Hardwareluxx > Новости > Железо > Сети > Synology: хакеры шантажируют пользователей закодированными данными (обновление)

Synology: хакеры шантажируют пользователей закодированными данными (обновление)

Опубликовано: 07.08.2014 в 15:38 Андрей Шиллинг

Вот уже несколько дней пользователи NAS Synology подвергаются атакам неизвестной группы хакеров. Они пользуются видоизменённой формой криптолокера, который называется SynoLocker. Программа атакует систему NAS через ранее неизвестную брешь безопасности, когда они получают доступ в сеть. При этом все данные, хранящиеся в NAS, кодируются и становятся недоступны для пользователя. Когда пользователь хочет получить доступ к своим данным, SynoLocker даёт ему указание, что данные станут доступными за 0,6 Bitcoin (около 260 евро). Через неделю сумма удвоилась.

В настоящее время Synology ищет точное направление атак, используемое для проникновения в Disc Station Manager (DSM, операционная система NAS компании Synology). Вероятно, затронуты не все системы, и большая часть хранилищ, на которые совершаются атаки, работают на базе DSM 4.3. Synology пока не исключает и возможности атак на другие версии DSM и в особенности рассматривает текущую версию 5.0.

Lovely. My @ Synology NAS HAS BEEN hacked by ransom ware calling Itself Synolocker. Not what I wanted to do today. pic.twitter.com/YJ1VLeKqfY
- Mike Evangelist (@ Mike Evangelist) August 3, 2014

Чтобы избежать атак, Synology рекомендует отключить дистанционное управление. Кроме того, все пользователи должны сделать обновление до последней версии DSM. Пострадавшим от хакеров рекомендуется выключить NAS и не пользоваться им. Затем нужно связаться со службой поддержки Synology, даже хотя пока решения проблемы нет.

SynoLocker выдаёт пострадавшим пользователям такое сообщение:

SynoLocker
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography.

List of encrypted files available here.

Follow simple steps synthesis files if recovery is needed:

Download and install Tor Browser.
Open Tor Browser and visit http://cypherxffttr7hho.onion . This link works only with the Tor Browser.
Login with your identification code to get Further instructions on how to get a decryption key.
Your identification code is - (that is visible here).
Follow the instructions on the page once a valid decryption decryption key HAS BEEN-acquired.

Technical details about the encryption process:

A unique RSA keypair 2048 is generated on a remote server and linked to this System.
The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
A random 256-bit key is generated on this system When a new file needs to be encrypted.
This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
The 256-bit key is then encrypted with the RSA-2048 public key.
The Resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
The original unencrypted file is then over writed with random bits before being deleted from the hard drive.
The encrypted file is renamed to the original filename.
To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
Once a valid decryption key is Provided, the software files for each search a specific string stored in encrypted files all.
When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright

Остаётся неясным, насколько сложно кодирование SynoLocker и сможет ли Synology сломать его. В худшем случае пользователям, не имеющим резервных копий данных, придётся смириться с их потерей. Synology сообщает на форуме поодержки следующее:

Дорогие клиенты,

Мы предупреждаем вас о SynoLocker, вредоносной программе, которая захватила сервер Synology.

При попытке доступа в интерфейс DSM программа выводит такое сообщение: „All important files on this NAS have been encrypted using strong cryptography“ ( „Все важные файлы на этом NAS закодированы“) и указывает сумму, которую вам нужно заплатить, чтобы раскодировать ваши данные.

Что вам следует делать, когда вы увидите такое оповещение?

Выключите DiskStation, чтобы другие данные не были закодированы.
Обратитесь в нашу команду поддержки, чтобы мы могли помочь вам. Даже если вы не уверены, что на вашу DiskStation совершена атака, не стесняйтесь связаться с нами: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Приносим извинения за сложившуюся ситуацию. Как только у нас появится новая информация, мы сразу же сообщим её вам.

С командой поддержки можно связаться здесь.

С наилучшими пожеланиями, ваша команда Synology

Synology

Обновление:

Synology опубликовала ещё одно обращение, в котором ещё раз предупредила об угрозе и описала "симптомы", вызываемые вредоносной программой, а также порекомендовала установить новейшую версию DSM. Тем, кто столкнулся с проблемой, и у кого данные оказались закодированы, Synology не может сообщить ничего нового и лишь говорит о том, что "Synology пока что не может раскодировать ваши данные."