SynoLocker勒索软件需要比特币

Synology制造的网络连接存储设备受到攻击,他们的数据加密了,通过勒索软件需求解密密钥需支付350美元比特币(通过Tor匿名支付)。从现在起,没有补丁。

发布于8月4日,2014年下午4点55分•49评论

评论

托马斯·8月4日,2014年7:01下午

从现在起,没有补丁。

除了备份。

如果你丢失了数据,它丢了。不管是恶意软件还是灾难性的硬件故障。

如果你重视你的数据,备份。

无尾目·8月4日,2014年7:03下午

@Thomas

“备份除外”
+ 1

@杰森

关键是让人们支付赎金,太多了,他们就会减少损失。

柯克霍夫·8月4日,2014年7:20下午

“如果你重视你的数据,支持一下。”

同意。这适用于备份,。购买Synology NAS设备作为备份存储的人是愚人因为他们的备份没有备份。

如果你重视你的数据,备份备份的备份!

杰森·R。·8月4日,2014年27点

我认为这意味着备份应该与实时存储分开,DR prep的基本租户。异地备份系统不太可能与本地NAS同时拥有。

虽然我很欣赏你的感情,因为在现实中,对于许多只受过很少IT培训的SMB人员来说,NAS=备份,储存,无论什么。

特拉梅尔·8月4日,2014年7:48下午

因为这个勒索软件对个人文件进行加密,加密的文件将传播到任何备份。

您必须希望有版本良好的备份集可用。

无尾目·8月4日,2014年8:18下午

@特拉梅尔

备份是不可变的;如果它是可变的,那就是冗余。只是备份时间的问题。

格韦希尔·8月4日,2014年9:09 PM

@奥古斯特·克克霍夫斯:

备份是离线和离线的。其他一切都只是一份副本。

NPZ·8月4日,2014年11:14下午

我不同意备份是灵丹妙药。

如果备份已损坏怎么办?勒索软件不需要立即通知你。如果我记得,CryptoLocker直到一段时间后才通知您,因为许多文件已经加密。有了频繁的备份,很有可能你的备份也是坏的。

有时频繁,或按需备份,是更新关键数据所必需的,至少暂时模拟RAID-1。当重要的是当前版本或处理实时数据时,以前版本的备份数据将不足以满足要求。

弄清楚·8月4日,2014年11:46 PM

如果备份已损坏怎么办?
NPZ
--是的,这是没有人会回答他们不能回答的信用证问题。如,在“安全备份”中存储恶意软件。形势如此严峻,完全失控。

所以,通过备份,你基本上是在保存恶意软件…

杰拉德·范沃伦·8月5日,2014年1:57我

我不喜欢这样的故事,因为它们根本不是技术性的。我不相信一个Synology NAS仅仅通过插入就会被入侵。我们不再生活在Windows XP时代。我们在说什么?英特尔的还是ARM的?一定有一些正在运行的服务是可利用的。不难弄清楚它是哪种服务,拥有哪种访问权限。

我读了太多关于布吉人的故事…具体点。

安迪·8月5日,2014年2:35 AM

到目前为止,似乎运行4.3固件的ZO设备正在发生这种情况。这是从2013年初或中期开始的,并且已知存在漏洞。

安迪·8月5日,2014年2:57 AM

更正:4.3.3810和4.3.3827是已知的脆弱性。

其他可能是,确切的攻击向量尚不清楚。受影响的机器可以轻松地覆盖管理GUI锁定,当然,这对已经加密的文件没有任何作用。但如果事情仍在进行中,这是一个一线希望。用一份新的和更新的真正的Syno操作系统的副本删除Transomos。

嗯…我一直在抱怨这一切,从您的手持设备/电话等接入NAS的自煮云是一个好主意,然而,创建SLL这些快速设置向导和自己的协议是非常糟糕的。想知道为什么不坚持已知且经验证的协议。被告知要随时随地去。

这就是Synology。

马蒂亚·8月5日,2014年3:01 AM

匿名化技术,如加入随机机制和/或在机构预先确定的网络内组织/执行科学工作的原则的ToR,在最大限度地减少客户(通常是公司)和研究人员(科学机构)之间的利益冲突方面具有巨大潜力。ACR编辑的实验室等)。**甚至可以通过这种方式处理付款。**

你觉得呢?布鲁斯?

SchneieronSecurityFan·8月5日,2014年3:28 AM

可以使用名为shodan的搜索引擎或类似的搜索引擎来查找目标NAS系统吗?

安迪·8月5日,2014年马拉松比赛是

对于咯咯笑,请尝试谷歌搜索“inurl:webman/index.cgi”

令人难以置信的是,有多少人(或者说是业务关键型的)使用公共IP连接到了网络上。

透思·8月5日,2014年3:48 AM

@安迪
哎哟,这会伤害到很多人。

我猜默认的管理凭证会让你进入别人的“信任”北美和所有的地狱都被释放了。

G·8月5日,2014年6:08上午

愚蠢的攻击者。他们应该使用机器学习或其他方法,对数据的价值做出更好的估计。有些人可能愿意为此付出数千美元,有些人可能会支付最高100美元(这些应该被接受,也是:p)。

西米·8月5日,2014年6:41 AM

“我不同意备份是灵丹妙药。如果备份已损坏怎么办?”

担心在某种情况下可能出现的每一个问题并不是解决问题的方法。你必须尽全力,意识到所有这些可能的问题很可能不会出现。双重备份将进一步减少这种异常情况。

小精灵·8月5日,2014年七14点

我去年买了一个Synology NAS。虽然我认为他们的一些技术很好(但并不便宜),我很早就决定不把我的连接到互联网上,因为当时我对设备的安全性有点怀疑。

现在我很高兴我做了这个决定,但得出的结论是,我在DSM中购买了大量的软件选项,我永远无法真正信任这些选项来保证我的数据安全。

一般消费者没有机会评估这种复杂设备固有的风险。

丹尼尔·8月5日,2014年8:50 AM

比特币是一种用途广泛的货币,是否无法在事务上标记某些内容以使其可跟踪?

鲍勃S·8月5日,2014年上午9:24

所有这些都让我们再次回到了托尔。注意到新开发的新闻是如何在眨眼间变暗的?在做正确的事情之前,是否是权力决定了他们想要有一点时间来处理它?

上周我停止使用Tor,因为我的电脑死机了,而且做了一些奇怪的事情,没有解释。一旦Tor浏览器被删除…就像魔法一样…一切又变得美好起来。巧合?可能。

Tor最近肯定受到了世界上所有网络骗子和政府的恶毒攻击。

我希望勇敢的开发者们能赢得对Tor的战争。

但是,我不敢打赌。

不可信的·8月5日,2014年远点

@丹尼尔

比特币是匿名的,但它是可追溯的。偷来的比特币通过一个交易所被追回,但这让人们感到不舒服,因为这就像在抢劫银行后没收某些已知的百元美钞一样。人们可能无意中收到了被盗的比特币。(在查封交易所的过程中,我认为比特币是在抢劫案发生后直接转移的,或者近乎直接、批量转移的。)

比特币混音器可以将比特币的许多来源带入,然后发送到许多目的地,一个事务中的所有内容,混淆了。但我的理解是,窃贼在冒交易风险之前,往往会在被盗比特币上坐很长时间。

EJ·8月5日,2014上午10:06

法律上的问题是使用了什么样的加密——概要内置的加密还是黑客添加的?Synology NAS设备是相当封闭的,因此尚不清楚黑客是否能够添加自己的设备。如果他们只是激活了Synology的内部加密,如果已经激活了Synology加密功能,从一开始就不会阻止这种勒索软件攻击吗?

Pd·8月5日,2014年上午10:31

一般消费者没有机会评估这种复杂设备固有的风险。

这就是问题所在。人们在百思买购买复杂的设备,使用默认设置在家中插入它们,而不是维护它们。这对一台电视机来说可能没问题,但是,以可访问性的名义将您的个人数据公开到公共互联网上的设备只是在自找麻烦。

米歇尔·8月5日,2014年下午3:36

“Synology NAS设备相当封闭”。你在那里是错的。SynologyNAS设备只是一个标准的Linux服务器,上面有一个漂亮的GUI。一旦你进去,你可以运行任何你想要的东西,包括,正如这里所做的,您自己的代码加密文件。

斯泰维·8月5日,2014年下午4:56

人,如果我得到了这个,我会有巨大的信心危机。你怎么能相信一个刚刚侵入你电脑获取金钱利益的人?你真的希望把你的数据放回去吗?

即使你支付了赎金,一旦你启用了这种勒索手段,模仿者要懒惰地破坏你的数据并收取赎金会有多难?

温迪·M。格罗斯曼·8月6日,2014年25点

实际上,对于受此勒索软件影响的人来说,最大的问题不是美元/英镑/其他货币的成本,而是大多数人会发现从技术上很难采取必要的步骤来获取比特币,安装托,然后付款。如果你手头没有这些东西,我的猜测是,如果你有好的备份,你将选择备份时间节省一个人。事实上,我想很多人都无法完成所有的工作并在付款期限内完成,即使他们愿意。

工作组

兰伯特·8月6日,2014上午5:34

@Wilson
也许解决办法是诽谤勒索软件提供商(不确定这是否合法,但考虑到你在诽谤罪犯我看不出有道德问题),而且破坏了他们的声誉。也要提供支持。


再保险:备份
“只有懦弱的人才会用磁带备份:真正的男人只会把重要的东西上传到ftp上,让世界其他地方的人照耀它;)利纳斯

克莱夫·罗宾逊·8月6日,2014年8:10 AM

@温迪,

在某些司法管辖区,设立TOR至少是一种可疑活动,而另一些则有9毫米铅中毒的显著几率。

在其他司法管辖区,不报告赎金要求,更不用说支付赎金是刑事犯罪…

当然还有其他问题,我不想在未来几年告诉法官,控方想要的电子记录由于被勒索软件丢失而无法获得……例如在英国,在里帕监狱,你可能面临几年的牢狱之灾。如果有“业务记录”的元素对于许多小企业来说,这很可能是另一个伤害世界,通过多个司法管辖区的其他立法等待人们…

这是一个只会变得更糟的问题,正如许多立法者提出的“权利剥离”和“资产隔离”通过立法来增加那些利用各种方案和避税天堂逃避纳税的大型企业的税收损失,并且可以在法庭上进行抗辩。这往往成为一场中庭战争,在某些司法管辖区,由于政府削减开支等原因导致资源不足,税务机关无法取胜。

神奇的操作系统能做神奇的事情·8月6日,2014年上午9:35

“上周我不再使用TOR了,因为我的电脑出了问题,正在做一些奇怪的事情,没有解释”

真的,没有解释?^_^

我向你鞠躬,先生,你是智慧的泉源。

·8月6日,2014年19点

“我不想在接下来的几年里试图告诉法官,由于丢失了勒索软件,控方想要的电子记录不可用。”

克莱夫,现在有一个巧妙的主意。为什么我的硬盘是加密的?有人在帮你勒索赎金!我不知道你的密码是什么,去问那些骗子。

应该有人为Truecrypt WDE做一个外观,让它看起来像勒索软件。

现在有了合理的否认。

某人·8月6日,2014年下午4:05

再保险:备份

在一台独立的机器上验证备份是通过的吗?我过去每隔几周就抽一些随机文件(和一些非随机文件),以确保磁带是可读的。勒索软件必须在两台机器上都有相同的密码才能通过测试。定制勒索软件也许可以做到这一点,但至少他们必须为此努力。

*在建筑上与众不同,但那是可以得到的,不是计划的一部分。

温迪·M。格罗斯曼·8月6日,2014年下午5:17

克莱夫:我想在这种情况下,举证责任将落在你身上,证明你的所有数据实际上都被吃掉了……我想这将是企业选择将所有数据存储在云端的另一个原因。

工作组

尼克P·8月6日,2014年7:11点

@蒂希

这就是我们有些人使用开放Wifi的原因。;)

@某人

如果没有可靠的备份软件,这是个好主意。如果你有可靠的软件,而不是简单地在您或另一台机器上执行完全恢复可以捕获问题。

在几个类似的机器上只附加或版本控制文件系统是一种更接近您的技术,尽管如此。

埃莉·凯塞尔曼·8月7日,2014年3:38 AM

这似乎就是正在发生的事情。Synology被恶意攻击了(嗯,大约8个月前,比特币矿工。这就是Synolocker用户注意到的时候,
“资源监视器中的CPU使用率异常高:由dhcp.pid等进程占用的CPU资源,矿工,synodns,普韦德pwnedb,Pwnedg公司,pwnedm或以pwned命名的任何进程。”
Synology发布了一个更新对于DSM 4.3及更高版本,截至2014年2月。

当前,“新”攻击只影响运行磁盘站管理器(旧版本)的Synology NAS设备,例如DSM 4.3.因此,现在唯一易受攻击的用户是那些在几个月前发布DSM 4.3时忽略了安装补丁的用户。几小时前CSO又发布了一条消息,这么说吧DSM 5.0用户不受影响,因为补丁是从DSM 4.3升级到5.0版本的一部分。嗯,这是迄今为止我所能说的最好的。

*边缘革命者,经济学家泰勒·考恩,听说过这个,在Twitter上发出警报并链接到这里。这就是我注意到的原因。

尼克P·8月18日,2014年下午3:28

@罗布·刘易斯

微软实际上在Vista中实现了作为Windows完整性控制的BIBA。默认情况下,他们把IE放在最低的完整性中。不幸的是,实现TCB实际上是攻击发生的地方,并且在所有主流系统中都很大。这一点,除了固有的不安全架构,这就是为什么我们有连续不断的攻击。这个风险是我与信任者的主要抱怨,。尤其是TCB中的内核代码。好消息是,有6个项目正在以维护遗留兼容性的方式处理这些问题。我发布了一些在这里.

只要没有其他人有ip,我发布的任何想法都可以加入到你们自己的产品中索赔。我宁愿把这些东西放在产品里,也不想为了钱而把它抢走。

罗布·路易斯·8月19日,2014年上午10:12

@尼克·P,

你说得对,(但不尽信任者所能)。我猜想,大约80-90%的infosec活动集中在控制IT脆弱性表面的方面。简单的节点安全视图打开了通向诸如RAM抓取恶意软件的大门,等。,当与薄弱的体系结构(没有真正的信任链)结合在一起时,这是非常无望的。我们实际上是在讨论用可验证的可信节点和路径来构建防御链,而不是基于杀伤链回溯,试图找到并堵塞每一个火神,可能是一个攻击向量。无论如何,SMB空间中没有任何内容。

最重要的是,在生产环境中,几乎没有对特权和凭据管理做什么。在可自由决定的访问环境中很难做很多事情。一旦攻击者进入,这很容易。作为内部威胁技术,KSE得看看这个。另一个错误的希望是加密,因为数据也必须在明文和处理中受到保护。KSE在内核中为每个用户提供数字分离和警告访问权限控制,因为有必要使用密码将敏感数据与系统管理员分开!


你对信任者的抱怨是基于通常的假设,在我看来,但是正如我所说,KSE的工作原理是不同的。如果威胁不能利用Vuln,它们中的任何一个都重要了吗?我们与国防部的合作最终导致了一场关于信任者如何在未来的作战系统堆栈中保护6600万行代码的讨论,没有修补,直到他们把整个项目的插头拔掉。

委托人,现在由kse(用于内核安全执行器)提供,它在可信计算基础设计中加入了范例转换,以及实施,一种基于代数模型,并在设计中引入形式化方法的方法。代数分析可以让我们画出一条关于分离和保护的大胆线,然后备份。安装了kse的任何节点都将成为分离的内核/引用监视器,你知道的,数学上完整,它们有一个二级原语来相互交流。它的安全原语是数学对象;它们不能弯曲。它让人控制需要控制的东西。

像你这样的关于信任者的评论让我愤怒地举起手来,几年来一直在减少我的活动。我真的不知道,除了说,“在我们故意让可利用漏洞处于开放状态的情况下,对这些系统进行笔测试”,提供丰富的提示和提示,并对可使用的工具/武器零限制。

DISA的报告好心地指出了我们故意留下的空白。然而,他们没有提出为什么不能利用他们的建议,也不知道为什么他们不能访问目标目录,即使我们给他们指定了管理权限。

他们认为我们只是幸运的一天吗?这不是一次性的。这是每次有人挑战KSE的结果,它可以在任何时候重复。

所以当所有的蠢帽子都回来的时候,“我们发现了漏洞”,(即使他们不能利用它们)我只是摇摇头,把他们降到末日的行列,因为infosec只有在默认模式下逃离vuln之后才能获胜。

至于完整性控制,KSE从一开始就有MLI,一个简单的数据或代码在所有用户中的完整性排名可以保护它。所以它就在那里——有一个可验证的TCB和一个可用的框架。

你的清单很好,但这项研究中的大部分并没有解决实用性问题,事实上,世界根本负担不起拆除和更换所有系统和设备,或者重写所有代码。

这是指一些东西的价值,这些东西是可用的,可以在现有的商业系统中降低,即使在生产系统中,更不用说不打补丁的保护了。FYIKSE模型可以应用于硅胶层,我已经问过了。作为一个非极客,那种东西使我的大脑紧张。我的努力过去和现在只是简单地把这项技术作为一个可行的解决方案,在过渡时期迅速提高标准。


尼克P·8月19日,2014年下午1点

@罗布·刘易斯

“你对Trustifier的抱怨是基于通常的假设,在我看来,但是正如我所说,KSE的工作原理是不同的。”

“形成托拉斯,现在由kse(用于内核安全执行器)提供,它在可信计算基础设计中加入了范例转换,以及实施,一种基于代数模型并在设计中融入形式化方法的方法。”

我将忽略“范式转换”这一红旗短语。现在。;)让我把我对KSE的假设清楚地说出来,这样你就可以接受或纠正(有具体的细节)。我对它的理解是基于原文和最近的照片。

1.应用程序对内核代码进行系统调用。

2。系统调用被KSE拦截,并应用于它的安全策略。政策可能会考虑系统调用的内容,调用进程的权限,时机,使用的资源,和更多。我会给你一个理想的情况,假设你做了每一个可能的安全检查。

3.然后数据进入内核,常规内核代码执行它的位置。

参考监视器就是这样工作的吗?如果是这样,这既不是一种范式转换,也不是安全的。这只是“系统调用介入”的另一个例子安全计划,历史悠久。在谷歌上搜索这个短语会给你带来很多设计。如果你使用这种方法,那么,在信息安全社区中众所周知,它将面临以下风险:

1.内核模式

(注:Argus Systems的Pitbull,你的竞争对手,被内核模式攻击击败并承认存在这种风险。在…之间其他

2。用户模式数据可以接触的主机固件

3.用户模式数据可以触摸的外围固件

4。如果没有iommu,DMA攻击

5.从处理器超线程或缓存隐藏定时通道

6。电源线或外设物理连接器上的侧通道

7.被动或主动RAM攻击

8.如果不信任引导,在另一台计算机上的HD上引导或修改代码。

内核模式代码最受TLA和恶意软件的攻击。在这个名单上还有很多其他的TLA攻击。即使是用合适的工具和逐步的说明来帮助人们也可以做到(并且已经做到)第一点,4,8个关于企业系统。I mention these attacks because your company promotes the products for insider threat protection in situations where presumably there's valuable I.P./secrets and fairly intelligent users.渗透,贿赂,根据大多数有关工业间谍活动的报道,除了黑客攻击,还有试图窃取此类机密的组织。所以,还必须考虑终端用户对机器本身构成的风险。这就是为什么在这种情况下,我经常推荐篡改密封的瘦客户机,在服务器和管理方面也有相当严格的要求。

所以,如果您的产品是系统调用参考监视器,如果内核或固件不安全,则可以证明它是不安全的。此外,如果它们的约束是(a)它们有根,(b)它们只攻击用户模式代码,那么DoD红色团队的练习不会增加额外的信心。真实世界,老练的攻击者现在正在攻击固件系统,内核和其他级别。如果不是模拟的话,然后测试证明除了您的产品可以隔离特定类型的用户模式安全故障之外,什么都没有。有很多产品可以做到这一点,其中许多都是便宜或免费的。;)此外,图拉雅桌面等产品,VX工厂mils,LynxSecure或基于诚信的戴尔SCS可以隔离应用程序,整个系统(带内核)或者两者都有。很多人添加了可信引导和iommu,一个支持所有离开机器的数据的无缝加密。

所以,KSE似乎是Sys呼叫市场的一个有趣的补充。我认为这是对像阿格斯·皮特布尔这样的产品的竞争,Solaris信任扩展,和塞Linux。它可能允许在用户模式应用程序失败的情况下进行与安全相关的数据管理。它在保护方面不如对内核模式代码应用保护或允许应用程序在最小的TCB上隔离的产品。很久以前我给你的解决方案(我免费添加)是将你的产品与一个管理程序层技术结合起来,保护*IT*和内核。并把它放在至少一个参考硬件与硬件安全方法和驱动程序编码的安全语言(如Ada或气旋)。

因为我们聊天,几十名预算内的大学生已经生产出了这样的产品,所以我非常肯定一家拥有资金和聪明的工程师的公司能做到这一点。最近,我考虑把Kse和Cambrige的Cheri BSD结合起来。它的性能对于安全关键的设备来说仍然足够好。不管怎样,我有信心,工作,随着时间的推移,您的产品的安全性将越来越接近其安全声明。人们只需要修复整个“固件和Linux内核在TCB中”与基于CMW和Xen的产品共享的问题。

“FYI,KSE模型可以应用于硅胶层,我问。”

是啊,在IBM Karger一个cmw风格的模型在2010年的芯片水平。他们实际上把它以有限的产量卖给了一些客户。可能申请了专利,也是。

更重要的是,芯片是由“硅”制成的乳房植入物使用“硅胶”。您可能可以使用后者构建解决方案。我确实缺乏物理方面的专业知识。我知道硅胶工作起来更舒服。同时,我建议你们的工程师把重点放在硅上,因为它更实用,尽管它不那么吸引人。:P

K-Veikko公司·8月22日,2014年下午12:03

如果您使用ZFS-filesystem和磁盘上足够的空闲空间,所有加密的文件都可以还原。

发表评论

允许的HTML:····

乔·麦金尼斯(Joe MacInnis)为布鲁斯·施奈尔(Bruce Schneier)拍摄的侧栏照片。

施耐尔的安全是一个个人网站。betway88必威官网备用所表达的意见不一定是…的意见IBM的安全.