PCDVD數位科技討論區 - 針對 Synology NAS 先加密你所有檔案再勒索的惡意程式 SynoLocker

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)

- 儲存媒體討論區 (https://www.pcdvd.com.tw/forumdisplay.php?f=20)

- - 針對 Synology NAS 先加密你所有檔案再勒索的惡意程式 SynoLocker (https://www.pcdvd.com.tw/showthread.php?t=1055688)

我手邊有兩部Synology，目前暫時將它們和Internet隔離，但還是會擔心是否有惡意程式潛伏在裡面，請問除了另外下載監控程式盯著看以外，還有什麼辦法可以確認該NAS已遭入侵？先謝了。

引用:

作者hakkinen978

請問您是否有設置自動封鎖，管理者的密碼強度如何?
想確認一下是否有暴力破解的可能 (字典檔的話就不怕了)

這類的攻擊通常都不是因為密碼的問題. 有漏洞可以進來的話, 通常不需要知道密碼就能進來了.

這類的攻擊應該以前就有了吧, 以前是針對一般的 web server, 一樣是進來後加密要求付款才給解密的金鑰.
至於沒付款想要自己解回來.... 應該是不可能的事情. (就算你有超級電腦, 可能解到你掛了也還沒解出來....)

Dear 虎班貓

可以搜尋近7天內有更新的檔案

萬一中獎，被加密的檔案編輯日期會不一樣

引用:

作者azopper

Dear 虎班貓

可以搜尋近7天內有更新的檔案

萬一中獎，被加密的檔案編輯日期會不一樣

謝謝，我試試看。 :)

引用:

作者azopper

Dear amigoccs

機器 Synology 1513+
韌體版本 4.3

目前將軟體 Restore，更新為5.0，暫時關閉所有雲端功能
損失的檔案還在可接受範圍內，一切靜待synology 說明

Dear azopper,

感謝您提供寶貴資訊！

請問您的 4.3 是 3810 還是 3827 呢？因為 2014/2 Synology 有提供補釘，修補漏洞，防止Coin Miner 事件。而我手邊一位往有的 DS513+ 就是屬於沒有更新的 4.3-3810，因此想得知您的詳細版本號，好判斷補釘程式是否有幫助防止 SynoLocker 事件～

Have a nice day!

Best regards,

Amigo

引用:

作者y2kplus

Dear Amigo

讚~
可是cpu...沒對應的~
裡面有裝很多資料,有空清光再來玩..
thank you

Dear y2kplus,

您好，附上兩份更完整的資料，希望可以協助您找到對應的 CPU 軟體：

Overview on modifying the Synology Server, bootstrap, ipkg etc

What kind of CPU does my NAS have

Wish it helps!

Best regards,

Amigo

引用:

作者azopper

Dear hakkinen978

1.密碼混雜英文,數字,特殊符號，長度共7個字，字典檔無法破解
2.NAS 躲在 Hinet小烏龜下方，使用NAT轉Port至虛擬ip，並非開DMZ
3.每日確認log，無異常 login紀錄
4.NAS 安裝的軟體 Download station , Photostation , FTP , WEB DAV
5.有註冊 synology 的 DNS
6.未使用EZ-internet

推測hacker不是透過Web login 正規登入取得權限
Synology OS可能存在缺陷or漏洞，被植入加密木馬
木馬利用NAS的CPU資源，在背景加密檔案
並修改登入頁面，向USER勒索

在Synology 尚未說明之前，只要NAS 暴露在網路上，就有可能中標！

Dear azipper，

分析您的資料，看來有透過 NAT 的 Port Forward，開放外部存取特定通訊埠，可否請教 port number？我也懷疑是否是經由 Port 5000/5001 管理通訊埠入侵。

另外，您提及有註冊 Synology DNS，請問是否有開啟 Quick Connect？Synology DNS 應該是 DDNS 服務，我否解讀為您有使用 Synology DDNS 與 Quick Connect，好方便從外部，以簡單易記的網址，登入家中NAS，而不必記得 IP?

Have a nice day!

Best regards,

Amigo

引用:

作者hakkinen978

早上看到這串就立即封鎖非台灣的IP
看來還是有風險，保險點走VPN連好了

Dear hakkinen978,

確實，走 VPN 是最保護 NAS 防止外部未授權存取的最安全方法！

不過要先確認，您的 VPN 是否有暴露在風險中：

來自 Y-combinator 的討論串：

My favorite Synology vulnerability from the linked list:

'The OpenVPN module in Synology DiskStation Manager (DSM) 4.3-3810 update 1 has a hardcoded root password of synopass, which makes it easier for remote attackers to obtain access via a VPN session.'

Have a nice day!

Best regards,

Amigo

引用:

作者Raziel

應該說只擋IP, 而系統本身仍存在弱點, 是幾乎無效的管理辦法. 負向列表是做不完的.

如果辦得到, 使用IP的管法應該是正向列表, 只有某幾個已知可信任的IP才給服務,其他擋.

如果辦不到, 就用VPN進來吧~

Dear Raziel,

您的資安設定方式很正確，為需要保護的 NAS 加入正向列表 + 擋掉所有正向列表以外的 IP 是常用的方式！

Have a nice day!

Best regards,

Amigo

引用:

作者虎斑貓

Dear 虎斑貓,

網友分享的中鏢狀況還有無法 Reset NAS

Wish it helps!

Best regards,

Amigo