DSC_0001.jpg DSC_0426.jpg ESC_0133.jpg

 i need more coffee

Atteint depuis mon plus jeune âge d'hippopotomonstrosesquippedaliophobie (cultivez vous ça ne fera pas de mal) j'ai décidé de faire un blog sur ma maladie (be feeeaar..).
Blague à part c'est un blog totalement axé génie logiciel que vous trouverez ici. Du PHP, du J2EE, et évidement toutes les technologies qui leur sont liées.

Have fun !

Synolocker : que faire ?

5 août 2014Posté par : Kevin Danezis dans Synology

Averti initialement par Korben avant que d'autres sites relaient à leur tour l'information, je me suis penché sur cette histoire de ransomware qui viens prendre en otage votre Synology avec cette question en tête : que faire ?


edit 14 Aout : il y a des news !


Si il y a une chose qui est certain dans cette affaire c'est que personne ne sais rien. 

  • On ne connais pas le vecteur d'attaque sur le DSM
  • On ne connait pas les versions DSM visées (on parle de la 4.x, aucune certitude d'une meilleur sécurité avec la 5.x)
  • On ne connait pas les ports utilisés pour l'attaque
  • On ne connait évidement pas qui est derrière tout cela.

Pour être honnête la seule certitude est que une fois pris au piège, vous ne récupérerez pas vos données, le cryptage étant trop bien pensé.

Sur fond de spéculation autour de ce phénomène ou tout le monde connait quelqu'un ou à entendu quelqu'un qui s'est fait chopper son NAS et ou Synology était étrangement silencieux sur les forums officiels (hormis une confirmation qu'ils sont au courant du soucis), j'ai pu constater que la seule solution fiable était de couper le jus au NAS... plutôt radical comme solution.

Et voilà que cette nuit, Synology se décide enfin à faire une communication via twitter pour  nous annoncer en substance ... qu'elle ne sait toujours pas ce qu'il se passe mais qu'elle nous tiendra au courant (merci...). Synology préconise également de couper les ports diffusant sur le net afin d'éviter tout risque supplémentaire.

Alors on fait quoi pour prévenir ?

La première des solutions est dite : coupez le net à votre NAS. (ou coupez le jus tout court)

La seconde solution est de faire un backup de votre NAS. J'ai déjà eu l'occasion d'en évoquer le sujet à plusieurs reprises avec Glacier d'Amazon notamment. Un NAS n'est pas la solution de backup ultime, c'est du backup temporaire. Un feu d'appartement est un phénomène qui ne relève pas des mythes et légendes, de même qu'un cambriolage ou un coup de foudre ne relevant pas de l'amour. 

Et dans le cas ou vous constatez que votre NAS est infecté ?

La solution préconisée est soit d'éteindre le NAS, en attendant d'avantage d'info de Synology, Soit de copier un maximum de donnée vers l’extérieur du NAS en priorisant les données les plus importantes évidement.

En effet les retours d'utilisateurs contaminés montre que l'encryptage des fichiers se fait de manière lente (l'encryptage est une opération lourde à effectuer), il est donc théoriquement possible de récupérer les fichiers plus rapidement que le Synolocker ne les lock.

Reste évidement que la prévention vaudra toujours mieux qu'une semi récupération de donnée ... ou même que le paiement de la rançon.

comments powered by Disqus