Synology: gare à Synolocker, un nouveau rançongiciel

  • Dernière modification de la publication :17/12/2014
  • Commentaires de la publication :8 commentaires
Mettez à jour votre Synology pour ne pas avoir de problèmes...
Mettez à jour votre Synology pour ne pas avoir de problèmes…

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a reçu ces derniers jours plusieurs annonces concernant un rançongiciel nommé Synolocker. Une fois infecté, l’utilisateur verra ses données cryptées et une rançon lui sera demandée, selon un communiqué de presse diffusé jeudi.

Cette méthode rappelle ce qui avait été observé avec le maliciel Cryptolocker. Une différence est cependant que ce maliciel cible exclusivement les utilisateurs de NAS (Network Attachead Storage) de la marque Synology, précisent les experts en sécurité de la Confédération.

La suite du communiqué de presse (italique):

Les recommandations de MELANI pour Cryptolocker s’appliquent ici aussi. En particulier, il est recommandé d’effectuer des sauvegardes régulières des données importantes sur un support externe, qui sera connecté à l’ordinateur uniquement lors de la sauvegarde des données. Par ailleurs, les supports utilisés devront être changés, par exemple chaque semaine ou chaque mois, afin d’avoir à disposition différentes versions des sauvegardes sur différents supports.

Il est désormais établi que seuls les NAS de Synology sur lesquels sont installés des anciens systèmes d’exploitation sont touchés. Il convient donc d’y installer immédiatement les dernières mises à jour de sécurité. MELANI recommande comme règle générale de toujours veiller à utiliser le système d’exploitation le plus récent.

En plus de cela, Synology a publié d’autres recommandations, de même qu’un formulaire de contact, sur son site web.

Mise à disposition d’un outil de décryptage pour les victimes de Cryptolocker

De meilleures nouvelles font également l’actualité: les entreprises FireEye et Fox-IT ont annoncé la mise en ligne d’un service gratuit permettant aux victimes de Cryptolocker de récupérer leurs fichiers encore cryptés par le maliciel. Comme cela avait été reporté par les médias, des mesures ont été prises par le FBI contre le Botnet de Cryptolocker en juin dernier. De nombreuses victimes ont cependant des fichiers encore inaccessibles.

Le service est disponible à l’adresse suivante: https://www.decryptcryptolocker.com. Son fonctionnement est aisé et ne nécessite pas de paiement ou d’inscription préalable. Nous recommandons de veiller à bien utiliser l’URL exacte figurant ci-dessus.

 

La marche à suivre est la suivante:

  1. Identifiez un fichier crypté par Cryptolocker sur votre machine. Veillez à choisir un fichier ne contenant pas d’informations sensibles
  2. Transmettez le fichier à travers la plateforme https://www.decryptcryptolocker.com. Votre adresse E-mail vous sera également demandée, sur laquelle la solution de décryptage vous sera envoyée
  3. Vous recevrez par E-mail une clef et un lien pour télécharger et installer un programme de décryptage
  4. Démarrez le programme localement sur votre machine en utilisant la clef reçue
  5. Les fichiers se trouvant sur l’ordinateur concerné seront ensuite décryptés
  6. Dans le cas de Synolocker également, il n’est pas à exclure qu’une telle solution émerge dans le futur. Il est ainsi conseillé de conserver les données cryptées par Synolocker.

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI décline toute responsabilité quant à d’éventuels dommages survenus suite à l’utilisation du service proposé sur https://www.decryptcryptolocker.com. La mise en œuvre de la procédure décrite ci-dessus a lieu sous la responsabilité individuelle de l’utilisateur.

Cet article a 8 commentaires

  1. carl2k

    Il faudrait être un peu plus précis dans vos articles.

    Seuls les modèles avec la DSM 4.3-3810 ou précédent sont affectés. Ce qui veut dire qu’ils ont exploité une vulnérabilité comblée en décembre 2013.

    De plus il y a bien plus grave, savez-vous que 70 millions de routeurs Linksys sont exploitables grâce à un malware connu sous le nom de The Moon ? Le fabricant n’est pas le seul à être dans une situation embarrassante puisqu’ASUS et Belkin font également face à un problème du même genre sur certains de ses routeurs.

    Conclusion : Toujours avoir à jour son système (d’exploitation, NAS, routeur, …).

    1. Concernant la précision, je vous laisse vous adresser à l’administration fédérale. Il me semble toutefois qu’il est clairement indiqué que cette vulnérabilité ne touche que d’anciens systèmes. Par ailleurs, toutes les infos importante sont en lien. Dans tous les cas, il est souhaitable de mettre à jour tous les systèmes. Peu importe donc la version… Il est parfois bon de réfléchir un peu!

      1. carl2k

        Le communiqué officiel de Synology est disponible à l’adresse suivante :

        http://forum.synology.com/enu/viewtopic.php?t=88770

        Voici les recommandations :

        -For DSM 4.3, please install DSM 4.3-3827 or later
        -For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
        -For DSM 4.0, please install DSM 4.0-2259 or later

  2. f.delamuraz

    A noter que clea est actif uniquement sur les anciens firmwares (avant décembre 2013)
    Depuis la faille a été patchée.

    1. dal

      Le service de support des pirates à l’air pas mal ^^

      Sinon question un peu technique. Si on garde une copie non-cryptée d’un fichier et qu’on le “compare” avec le fichier crypté, il existe des algos qui pourraient retrouver la clé de chiffrage?

      1. Simon

        @Dal: Cryptolocker et autres variantes utilisent un cryptage dit asymétrique (clé privée – clé publique) ce qui rend (quasi) impossible la comparaison de deux fichiers pour trouver le clé de chiffrement.

        Si FireEye et Fox-IT arrivent a décrypter les fichiers c’est uniquement puisque l’infrastructure derrière cryptolocker a été “Take down” par les autorités récemment. Du coup ils ont accès aux clés privées et peuvent décrypter les fichiers facilement.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.