Attaque Virus : URGENT pour utlisateurs d'un NAS SYNOLOGY

Couscousdelight · Août 04, 2014, 10:41:34

Une attaque d'un cheval de Troie appelé SYNOLOCKER qui encrypte les données de votre Syno contre une rançon est en cours depuis hier-soir dimanche.
C'erst une menace très sérieuse.
il est URGENT pour ceux qui ont ouvert un accès au web à leur Syno de le désactiver au plus vite.
Plus d'infos : http://korben.info/synolocker.html
Dans les paramètres de votre routeur/box Internet, désactivez la redirection du port 5000 vers votre NAS.
Désactivez WebDAV dans la console de gestion de votre DSM.

Pour ceux qui auraient choppé le troyen, une procédure pour reprendre la main sur votre DSM existe, mais elle ne permet pas pour l'instant de recouvrir les fichiers qui auraient déjà été encryptés :
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751
Here is how you do it:
1. Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.

6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.

Bonne chance !

EDIT : liste des ports à fermer sur votre routeur :
tcp/5000 et tcp/5001 (DSM), tcp/22 (SSH), tcp/23 (Telnet), tcp/80 et tcp/443 (Web Station).

gregz78 · Août 04, 2014, 17:45:47

Merci pour l'info ! Je sais ce qu'il me reste à faire ce soir (mon Syno n'est pas allumé en journée)

Kadobonux · Août 04, 2014, 17:52:06

je ne suis pas concerné mais merci pour le partage
bon courage à ceux qui ont du boulot

jpbamt · Août 04, 2014, 18:11:14

Merci pour l'info

J'ai isolé le mien du net (412+) en attendant plus d'infos.
Rien sur le site Synology pour l'instant. Faut les laisser bosser....

Un lien :
http://www.nas-forum.com/forum/topic/42480-synolocker-le-cheval-de-troie-qui-rackette-les-possesseurs-de-synology/

Pat75 · Août 04, 2014, 18:24:17

Merci beaucoup.
Le mien était éteint depuis 3 semaines pour cause de congés.
J'espère que ce sera suffisant.
Je n'ose plus le rallumer.

Je guette les infos.

titan23 · Août 04, 2014, 19:22:05

un nas pas connecté au net .. ça fait désordre

Titan

Couscousdelight · Août 04, 2014, 21:14:27

Citation de: Pat75 le Août 04, 2014, 18:24:17
Merci beaucoup.
Le mien était éteint depuis 3 semaines pour cause de congés.
J'espère que ce sera suffisant.
Je n'ose plus le rallumer.
Je guette les infos.

Si ça fait 3 semaines qu'il était éteint, il ne devrait pas être concerné, l'attaque a commencée hier-soir.
Et, si tu n'as pas configuré ton NAS pour être disponible depuis le Web, tu ne risques rien, l'accès au NE
et n'est pas activé par défaut.
Au pire, allumes ton NAS après avoir déconnecté ton réseau local du Net, et ça roule, comme il n'aura pas accès au Net, il ne risquera rien.

baséli · Août 04, 2014, 21:44:24

J'ai du mal à comprendre que l'on puisse mettre un NAS en direct sur Internet. Sur un intranet, bien entendu oui, c'est fait pour, y compris le serveur web et tous les gadgets.

Ou alors il n'y a que des copies de ses données - non sensibles- et on peut se permettre de tout reformatter si on a été infecté.

Pat75 · Août 05, 2014, 17:26:29

Merci Couscousdelight

Le Tailleur · Août 07, 2014, 07:57:02

Merci aussi !

jfm-72 · Août 08, 2014, 17:32:25

Bonjour,
Aujourd'hui un mail de Synology à propos de cette attaque: mettre à jour si ce n'est fait votre DSM car comme indiqué sur le forum synology le trou de sécurité est bouché depuis décembre.

Bon comme d'hab , il suffit d'être à jour...

JF

baséli · Août 08, 2014, 18:44:07

Citation de: jfm-72 le Août 08, 2014, 17:32:25
Bon comme d'hab , il suffit d'être à jour...

Oui, surtout que les pirates analysent les différences lors des mises à jour, ce qui leur montre (de temps en temps) les failles qui ont été comblées, et il en déduisent les méthodes d'attaque de ceux qui n'ont pas fait la MAJ.

Le Tailleur · Novembre 01, 2014, 05:26:34

Pour info:

http://www.techradar.com/us/news/software/operating-systems/bash-vulnerability-all-you-need-to-know-1266890

Pour les utilisateurs de Synology

http://forum.synology.com/enu/viewtopic.php?f=4&t=90732&start=30

Pour les utilisateurs de QNAP:

http://www.wegotserved.com/2014/09/26/qnap-warns-users-pull-remote-access-race-patch-bash-shellshock-bug/

Le Tailleur · Novembre 01, 2014, 05:37:25

Citation de: Le Tailleur le Novembre 01, 2014, 05:26:34
Pour info:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-6271

http://www.techradar.com/us/news/software/operating-systems/bash-vulnerability-all-you-need-to-know-1266890

Pour les utilisateurs de Synology

http://forum.synology.com/enu/viewtopic.php?f=4&t=90732&start=30

Pour les utilisateurs de QNAP:

http://www.wegotserved.com/2014/09/26/qnap-warns-users-pull-remote-access-race-patch-bash-shellshock-bug/

Le Tailleur · Novembre 07, 2014, 17:15:06

DSM 5.1 Update ready!