SynoLocker : Un virus qui corrompt votre Synology

6
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 2 vote(s))
Virus informatique

Il semblerait qu’un nouveau virus tourne sur Internet et vise directement tous les propriétaires de produits Synology. Baptisé SynoLocker et distribué sous la méthode d’un cheval de Troie (exécution d’un programme par l’utilisateur qui croit installer autre chose), ce virus se rendrait directement sur votre Synology en vue de chiffrer l’ensemble de son contenu, le rendant inaccessible pour son utilisateur.

Une fois le disque dur complètement chiffré, le Synology proposerait à l’utilisateur final de pouvoir récupérer l’ensemble de ses données moyennant finance. Au prix de 0,6 bitcoins (et aucune autre méthode de paiement), SynLocker vous fournirait la clé de cryptage utilisée précédemment vous permettant ainsi de décrypter les fichiers du disque dur et les rendre à nouveau accessibles.

Pour le moment, le fonctionnement de SynoLocker et notamment la manière dont il contamine les Synology est encore un peu floue. Dans le doute, nous vous recommandons de faire attention à ce que vous téléchargez et surtout de bien changer les réglages par défaut de votre équipement Synology (mot de passe administrateur, changer le compte admin, changer le port, s’assurer que seul le SSL est disponible et que le patch heartbleed est bien passé…). Autant de bonnes pratiques qui vous permettront de garder l’intégrité de votre équipement réseau et vous évitez bien des soucis.

Edit 04/08/2014 10:30

Attention, tous les Synology seraient impactés par cette faille. Le virus se baserait sur une faille du système d’encryption interne du Synology pour pouvoir y accéder. Ainsi tout synology disponible sur Internet sur le port 5000 (port par défaut) est potentiellement vulnérable. En attendant le patch qui va bien, on vous encourage à soit le retirer d’internet (car dans ce cas le scan peut être fait à distance) et de faire toujours attention à ce que vous téléchargez.

Merci à Arn pour son retour.

Edit 05/08/2014 09:30

Suite à notre article, Synology nous a contacté hier soir pour nous donner quelques informations supplémentaires sur SynLocker :

Bonjour,

Nous aimerions fournir une brève mise à jour concernant le ransomware récent appelé  « SynoLocker », qui touche actuellement certains serveurs NAS Synology.

Nous sommes entièrement mobilisés à enquêter sur ce problème et les solutions possibles et envisageables. Sur la base de nos observations actuelles, ce problème affecterait uniquement les serveurs NAS Synology exécutant certaines anciennes versions du DSM (DSM 4.3-3810 ou versions antérieures), en exploitant une vulnérabilité de sécurité qui a été fixée et corrigée en Décembre 2013. A l’heure actuelle, nous n’avons pas observé cette vulnérabilité dans la version DSM 5.0.

Pour les serveurs NAS Synology DSM fonctionnant sur DSM 4.3-3810  ou sur des versions antérieures, et si les utilisateurs rencontrent un des symptômes ci-dessous, nous recommandons l’arrêt de leur système et de contacter notre équipe de support technique au lien suivant: https://myds.synology.com/support/support_form.php :

• Lorsque vous tentez de vous connecter à DSM, un écran s’affiche pour informer les utilisateurs que les données ont été cryptées et une taxe est requise pour déverrouiller les données

• Un processus appelé « synosync » est en cours d’exécution dans le Moniteur de ressources

• DSM 4.3-3810 ou une version antérieure est installé, mais le système dit que  la dernière version est installée au Panneau de configuration> Mise à jour de DSM

Pour les utilisateurs qui n’ont pas rencontré l’un des symptômes mentionnés ci-dessus, nous recommandons fortement de télécharger et d’installer DSM 5.0, ou toute version ci-dessous:

• Pour DSM 4.3, merci d’installer DSM 4.3-3827 ou une version plus récente

• Pour DSM 4.1 ou DSM 4.2, merci d’installer DSM 4.2-3243 ou une version plus récente

• Pour DSM 4.0, merci d’installer DSM 4.0-2259 ou une version plus récente

DSM peut être mis à jour en allant dans Panneau de configuration> Mise à jour de DSM. Les utilisateurs peuvent également télécharger et installer manuellement la dernière version de DSM directement notre centre de téléchargement au lien suivant: http://www.synology.com/support/download

Si les utilisateurs remarquent un comportement étrange ou soupçonnent que leur serveur NAS Synology a été affecté par le problème ci-dessus, nous les encourageons à nous contacter à security at synology.com

Nous nous excusons sincèrement pour tous les problèmes ou inconvénients que cette situation a causée à nos utilisateurs. Nous vous tiendrons informés des dernières informations et mises à jour au plus vite.

Via

6 Commentaires

  1. Vous racontez quelques bêtises…

    Ce troyen n’est pas « distribué sous la forme d’un cheval de Troie », mais profite d’une faille du système d’encryption des N.A.S. Synology.
    Ce qui veut dire que TOUS les synos reliés au web avec le port 5000 ouvert dans votre routeur/box, et WebDAV activé sont ciblés, pas la peine d’exécuter un programme vérolé pour chopper le troyen.
    Bref, ça craint, la meilleure soluce est de couper tout accès au web de votre Syno.

    • Vous racontez vous aussi des bêtises, aucune info n’a filtré sur la façon dont s’opère ce hack…

      Les seules infos jusqu’à présent qu’on peut recouper :

      1) depuis vendredi dernier, beaucoup de tentatives de connexion via SSH depuis la Chine chez les utilisateurs de Synology
      2) les personnes touchées par synolocker et s’exprimant sur nas-forum.com ou sur le forum officiel de Synology sont en version 4.3, pour le moment personne en DSM 5.

      Pour se prémunir sans céder à la paranoïa :

      1) si vous êtes sous DSM 5, bloquez toutes les IPs en provenance de pays autre que la France
      2) changez les ports de connexion à l’administration du DSM (5000 et 5001)
      3) n’utilisez les services SMB, Webdav, que via un VPN et des IPs locales

    • Salut Arn,

      Pourrais-tu donner ta source STP ? Je n’ai vu nulle part l’information comme quoi ça toucherait tous les Synos avec les conditions que tu décris (« Ce qui veut dire que TOUS les synos reliés au web avec le port 5000 ouvert dans votre routeur/box, et WebDAV activé sont ciblés »).

      Merci.

  2. Deuxième commentaire pour que le webmaster puisse juger de la pertinence du premier sans prendre le second pour un spam.

    Il est tout à fait possible pour ceux qui veulent conserver le service SSH de votre Synology de mettre en place une authentification double facteur avec authy ssh.

    Cherchez « authy ssh synology » sur Google.

LAISSER UN COMMENTAIRE

Message du commentaire manquant
Auteur du commentaire manquant