la maison, l’autre au partage de media.
D’autre part, j’ai un firewall sous pFsense qui tourne sur mon ESX donc mes 2 NAS de données n’ont aucun accès internet de toute façon, c’est strictement local. J’ai par contre un 3ème Xpenology virtuel pour Audio Station pour écouter ma musique au taf dont les seules données (MP3) sont répliquées sur un autre serveur.
‘Fin voila, pour donner 2-3 idées si ça intéresse " />
#100
12h30 moi: Salut, il faut que je fasse un backup immédiatement il y a une faille sur le NASS Synology
12h31 Le Client: A non hein! Pas maintenant ça va encore ralentir tout le réseau pendant une demi heure.
15h30: le client: on arrive plus ouvrir le word et excel qui sont sur le NASS comment ça se fait?
15h31: FACEPALM
15h32 le client: C’est quand même bizarre, tu me dis qu’on risque un problème et on a le problème…
15h33: Double FACEPALM
#101
#102
#103
#104
#105
#106
#107
#108
Ca a l’air d’être une opération d’envergure, quand même… pour qu’on en voie de partout aujourd’hui…
#109
Bon, maintenant, peut-être que les utilisateurs de NAS vont comprendre que ce n’est qu’un maillon de la chaîne de sauvegardes, pas une finalité.
#110
#111
#112
#113
#114
Je ne vois pas comment un NAS peut se faire hacker à distance. On peut l’administrer à distance en SSL ?
#115
#116
#117
#118
#119
#120
#121
#122
Bon bon bon…..
C’est là que je suis content :
Du coup :
…
Enfin voilà, les gens vont peut être enfin se rendre compte qu’exposer un NAS sur le net (le faire agir comme serveur donc) c’est pas anodin et ca demande quand même quelques connaissances pour ne pas faire n’imp.
Et que c’est quand même léger de faire confiance aveuglement à une solution proprio sans mettre soi même un peu les mains dans le cambouis parce que c’est “user-friendly, c’est cool”.
Mais je comprends aussi que rentrer dans le détail, bah ca prend du temps. C’est sur que mater Game Of Thrones, c’est plus instructif et c’est du temps mieux dépensé " />
Sans compter effectivement, comme dit par d’autres, qu’ils comprendront pt etre qu’un NAS c’est surtout pas la solution ultime de stockage, ce n’est qu’un élément d’une chaine (rsync sur serveur ailleurs et backup local sur HDDs chez un pote (chiffré, evidemment), pour moi)
#123
#124
Pour récupérer vos fichiers chiffrés il suffit d’installer le logiciel NSA-restore disponible sur demande à condition que vous n’ayez rien a cacher.
#125
#126
#127
Si jamais, il y a désormais un topic officiel (2000 vus en 2 heures…) dédié au problème :http://forum.synology.com/enu/viewtopic.php?f=108&t=88770
Rien de très nouveau jusque là :/ " />
#128
#129
#130
#131
SSH 22 FILTERED " />
#132
#133
#134
La réponse de Synology sur Facebook (groupe NAS-Forum.com):
Hello Everyone,
We’d like to give you an update regarding SynoLocker, a ransomware affecting certain Synology servers.
When trying to access DSM, it displays the following message “All important files on this NAS have been encrypted using strong cryptography”, in addition to instructions for paying a fee to unlock your data.
What should you do?
If you are seeing this message when trying to login to DSM:
1-Power off the DiskStation immediately to avoid more files being encrypted
2-Contact our Support team so we can investigate further. If you are in doubt as to whether your DiskStation may be affected, please don’t hesitate to contact us at [email protected]
We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.
Our support team can be reached here:http://bit.ly/UgW2wa
#135
#136
#137
@Drepanocytose
On parle de particuliers qui sauvegardent leurs photos sur un NAS pour plus de sécurité vis à vis de la perte de données. Ces mêmes particuliers partagent leurs photos via un accès au net.
Pim, nické. Et les photos, si elles sont sur NAS, a priori elles ont une valeur minimum pour leur propriétaire.
Donc que tu sauvegardes les plans de la bombe H sur un Syno connecté à Internet, je te rejoins, tu merdoies, mais prends mon exemple, je pense assez commun. Sinon j’arrête aussi mon compte Gmail au cas où une faille me fasse perdre l’accès à cette adresse ?
Bref, moi qui ai acheté un Syno pour ma copine pour justement stocker des photos et les partager, ça me fiche un peu les jetons. Y’a plus qu’à se limiter au NAS en LAN pour les novices… youpi :(
#138
Il y en a qui s’amusent :http://www.symantec.com/connect/blogs/rise-5000tcp-scanning-highlights-synology-… ça date pas d’hier ce souci
Un autre article :http://www.slashgear.com/malware-targets-dvrs-and-synology-nas-to-mine-bitcoin-0…
#139
Peut-être que certains n’ont pas mis à jour leur NAS et que ce sont toujours les mêmes failles qui sont exploitées :http://www.synology.com/en-global/company/news/article/437
Une explication très compléte :http://amigotechnotes.wordpress.com/2014/02/15/synology-security-issue-and-how-t…
#140
#141
#142
#143
#144
#145
#146
#147
J’ai un NAS DS414 en DSM 5.0 et pas de soucis, de toute facon je m’etais un minimum prepare et renseigne
Le port DSM 5000 est desactive, la connexion au DSM ne se fait qu’en ssl (tout en ayant change le port 5001 par default) avec une authentification double facteur
Le reste necessite une connexion vpn pptp configure directement sur mon routeur
Sinon pour le ssh quand c’est necessaire et que j’ai besoin de m’y connecter en ayant la flemme ou l’impossibilite de passer par mon vpn., J’ai un premier serveur en front avec une debian qui tourne. Le ssh est ouvert mais pas sur le port 22 qui me permet d’acceder au SSH du Syno lui aussi avec une authentification double facteur avec authy " />
Les donnees importantes sont sur d’autres cloud et ordis, sinon les films de vacances 6to chez Crasplan " />
#148
#149
#150
Du coup, j’ai comme un doute avec mon syno, comment être sûr qu’on ne peut pas y acceder depuis l’extérieur ? Mon utilisation est exclusivement local (du type sauvegarde de fichier, owncloud pour gérer les calendriers familiaux…)
#151
#152
Juste pour savoir, car j’avais un peu lâché l’affaire, est-ce qu’une solution avait été trouvée par les éditeurs d’antivirus pour retrouver ces données sans payer après que CryptoLocker soit passé sur le disque dur ? " />
Merci d’avance. " />
#153
#154
J’envosgeais justement de me prendre un syno poir mes sauvegardes, avec 2 DD de 4 To en RAID1, le tout sauvegardé sur un 3ieme disque 1 fois/semaine, disque stocké au boulot… la question : peut-on faire en sorte que le syno lance automatiquement une sauvegarde des qu’on branche un disque dur sur le port USB?
#155
Rien n’est impossible mais le plus simple et configurable facilement c’est de lancer un backup une nuit par semaine en le programmant et faire en sorte que le disque soit connecté
#156
#157
#158
Ca existe encore les décos toutes les 24 heures ? " />
#159
Peut être la dernière faille samba qui est assez violente, si le port en question est forwardé sur le net. (et que le DSM utilise la branche 4.X de samba)
#160
Pas de NAS chez moi (serveur maison).
En revanche on a un NAS Synology au boulot et tout le monde est en vacances " /> J’imagine que ça sera la surprise en revenant…
#161
Bon, J’ai un syno, pas d’accès depuis l’extérieur, et une sauvegarde auto quotidienne avec RSYNC. JE m’en vais de ce pas la passer en manuel, histoire de ne pas flinguer l’image.
#162
Synology confirme et travaille afin de trouver une solution
Faut s’entendre sur le mot “solution”.
Les gens qui ont leurs fichiers chiffrés, ca m’étonnerait que Synology puisse leur rendre leurs fichiers. (sauf a prouver qu’il y a une backdoor dans leur firmware. " />)
#163
#164
#165
#166
On a quand même une bonne bande de parano dans le lot …
Dites moi vous êtes certain que votre porte de maison ne donne pas sur la rue ?
Non, parcequ’il y a des risques de cambriolage quand même !!!!!!
Vous avez vérifié aussi que votre NAS ne soit pas coulé dans du béton pour éviter qu’on vous le vole ?
Franchement faut arrêter la parano, ouvrir son NAS à l’exterieur n’est pas dangereux à condition d’en sécuriser les accès et d’avoir une bonne sauvegarde en cas de problème.
#167
#168
#169
pour ma part je suis victime et presque tout mon nas a été encrypté.
Je suis bien dégouté.
#170
Perso j’ai les alertes par mail pour les tentatives de connexion sur mon NAS.
Je suis a plus de 100 mails et IP différentes par jours.
Mais pour le moment aucun problème.
#171
#172
#173
#174
#175
#176
#177
#178
#179
#180
#181
C’est quand même très grave… et je ne vois pas comment les utilisateurs déjà infectés pourront s’en sortir sans payer la rançon…
Le problème est là : plus on a un système évolué, et plus le risque de failles est grand…
Ceux qui stockent uniquement sur un NAS ont le droit de paniquer" />
#182
#183
#184
Il pourrait pas créer plutôt PEDOLOCKER un virus qui chiffre les photos et vidéo PEDO de nos amis les BÊTES….sur leur nas et internet…
" />
" />
#185
#186
#187
#188
http://www.synology.com/en-us/company/news/article/470
We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.
faut faire les maj! xD
#189