各 Synology NAS 用家請小心，SynoLocker 會加密 NAS 內檔案，限時勒索 (第6頁)

amigoccs
個人積分：57分
文章編號：51448247

57分

51樓

2014-08-04 16:11

jeff12302006 wrote:
請問您的VPN伺服器...(恕刪)

Dear jeff12302006,

> 請問您的VPN伺服器是使用Synology內建的還是第三方?
> 如果還是使用Synology建置的VPN?是不是還是有安全上的疑慮

Y-Combinator 的討論串建議不要使用 Synology DSM 4.3 的 VPN 程式，已經有已知問題，但該公司沒有採取任何應變措施。

"
chmars

My favorite Synology vulnerability from the linked list:

'The OpenVPN module in Synology DiskStation Manager (DSM) 4.3-3810 update 1 has a hardcoded root password of synopass, which makes it easier for remote attackers to obtain access via a VPN session.'

http://www.cvedetails.com/cve/CVE-2014-2264/..."

Wish it helps!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：51448272

57分

52樓

2014-08-04 16:12

ulimie wrote:
真是惡劣行徑.......(恕刪)

Dear ulimie,

> 所幸在下一向不把 NAS 直接對外，不對 NAS 做任何 Port forwarding，
> 一律限在 LAN 內使用。外出時則先 VPN 回家再做管理或資料存取。直覺上
> 也許不是很方便，但是目前有此危機，這樣的做法，不妨暫時參考看看。

我認為這是很棒的作法，對於一般消費者提供基本的資安防護！

Thanks for sharing!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：51448408

57分

53樓

2014-08-04 16:19

Dear oneyellow,

> 剛剛連進去看CPU正好一直滿載
> 結果檢查是在掃毒，希望是虛驚一場

請問您使用哪個程式觀察 process？

請參考 Linux Process Viewer with Thread Support 安裝新的程式監控 CPU 狀態，請不要相信內建監控程式，通常會被修改，好隱藏正在執行的惡意程式！

> 我有透過防火牆做port mapping，對外開放的都不是預設port

最好在 router 上停止任何關於 NAS IP 的 Port Forward

> 也關閉非必要的port了，這樣是否比較安全些了？

是，詳細說明請參考 Synology Security Issue and How-to Harden your NAS，其他廠牌的網友，建議您也可參考上述文章，開啟資安設定。

Wish it helps!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

sopp0820

sopp0820
個人積分：282分
文章編號：51448476

282分

54樓

2014-08-04 16:23

看了一下英文討論區中獎的幾乎都是沒更新過的dsm 4.3 而且2014也沒更新過修正版

在懷疑是不是透過舊的那幾個弱點打進來的..

amigoccs

amigoccs
個人積分：57分
文章編號：51448579

57分

55樓

2014-08-04 16:28

sup821 wrote:
看Amigo兄提供的...(恕刪)

Dear sup821,

> 看Amigo兄提供的link, 看起來升級就可以解掉。聽起來還是之前幾個月前
> S警告用戶要升級的這個問題:

我的 Linke 是 2014/2 的問題的解決方法，與強化各家 NAS 的資安設定。

這次的問題還不確定是哪種攻擊入侵，但先更新、修改 Port 5000、關閉對外服務，是各位使用者可以立刻降低風險的自保措施。

> 我猜已加密的檔案大概難救不回來. 已經中招的要趕快關機免得加密的檔案越來越多，
> 接著用S提供的方法，升級dsm 到新版把被hacked的dsm給清除掉

這次被感染後也確實有這個問題，會發生無法更新韌體的問題，在 Synology disk HACKED (Synolock) 網友有提及此事。

各位可以參考 Downgrade Synology DSM 嘗試置換掉被感染的 DSM 版本！

Have a nice day!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：51448647

57分

56樓

2014-08-04 16:32

fredwu_tw wrote:
今天同事說檔案都打不...(恕刪)

Dear fredwu_tw,

> 今天同事說檔案都打不開,才知道中了synolocker,但咱沒裝其他軟体,純是被駭了,
> 前幾周才更新了DSM哩,有誰知道怎麼解決嗎??!!!

請問您是否有修改 Port 5000 管理通訊埠，或使用Synology EZ-Internet / Quick Connect 服務嗎？我想多蒐集一點相關資訊，好思考解決方案！

您目前不會有功開的解決方法，除非拿到加密金鑰。因為這種加密演算法普遍用在金融交易，就算未來發現可以用暴力法以外的破解演算法，也不會再短時間內公諸於世，而且會成為各國搶手人才！

Have a nice day!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

sopp0820

sopp0820
個人積分：282分
文章編號：51448763

282分

57樓

2014-08-04 16:39

amigoccs wrote:
Dear jeff1...(恕刪)

dsm 4.3 3810->3827->4244 好像早就更新修正了吧...

http://ukdl.synology.com/download/DSM/4.3/

amigoccs

amigoccs
個人積分：57分
文章編號：51448764

57分

58樓

2014-08-04 16:39

disburden wrote:
手邊也有客戶的nas...(恕刪)

Dear disburden,

> 手邊也有客戶的nas剛中標了!!

週一開機或登入，是很好的事件觸發點！

> 剛問群暉似乎如已被加密的檔案就無解，除非你付錢...
> 只能期禱所有檔案皆未被加密，還有檔案可以救回。

我想提醒大家，中央銀行有公佈 BitCoin 不可以作為法定貨幣，各位在台灣以 BitCoin 支付贖金交易是有違反金融秩序法的現行犯危險！

> 群暉提供的救檔案方式為接到Unix-based的電腦將檔案備份出來
> 參考：http://www.synology.com/zh-tw/support/faq/579

就是把硬碟從 Synology NAS 卸下，以唯讀掛載方式，讀取內部尚未被加密的檔案。

注意：不要用 root 帳號複製檔案！請用權限相對低的帳號執行複製行為！

> 剛有問如依前面版友所提，把DSM重裝是否可解，他們說目前測試中，無法確定。

那個只能移除 Worm，而如果對方有把自己隱藏再騎他磁區或目錄，這樣還是沒有用的﹍

Have a nice day!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：51448846

57分

59樓

2014-08-04 16:44

Dear npc,

> 建議直接連絡群暉尋求技術支援，畢竟用戶會選擇花比DIY還貴的建置成本購買成品，
> 也就是冀望必要時刻可以得到原廠支援解決問題。

基本上 Synology 僅負責機器正常運作﹍我不知道消費者是否會被打官腔回覆，不如問網友實際﹍

> 另外會採用Synology產品的用戶，大多數都是看上豐富的APP應用，比起單純的
> 雲端儲存空間，如果要大家把門口都檔起來，那不是廢了大半武功？！

就像天秤的兩端，安全與方便還是要找到平衡點﹍

這也是我在 個人購買 NAS 的選擇標準參考 最後推薦同時購買多品牌，分散風險的原因之一。

我個人偏好買老二與老三的產品，不喜歡買老大，也不想看老大的臉色。

Have a nice day!

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com

amigoccs

amigoccs
個人積分：57分
文章編號：51448923

57分

60樓

2014-08-04 16:48

sopp0820 wrote:
看了一下英文討論區 ...(恕刪)

Dear sopp0820,

> 看了一下英文討論區中獎的幾乎都是沒更新過的dsm 4.3 而且2014也沒更新過修正版
> 在懷疑是不是透過舊的那幾個弱點打進來的..

第四頁的網友 fredwu_tw 的狀況是：

> 今天同事說檔案都打不開,才知道中了synolocker,但咱沒裝其他軟体,純是被駭了,
> 前幾周才更新了DSM哩,有誰知道怎麼解決嗎??!!!

我想他的應該是相對新的版本，但也中鏢了，所以我會排除是舊版沒有更新二月份大漏洞的問題。

但依然希望有其他中鏢網友可以提供 DSM 版本資訊，協助我確認此事！

感謝協助回報的網友！

Best regards,

Amigo

我的部落格：http://amigotechnotes.wordpress.com