Voila une nouvelle faiblesse inéluctable pour les NAS Synology. Après le fameux botnet NAS qui minait des DogeCoin en masse, voici un malware qui demande une rançon aux utilisateurs de NAS Synology pour leur rendre l’accès à leurs données…
Les NAS (disque durs réseaux) sont par nature connectés à Internet et sont donc exposés et vulnérables aux cyberattaques externes des pirates informatiques, qui n’hésitent pas à exploiter la moindre faille des systèmes de sécurité pour en prendre le contrôle.
Actuellement, de nombreux détenteurs de NAS de la marque Synology sont victimes d’un ransomware baptisé SynoLocker. Un malware au fonctionnement très simple et largement connu sous Windows : il infecte le NAS et en chiffre l’intégralité du contenu, ce qui permet aux pirates d’exiger le paiement d’une rançon afin de donner de nouveau accès aux fichiers stockés sur celui-ci. La rançon est fixée à 0,6 bitcoin, soit environ 260 euros au cours actuel. On comprend bien l’attrait des cybercriminels pour ces NAS : ces derniers stockent des informations et sauvegardes précieuses pour les utilisateurs qui ne doivent absolument pas perdre. D’où la valeur de ces informations. Peu de gens peuvent se permettre de tout perdre !
SynoLocker (nom dérivé du célèbre CryptoLocker affectant les systèmes Windows) a bien sûr créé un vent de panique chez les utilisateurs de NAS Synology, poussant la marque à réagir rapidement, ce qu’elle a fait en informant ses clients des dangers de ce ransomware. Synology indique dans ce message que seule une petite partie des utilisateurs de ses NAS est touchée pour le moment, et que tous les dispositifs ainfectés semblent tourner sous la version 4.3 de Disk Station Manager. Premier conseil donc, mettre rapidement à jour tout NAS Synology vers la version 5.0 de DSM, qui semble pour le moment épargnée.
Synology explique que ses équipes sont actuellement au travail pour isoler la vulnérabilité exploitée par SynoLocker, et qu’en attendant, mieux vaut déconnecter son NAS d’Internet et réaliser une copie de sauvegarde de ses données si possible. Si malheureusement votre NAS est déjà infecté, Synology conseille de l’éteindre immédiatement pour stopper le chiffrement des données (qui peut prendre du temps et qui ne touche peut-être pas encore tous les fichiers). Synology qui invite aussi ses clients touchés à se méfier des e-mails suspects qui pourraient être envoyés en son nom, expliquant que les pirates à l’origine de SynoLocker pourraient avoir l’intention de lancer également des campagnes de phishing.
Ci-dessous le message original délivré par SynoLocker aux personnes infectées :
SynoLocker™
Automated Decryption ServiceAll important files on this NAS have been encrypted using strong cryptography.
List of encrypted files available here.
Follow these simple steps if files recovery is needed :
- Download and install Tor Browser.
- Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
- Login with your identification code to get further instructions on how to get a decryption key.
- Your identification code is – (also visible here).
- Follow the instructions on the decryption page once a valid decryption key has been acquired.
Technical details about the encryption process :
- A unique RSA-2048 keypair is generated on a remote server and linked to this system.
- The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
- A random 256-bit key is generated on this system when a new file needs to be encrypted.
- This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
- The 256-bit key is then encrypted with the RSA-2048 public key.
- The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
- The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
- The encrypted file is renamed to the original filename.
- To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
- Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
- When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.