SynoLocker 事件

本月月初,出現了一個專門針對 Synology NAS 的勒索軟體 – SynoLocker,它利用舊版的 DSM 漏洞入侵用戶的 NAS,然後對機器裡的文件進行加密,並對使用者勒索。到目前為止似乎已經告一個段落,稍微記錄一下。(詳細內容可參考 iThome 的報導

最早是 8/4 在 mobile01 上看到這則消息:「各 Synology NAS 用家請小心,SynoLocker 會加密 NAS 內檔案,限時勒索」,讓我一整個嚇到,雖然我基本上都有定時在 update 軟體,但忽然想到自己好像還有最近的一個 update 還沒安裝,心中無比擔心,因為我目前沒有完整備份 NAS 上的資料啊!要是中了我不就叫天天不應,叫地地不靈了,連飯都還吃到一半,趕緊把所有的對外連線都先關掉,檢查一下 NAS 上有沒有文章裡提到奇怪的症狀,例如 CPU loading 異常飆高、奇怪的 process 在運作之類的,暫時沒發現異狀後,第一要務就是趕緊把資料備份起來。

備份資料其實也得花不少的時間,期間我也持續觀察發展,因為國內用戶好像都集中在 m01 那邊討論,所以我也追蹤了 twitter 的 tag: #SynoLocker. 過了一天,也就是 8/5,看到國外有人貼了英文版的官方公告: Synology® Continues to Encourage Users to Update:

Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM. At present, we have not observed this vulnerability in DSM 5.0.

看起來 DSM 5.0 應該是不受影響,但為了保險起見,在還沒完成全部資料的異地備份前,暫時還是把對外連線關起來。期間因為還是有用 CloudStation 同步資料的需求,只好暫時改成用 VPN 連回家裡,再做同步的方式,雖然有點麻煩,而且有時候還會忘記 update,但也只能先這樣變通。

中文版的公告是 8/6 出的:

群暉科技 Synology® 已全力調查名為 “SynoLocker” 的勒索軟體,並協助受到影響的 Synology NAS 用戶。Synology 已經確認此勒索軟體會透過舊版本 DSM 的安全性漏洞影響 Synology NAS 伺服器,此安全性漏洞於 2013 年 12 月修復的同時,Synology 也釋出修補軟體並透過多種管道通知用戶更新。

到這裡基本上危機應該已經解除,但我為了確保備份完成,一直到 8/8 才把網路又打開。

話說這次事件也蠻有趣的,要贖回你的資料必須要用匿名交流的 Tor Browser,而贖金則用相對難以追蹤金流的 Bitcoin 來支付,一整個就很有 hacker 的 fu 啊!

另外,在討論中,大多數人是不贊成支付贖金來取回資料的,但對於沒有做好備份的人,除此之外又能有什麼方法呢?有些人的確支付了贖金,也成功的取回了資料,可以說這些 hacker 還算有道義嗎?XD

有人埋怨 Synology 的 update 機制出了問題,導致他一直以為自己是處在最新版的狀態而中招,就我來說我是沒遇到這情形,而且在有 follow 他們家的消息(email, FB, G+ …)的情況下,有 update 還蠻容易會知道的。

從這次的事件獲得兩個結論,第一當然是備份、備份、再備份,第二則是一定要定期 update system 啊!

後記

話說這幾天剛好收到醫院要求要上資訊安全的線上課程,其中一個課後考題如下:

cryptolocker

還真是切中時事啊!^^a