Synology Ransomware sur NAS DS920+

[xfifi79]

Bonjour,

C'est avec désespoir que je poste ici sachant qu'il n'y aura pas de solution pour récupérer mes fichiers.
Le NAS a subit un attaque par ransomware cryptage, il y a 2 heures environ maintenant...
J'étais en train de travailler (sauvegarde travail NAS régulier) et subitement mon lecteur réseau s'est déconnecté (montage dossier de travail).

Je suis allé dans l'interface du NAS et Filestation et là c'est la catastrophe qui me revient en pleine gueule

J'ai tout perdu : mes photos de familles, mes fichiers persos et pros, mon travail en cours... Bref un vrai vol d'une partie de sa vie en un bref instant.

Voici une petite capture de ce qui m'arrive :


Le petit contenu du fichier texte à la racine de mon volume :

HELLO!

YOUR REMOTE STORAGE WAS COMPROMISED. 

ALL YOUR FILES AND FOLDERS HAVE BEEN ENRCYPTED AND HIDDEN.

IF YOU WANT TO RECOVER YOUR FILES YOU MUST SEND 0.011 BITCOIN TO THIS BITCOIN WALLET:

1Fk1tu1UtQibqooaZJ5sN2f17pa5kioSWJ

YOU HAVE UNTIL THE 16th of JULY 2021 TO MAKE THE PAYMENT.
AFTER THAT YOUR DATA RECOVERY WILL BE ALMOST IMPOSSIBLE.

YOUR UNIQUE ID IS: 107.103.51.83


PLEASE EMAIL US YOUR ID AND PAYMENT CONFIRMATION TO: 

secur_it@zohomail.eu

Je suis allé sur mon compte synology.com et voici ce qu'on y trouve :evil: :




Une connexion depuis la Roumanie le 9 juillet !!! Pas eu d'alerte ou de notification... Je pense que ça viens de là. Mais comment ? Le NAS n'étant pas ouvert en connexion extérieure !!

Bref... que me conseillez-vous ? Je retire mes disques et j'attends une solution de décryptage (plusieurs mois ou jamais) d'un éditeur tiers que je pourrais utiliser sur mes disques monté sur un pc linux. Mettre des nouveaux disques et reconfigurer mon NAS avec votre aide pour le sécuriser au maximum.

Merci

 

[EVO]

Re-Salut,
Il semblerai que ton NAS etait accessible depuis l'extérieur donc, au travers de quickconnect.
Tu n’avais tu pas ceci d'actif sur ton nas ?

Pas de vérification a double facteur non plus ?

Reste a savoir comment il a trouver un acces a ton compte synology, la réponse defois est simple, par exemple le meme mot de passe que d'autre site qui ont eu leur base piratée, ...

Je te conseil de signaler l'incident a Synology via un ticket

 

[xfifi79]

Effectivement, à un moment donné c'est à dire au début de la mise en route de mon NAS, fin d'année 2020, par méconnaissance j'ai eu Quickconnect d'activé mais après vérification tout à l'heure cette fonctionnalité était désactivé.
Par contre j'avais pas mis la vérif à double facteur. pfff

Je fais attention d'avoir des mots de passe uniques sur les sites en utilisant la génération aléatoire de mots de passe à chaque fois. :?

Quelle galère. En plus ce ransomware est vicieux parce qu'on ne peut pas déterminer lequel c'est. Parfois l'extension des fichiers cryptés donne une indication mais là il n'y a plus qu'un dossier à la racine du Volume 1 s'appelant WARNING et un fichier texte de rançon. Les fichiers ont tous été cachés.
Ca sent la modif de partition ou d'attributs de fichiers. Il faudrait que je trouve un moyen de monter mes disques ailleurs pour voir ce qui a été modifié (perdu pour perdu).

Du coup le site https://www.nomoreransom.org/fr/index.html ne peut m'être d'une bonne utilité



Le gestionnaire de stockage indique que 244.4 MO sur 1.9 TO


Sur le groupe de stockage on voit que les données sont toujours présentes :


Par contre un truc qui m'intrigue c'est que mes 2 disques SSD de cache ne sont plus initialisés et attribués au groupe de stockage !!!


En attendant, je vais repartir sur des disques neufs et repartir de zéro avec tous les conseils que vous voudrez bien me donner pour plus que ça arrive. Mettre en place une sauvegarde digne de ce nom et efficace.

Merci.

 

[EVO]

Salut,
Sur ce coup, je pense que le support syno sera le plus adapté a disgnostiquer ton soucis. As tu ouvert un ticket chez Syno ?

Ce que je remarque d'étrange :

Tu as un groupe SHR avec 2x4To avec protection sur 1 disque.
Cela devrai donc te donner 4To ( 3.60 To réel environ ) d'espace disponible.

Ce qui est confirmé par ton screen du groupe de stockage 1 :
Capacité totale : 3.63To

Ton Volume 1 ne prend que 1.92To de cette espace disponible. Cela a était fait comme cela a l'installation ?

Si tu va dans l'onglet Volume je suppose qu'il te donne la possibilité de créer un 2eme volume avec l'espace restant.

 

[xfifi79]

Salut,

Oui, j'ai contacté le support et un technicien Synology a demandé l'accès SSH sur le NAS et m'a posé des question sur mon infrastructure réseau et le type de mot de passe utilisé.
Tous mes mots de passe sont forts et uniques.
Je lui ai créé un compte spécifique SSH (Groupe Administrators) et activé l'accès distant support dans Centre d'assistance . J'en sais pas plus pour le moment.

A mon installation au début, et jusqu'à l'incident j'avais bien un groupe de stockage SHR (panne 1 disque) avec 3.63 TO d'espace disponible en totalité.
J'avais aussi mes 2 x SSD M2. Samsung 970 Evo plus 500 GB initialisé en cache sur mon groupe de stockage et ce n'est plus le cas après l'incident.

J'ai l'impression que le code malicieux a modifié mon volume 1 en EXT4 sur une capacité max de 1.92 TO !! Sans aucun doute environ la capacité utilisée sur mon Volume 1 avant son œuvre maléfique.

Edit : Oui dans l'onglet Volume, j'ai la possibilité de créer un autre volume de la capacité restante si je veux. Donc, il y a eu modif d'opérée par le rançongiciel sur mon Volume 1 et on dirait que ça sent une attaque spécifique ciblée Synology non ?

 

[Shad]

J'ai tout perdu : mes photos de familles, mes fichiers persos et pros, mon travail en cours... Bref un vrai vol d'une partie de sa vie en un bref instant.

Pas un seul backup de ces fichiers nulle part ? Google ? Apple ? Disque externe ? etc...
Ton NAS aurait grillé c'eut été la même histoire...

 

[webmail]

non il aurait remis ses disques dans un nas syno identique et ça serait reparti... mais je plussoies pour le backup

 

[xfifi79]

Salut,

Je suis conscient que mon système à des failles la preuve en est. C'est un peu par méconnaissance dans ce domaine et également par excès de confiance dans un NAS pour assurer ses données, que ça m'est tombé dessus :x
J'avoue ne pas être au point de ce côté là.

C'est pourquoi, il faut absolument que je ne me fasse plus avoir et mettre en place un système viable pour la suite.

Backup externe USB branché sur le NAS ? Pas en permanence mais au coup par coup sans doute car les données auraient été compromises aussi dans mon cas.
Plus un backup dans le cloud ? En regardant l'article sur cachem tout à l'heure, j'ai vu ça. Je pourrais envisager cette solution. J'ai un serveur dédié libre ou je pourrais mettre un owncloud server, nextcloud server. Je ne sais pas si faisable de lier ça avec un Synology. Je vais étudier le truc.

En attendant, je suis coincé car je ne touche à rien tant que le Tech de chez Synology intervient.

 

[EVO]

Salut,
En informatique on parle souvent des 3-2-1 : https://www.cachem.fr/?s=sauvegarde+3-2-1

Le plus simple a mettre en place c'est en plus du NAS, un DD externe pour des sauvegardes quotidiennes puis par exemple une laison vers un cloud ou un nas amis, ... pour une sauvegarde des données importantes. ( apr exempl 1x semaine )

Pour ce qui est de ton soucis, je vois que 3 portes d'entrée possible :

Via Quickconnect ( mot de passe faible ou dupliquer ?, voler lors du connexion non sécurisé sur un wifi public, ... )
Via une machine vérolé ( comme ton PC Windows ) ?
UPNP actif peut etre ?
Tu n'avais pas ton NAS en DMZ ?

 

[xfifi79]

Le tech synology a passé la main a un ingénieur Syno du siège pour une enquête approfondie.
J'ai sans doute fait la boulette d'utiliser le même mot de passe sur mon compte synology.com et mon utilisateur NAS et qu'il y a une violation de mes données de mon adresse mail.

En plus, il me signale que par le bais de ce site https://haveibeenpwned.com/ mon adresse mail apparait dans 11 brèches et 1 paste !!!! Mais bon, le mot de passe Syno était un gen aléatoire unique pour cet usage.

Tu as peut-être raison pour le QuickConnect au début de mon installation. Si ça se trouve ça a été collecté à ce moment là.
Mon PC, je l'ai scanné avec plein d'anti-virus et outils différents (normal et en mode sans échec) et ça n'a rien donné.

UPNP Actif, je trouve ça ou ?
Pas de DMZ pour ma part.

Sinon, j'ai déjà installé un serveur dédié sous debian 10 avec nextcloud que j'espère avoir bien configuré. J'obtiens A+ sur ssllabs.com
Il me reste à trouver dès que j'en aurai la possibilité de trouver comment synchroniser des sauvegardes dessus depuis le NAS. --> VPN ?


Comme tu me le conseilles je vais acheter un disque externe pour du backup quotidien. Des préférences sur des marques / modèles ?

Ton tuto sur Adguard m'a donné envie mais comme je ne touche pas au NAS pour le moment, je l'ai installé sur un RPI dans l'aprem (filtrage pub et malware). Ca marche super bien.

 

[EVO]

UPNP Actif, je trouve ça ou ?

Dans les paramètres de ta box.

Comme tu me le conseilles je vais acheter un disque externe pour du backup quotidien. Des préférences sur des marques / modèles ?

Je suis tres Western Digital, mybook ou MyElement, mais en ce moment dur d'avoir des bon tarif

Ton tuto sur Adguard m'a donné envie mais comme je ne touche pas au NAS pour le moment, je l'ai installé sur un RPI dans l'aprem (filtrage pub et malware). Ca marche super bien.

Top

 

[xfifi79]

Salut,

Non pas d'UPNP d'actif dans la box.

Les tarifs font mal actuellement sur les solutions Western Digital
Je ne sais pas ce que ça vaut de prendre un boitier Icy box usb3.0 comme celui-ci IB-RD3620SU3 et d'y mettre des hdd pour le backup.

 

[lgrnr]

"[...] Je ne sais pas ce que ça vaut de prendre un boîtier ICY BOX USB3.0 comme celui-ci IB-RD3620SU3 et d'y mettre des HDD pour le backup."

La marque ICY BOX de l'entreprise allemande RaidSonic propose des produits avec un bon rapport Qualité/Prix. Le modèle envisagé ICY BOX "IB-RD3620SU3" (fabriqué à Taïwan) est relativement intéressant car il propose les modes "RAID0", "RAID1", et "JBOD", avec les connectiques "USB3" et "eSATA". Aussi avec ce matériel l'intégration de "HDD" pour réaliser les "Backup" de votre NAS se fera sans problème.

"IB-RD3620SU3
RAID enclosure for 2x HDD
with USB 3.1 (Gen 2) Type-C® and eSATA interface and fan [...]"
Informations complémentaires ici >> https://icybox.de/en/product.php?id=306

 

[xfifi79]

Bonjour

@Igrnr : Merci pour ta réponse. Sur le papier cet ICY BOX "IB-RD3620SU3" est très intéressant mais après avoir lu les avis, je suis inquiet sur la fiabilité concernant la mise en veille intempestive et les déconnexions usb3 et hdd illisibles.

Je vais réfléchir à une solution différente pour un backup in situ. En fouillant dans mon local à débarras, j'ai remis la main sur une veille tour PC Antec P180 (carte mère + Intel Q6600 + 2x4 GB mémoire + alim corsair 520w).

Peut-être est-ce une solution plus viable de remettre du hardware plus récent (cm + proco + mem) sans rentrer dans de l'extrême performance pour faire mon backup quotidien sous OpenMediaVault.
Mon dédié nextcloud fera le backup hors site depuis le NAS.

Le truc, c'est que je ne veux pas qu'il fonctionne H24. Donc, il faudrait qu'il se réveille en WOL (magic packet) via le NAS, quand il est prêt qu'il fasse le backup, m'envoie un log que tout est ok et qu'il s'éteigne.

Pour mon soucis de ransomware, Synology ne peut plus rien pour moi. Donc, je vais éteindre le DS920+, retirer les disques et les stocker pour y jeter un œil avec une autre machine plus tard, racheter d'autres disques + upgrader sous DSM 7.0 et reconfigurer correctement.

 

[EVO]

Pour mon soucis de ransomware, Synology ne peut plus rien pour moi. Donc, je vais éteindre le DS920+, retirer les disques et les stocker pour y jeter un œil avec une autre machine plus tard, racheter d'autres disques + upgrader sous DSM 7.0 et reconfigurer correctement.

Quelle mauvaise nouvelle. ...
On t'il pu au moins t'indiquer par ou ils sont passé ?

 

[xfifi79]

Salut

Mon compte synology.com aurait été compromis ce qui selon eux a permis l'accès à mon NAS...
Bref, le mal étant fait, je vais m'attacher à sécuriser le mieux possible et mettre un plan de backup pour l'avenir.

 

[xfifi79]

Bonsoir,

Bon ! J'ai peut-être une bonne nouvelle concernant la récupération d'une partie de mes données.
J'ai démonté le premier disque de mon volume SHR et je l'ai placé dans un dock usb.
Avec la version gratuite de Disk Genius, j'ai pu lire mon disque. Comme prévu, le volume 1 affiche pour seul dossier le dossier "Warning" laissé par les hackers.
En fait, le volume 1 a eu le droit a un petit effaçage pur et simple des données. Pas sûr qu'il y ait eu cryptage et modification d'attributs des fichiers pour les cacher.
Par contre, la fonction de récupération de fichiers lancée depuis maintenant plus de 3H est en train de récupérer les fichiers en les classant par type (.doc, png, jpg, etc...) et je peux voir en double-cliquant dessus leur contenu avec un filigrane de la version gratuite. Le seul hic, c'est que le logiciel nomme les fichiers en 0001.extension mais ce n'est pas grave si je peux récupérer une partie de mes données ça sera toujours bon à prendre.
La version gratuite du logiciel ne permet pas de sauvegarder les fichiers ailleurs mais m'a permis de voir qu'elle faisait bien le travail. Donc, je vais réfléchir à prendre la licence.

 

[EVO]

Salut,
Tu trouvera dans cette liste quelques logiciels gratuits : https://www.01net.com/astuces/les-meilleurs-logiciels-de-recuperation-de-donnees-584027.html
A voir s'il sont aussi performant, mais cela ne coute rien d'essayer !

Recuva par exemple m'a deja aider quand j'ai voulu sauver des fichiers pour des amis, a voir par contre avec quel systeme de fichier il est compatible ...

 

[yogi_om]

testdisk marche aussi très bien

 

[FX Cachem]

Hello xfifi79,

Si ton NAS n'était pas accessible (QuickConnect ou autre) et que tu n'avais pas l'UPNP d'ouvert... est-ce que tu n'aurais pas une faille ou un virus dans ton ordinateur ? J'imagine que tu avais un lecteur réseau sous Windows par exemple avec login/mot de passe enregistré. Non ?
C'est une hypothèse...

Courage à toi