SynoLock et piratage de NAS Synology – comment se protéger

Hier, j’ai eu la désagréable surprise de voir mon NAS Synology DS211 ramer comme jamais.
Un petit tour sur l’administration m’a fait comprendre le pourquoi.

En effet, la page d’admin avait été remplacée par ce message de SynoLocker.

SynoLocker™
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography
List of encrypted files available {here}.

Follow these simple steps if files recovery is needed:
  1. Download and install {Tor Browser}. 
  2. Open Tor Browser and visit {http://cypherxffttr7hho.onion}. This link works only with the {Tor Browser}. 
  3. Login with your identification code to get further instructions on how to get a decryption key. 
  4. Your identification code is 1BgpD5YmbEBQJaRD4LdajX4yHXPAtgrXEY (also visible {here}). 
  5. Follow the instructions on the {decryption page} once a valid decryption key has been acquired. 

Technical details about the encryption process:
  * A unique RSA-2048 keypair is generated on a remote server and linked to this system. 
  * The RSA-2048 public key is sent to this system while the private key stays in the remote server database. 
  * A random 256-bit key is generated on this system when a new file needs to be encrypted. 
  * This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher. 
  * The 256-bit key is then encrypted with the RSA-2048 public key. 
  * The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory. 
  * The original unencrypted file is then overwrited with random bits before being deleted from the hard drive. 
  * The encrypted file is renamed to the original filename. 
  * To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server. 
  * Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files. 
  * When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file. 

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved. 

Grosso modo, plus mon nas tourne, plus il encrypte mes fichiers. Si je veux stopper ce processus, un redémarrage ne fonctionne pas.
La sauvegarde temps réél sur les 2 disques durs n’est donc d’aucune utilité.

Les accès WEB et SSH ont étés coupés. Il faut donc suivre le processus indiqué par le pirate à savoir:
– télécharger TOR et se rendre sur un site dédié (pour anonymiser le pirate)
– payer 0.6 bitcoin – l’équivalent de 250 euros (pour anonymiser la transaction)
– récupérer la clé de décryptage et retrouver ses fichiers.
Et tout ca dans la semaine sinon le tarif double !

Comme Jack Baueur, je ne cèdes pas aux terroristes. J’ai plein de sauvegardes chez moi et ailleurs, et je n’ai rien perdu. Raté.
Néanmoins, même si je dis bravo à la technique je dis aussi « Bande d’en#### ». Pourrir les fichiers (photos et documents) des gens qui n’y connaissent rien et qui se sentaient en sécurité, c’est vraiment naze !

Faites donc attention, si vous n’avez pas mis à jour votre NAS récemment, car les anciens DSM sont vulnérables à des attaques.

Suite à cet incident, voilà quelques techniques que j’ai mise en place pour mieux me protéger:

Comment protéger son NAS Synology ?

Tout d’abord, lisez et appliquez les conseils de Synology
En gros, il faut surtout:
– Mettre à jour le dernier DSM
– Remplacer le compte admin par un autre
– Activer le banissement des IP (et réduire la plage d’ip accédant au NAS – ex: la france)
– Activer le HTTPS (en ayant un certificat autosigné)
– Dans votre freebox/routeur, pensez à modifier la redirection du port 5001 vers un autre port.

– Bloquer l’accès SSH (port 22) et le port utilisé (5000, 5001 ou autre) si vous n’avez pas besoin d’y accéder depuis l’internet.

Les robots pirates qui scannent les NAS Synology se concentrant essentiellement sur les ports par défauts (5000 et 5001)

Gardez à l’esprit que si vous tenez vraiment à vos fichiers, vous devez avoir un backup distant (en cas de cambriolage, incendie…)
L’utilitaire rsync sous Linux ou SyncBack peuvent vous aider à les mettre en place.

S’inscrire à la newsletter au cas ou il faille mettre à jour de nouveau votre firmware
https://myds.synology.com/support/register.php?lang=enu

A noter que ce type de ransomware existe sur tous les systèmes d’exploitation. Ils sont variés:
– il y a celui qui est juste graphique et qui vous fait croire que vos fichiers sont perdus.
– il y a celui dont les données peuvent être récupérés en calculant la clé en comparant un fichier encrypté et un fichier sain.
– il y a ceux comme celui-ci ou les pirates ne plaisantent pas et sur lesquels si vous n’avez pas de sauvegarde, tout est perdu !

3 réflexions au sujet de “SynoLock et piratage de NAS Synology – comment se protéger”

  1. Bonjour effectivement ce n’est pas cool du tout j’ai eu cette mauvaise surprise a mon retour de vacances…
    2*4to en raid entièrement crypté…etant donne que je n’avais que le raid pour me protéger de toute perte de données je suis prêt a payer la rançon malheureusement pas le choix. Mais la page proposée via Tor est inaccessible!! Avez vous un conseil?
    Merci

    Répondre
    • Je n’ai pas été jusqu’au bout de la procédure, mais en telechargeant le navigateur TOR sur https://www.torproject.org
      vous devriez pouvoir y accéder. (C’est une adresse qui permet de rendre anonyme le pirate, et avec TOR elle fonctionnait pour moi.)
      J’espère vraiment que vous pourrez tout récupérer. bonne chance.

      Répondre

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.