Synology NAS besmet met ransomware synolocker

Freakster86 schreef op maandag 04 augustus 2014 @ 15:44:
Internet kabel eruit trekken misschien betere oplossing dan?

nee, want mocht hij geïnfecteerd zijn dan is verbreken van de internettoegang niet genoeg om het encryptie proces te stoppen. De stroom er vanaf gooien daarentegen wel

Ik heb vanuit mijn werkgebied zeer intensief contact met Synology. Onderstaande communicatie is van vanmorgen vroeg. Niets super spannends maar ze hebben wel een idee waar te zoeken!

Verwacht dan ook snel een oplossing vanuit Synology voor dit issue.

Our product team is investigating this case heavily. We have had some initial findings. But to be 100% sure about the situations, our team is doing more tests and checkings now. Should you hear any similar cases, please ask them to submit support tickets to us
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

We will take care of these cases at the highest priority.
We will also announce the solutions and information publicly when we sort out the situation.

Judaz schreef op maandag 04 augustus 2014 @ 15:48:
encrypten van x GB kost veel tijd.

Je zou dan ook een proces moeten ziet dat heel erg bezig is ...

was het niet zo dat men bij die bitcoin troep een tijd terug dat in sommige gevallen het proces wat de NAS aan het stressen was verborgen werd? (volgens mij werd top vervangen met iets dat de output filterde)

Ik kan het verder nog niet controleren en vinden maar;

Ik heb iemand thuis alleen laten proberen om het admin panel te bereiken(:5000), dat ging goed en het normale scherm kwam in beeld. Krijg je de locker melding al direct als je naar het inlog scherm van de NAS gaat of moet je eerst nog inloggen? Verder de NAS direct uit laten zetten door een bekende, lastig aangezien ik in het buitenland zit.

Zeer benieuwd waar nu dit lek zit.

Orion84 schreef op maandag 04 augustus 2014 @ 15:35:
[...]

Uhm, wellicht kan hij er niet bij omdat zijn baas poort 5000 uitgaand dicht heeft staan, maar is zijn NAS wel bereikbaar van buiten? Iets met aannames en zo

Smartphone via je mobiele provider. Alles kan hoor

Zo te zien aan dit plaatje krijg je het meteen te zien voordat je inlogt.

We zijn allemaal wel benieuwd waar het lek zit...

Tjahneee schreef op maandag 04 augustus 2014 @ 15:58:
Bij een comment bij https://www.security.nl/p...bestanden+op+Synology+NAS

Stond er dat mogelijk de bepaalde DSM kwetsbaar is voor de heartbreak bug.. Meer info: https://mobile.twitter.co...status/496182220844191744

Dat zou de heartbleed bug zijn: Wikipedia: Heartbleed

Deze zou nog in de gebruikte OpenSSL versie zitten.

Mij lijkt het sterk, maar je weet maar nooit.

5.0 Heeft specifiek hiervoor een update gekregen destijds

Taipei, Taiwan—April 11st, 2014—Synology® Inc. today releases the latest DSM 5.0-4458 Update 2 to resolve the vulnerability CVE-2014-0160 (also known as the Heartbleed bug) in the OpenSSL software.

[ Voor 19% gewijzigd door Viper® op 04-08-2014 16:10 ]

voor de mensen mensen die ooit quickconnect hebben ingesteld (en nu niet thuis zijn) kunnen via http://USERNAME.quickconnect.to kijken of hun nas nog te bereiken is (als hij uberhaupt aan staat) bij mij is hij niet bereikbaar dus bevestigd dit mijn vermoeden dat hij niet aan stond ben iig veilig..

[ Voor 6% gewijzigd door spartacusNLD op 04-08-2014 16:12 ]

Hm, ik heb een DS213j die ik als mailserver gebruik, en die ik remote kan bereiken via poort 5001 (https). Moet even checken welke poorten openstaan, in ieder geval 80, 25 en 20/21. Ben wel volledig up to date qua DSM 5.0.

Toch maar even remote uitzetten, zoveel mail komt er niet binnen op dat domein.

[ Voor 7% gewijzigd door gambieter op 04-08-2014 16:16 ]

Ik geloof eerlijk gezegd erg weinig van de heartbleed-bug als oorzaak. Die bug gaf een enorm geheugenlek, maar dat lek bleef wel binnen openssl. Het was - voor zover ik het goed heb begrepen - alleen mogelijk om gegevens over de ssl-verbindingen uit het geheugen te lezen, zoals keys, data, etcetera. Dus niet om geheugen van andere applicaties te benaderen.

Als je SSL dus uit hebt staan op je NAS, dan lijkt me dat je weinig last kunt hebben van heartbleed.

spartacusNLD schreef op maandag 04 augustus 2014 @ 16:12:
voor de mensen mensen die ooit quickconnect hebben ingesteld (en nu niet thuis zijn) kunnen via http://USERNAME.quickconnect.to kijken of hun nas nog te bereiken is (als hij uberhaupt aan staat) bij mij is hij niet bereikbaar dus bevestigd dit mijn vermoeden dat hij niet aan stond ben iig veilig..

Wie zegt dat de quickconnect nog werkt bij infected systemen?

Heb zojuist mijn 412+ gecontroleerd, en daarop lijkt niets aan de hand te zijn.
Had hem via ez-internet een portforward laten maken destijds, maar heb die nu voor alle zekerheid maar ff uitgezet.

Nu draaide ik wel de laatste update, had de admin user gedisabled en gebruik 2-factor auth. maar beter maar even zorgen dat hij extern niet bereikbaar is tot er een update vanuit Synology is...

roland83 schreef op maandag 04 augustus 2014 @ 16:14:
Ik geloof eerlijk gezegd erg weinig van de heartbleed-bug als oorzaak. Die bug gaf een enorm geheugenlek, maar dat lek bleef wel binnen openssl. Het was - voor zover ik het goed heb begrepen - alleen mogelijk om gegevens over de ssl-verbindingen uit het geheugen te lezen, zoals keys, data, etcetera. Dus niet om geheugen van andere applicaties te benaderen.

Als je SSL dus uit hebt staan op je NAS, dan lijkt me dat je weinig last kunt hebben van heartbleed.

De meeste zullen gebruik maken van de https (ssl) login op de nas.

Ik ben geen expert, maar zover ik begrijp kunnen ze dus certificaat gegevens en username/password opvragen.
Wat ze uiteindelijk willen is een account met toegang om vervolgens custom software te laden.

What about XPEnology? Dat heb ik op m'n zelfbouw NAS draaien (4.2-3211).
Even updaten is daar ook niet zomaar bij, is allemaal custom made releases.

Heb alleen 873 (NetBackup), 22 (SSH, met sterk password), 1723 (PPTP VPN), en nog 2 random hoge poorten voor Download Station (Torrent).

Remi schreef op maandag 04 augustus 2014 @ 16:14:
[...]


Wie zegt dat de quickconnect nog werkt bij infected systemen?

uhmm tjah dat weten we niet idd

ThinkPadd schreef op maandag 04 augustus 2014 @ 16:16:
What about XPEnology? Dat heb ik op m'n zelfbouw NAS draaien (4.2-3211).
Even updaten is daar ook niet zomaar bij, is allemaal custom made releases.

Heb alleen 873 (NetBackup), 22 (SSH, met sterk password), 1723 (PPTP VPN), en nog 2 random hoge poorten voor Download Station (Torrent).

Die SSH op 22 zou ik mee oppassen. Als daar een vulnerability in zit maakt je wachtwoord weinig meer uit. Die zou ik meteen uitzetten eigenlijk.

Toch remote maar even de Nas uitgeschakeld..
Nog geen melding gezien..

Ik wacht ook maar even tot er meer bekend is...
Ik hoop dat ze wel snel met iets komen..

Je zult op je bedrijf zoiets moeten krijgen..

Hooglander1 schreef op maandag 04 augustus 2014 @ 16:17:
[...]

Die SSH op 22 zou ik mee oppassen. Als daar een vulnerability in zit maakt je wachtwoord weinig meer uit. Die zou ik meteen uitzetten eigenlijk.

Is nodig voor NetBackup naar een Synology bij m'n ouders thuis helaas... Zonder poort 22 werkt dat niet

Heb wel de 'Automatisch blokkeren' erg strak staan. 3x proberen in 3 min =

[ Voor 41% gewijzigd door ThinkPad op 04-08-2014 16:18 ]

Over het algemeen is het sowieso niet te adviseren de 'standaard' poorten te gebruiken. Meestal wordt op die poorten gescanned, omdat de meeste ze daarop laten staan.

ik heb zelf ook gewoon 5001 open staan

ThinkPadd schreef op maandag 04 augustus 2014 @ 16:18:
[...]

Is nodig voor NetBackup naar een Synology bij m'n ouders thuis helaas... Zonder poort 22 werkt dat niet

Heb wel de 'Automatisch blokkeren' erg strak staan. 3x proberen in 3 min =

Tjah, zou ik toch echt niet doen. Er wijst nu veel op dat dat de oorzaak is.

En wachtwoorden of blokkeeracties zijn echt irrelevant in deze. Die komen er helemaal niet aan ten pas.

ThinkPadd schreef op maandag 04 augustus 2014 @ 16:18:
[...]

Is nodig voor NetBackup naar een Synology bij m'n ouders thuis helaas... Zonder poort 22 werkt dat niet

Heb wel de 'Automatisch blokkeren' erg strak staan. 3x proberen in 3 min =

Daarom dat hackers na 1 of 2 keer proberen een uurtje wachten. Dus zo strak staat deze nou ook weer niet.

Oh damn, bedenk me net dat ik de nas bij me ouders al lange tijd niet geupdate heb ...

ThinkPadd schreef op maandag 04 augustus 2014 @ 16:18:
[...]

Is nodig voor NetBackup naar een Synology bij m'n ouders thuis helaas... Zonder poort 22 werkt dat niet

Heb wel de 'Automatisch blokkeren' erg strak staan. 3x proberen in 3 min =

Heb hetzelfde als jij maar voor de zekerheid bijde nassen van het internet gehaald door de portforwarder uit te zetten in de router. Dan maar even geen backup maar ook geen bereikbare en kwetsbare nas.

Wat mss een oplossing is voor ssh is de poort in je syno veranderen naar een custompoort. Zo heb ik geen poort 22 open staan maar een hele hoge.

avec_style schreef op maandag 04 augustus 2014 @ 16:19:
[...]


Daarom dat hackers na 1 of 2 keer proberen een uurtje wachten. Dus zo strak staat deze nou ook weer niet.

Daar zat ik net aan te denken. Daarom staat de mijne iig ingesteld op 3x in 4 uur

Viper® schreef op maandag 04 augustus 2014 @ 16:16:


De meeste zullen gebruik maken van de https (ssl) login op de nas.

Dat betwijfel ik. Standaard staat ssl niet aan, zonder geldig ssl-certificaat werkt het wel maar krijg je in je browser allerlei waarschuwingen voorgeschoteld. De gemiddelde gebruiker zal dan denken: ik zet het maar weer uit, het werkt blijkbaar niet.

Hooglander1 schreef op maandag 04 augustus 2014 @ 16:17:

Die SSH op 22 zou ik mee oppassen. Als daar een vulnerability in zit maakt je wachtwoord weinig meer uit. Die zou ik meteen uitzetten eigenlijk.

Volgens mij haal je SSH en SSL door de war. Heartbleed is een bekende vulnerability op SSL. SSH is behoorlijk veilig, daar zou ik me niet zo'n zorgen om maken. Mits je sterke wachtwoorden instelt, en root niet op afstand kan laten inloggen.

Is het niet realistisch om te denken dat bijv. de MyDS-service van Synology gekraakt is waardoor alle IP's of andere ID's uitgelezen konden worden?

Het klinkt mij iets te toevallig dat er zoveel mensen getroffen zijn terwijl er relatief vrijwel geen mensen zijn met zo'n NAS. Of zou het hele internet scannen op poort 5000/5001 echt zo snel gaan?

Is er uberhaupt al een mede tweaker getroffen door de ransomware?

Ik klik die waarschuwingen altijd weg

Er was 1 browser waarbij je niet eens verder kon, dan moest je bij opties ergens expliciet het certificaat toestaan oid.

Ja, dat is Firefox. Moet nog steeds.

ThinkPadd schreef op maandag 04 augustus 2014 @ 16:16:
What about XPEnology? Dat heb ik op m'n zelfbouw NAS draaien (4.2-3211).
Even updaten is daar ook niet zomaar bij, is allemaal custom made releases.

Heb alleen 873 (NetBackup), 22 (SSH, met sterk password), 1723 (PPTP VPN), en nog 2 random hoge poorten voor Download Station (Torrent).

Download the laatste pat file en volg dit:

Download the update without installing (inside dsm update utility)
connect in root with ssh
type:
Xpenology> sed 's/flashupdateDeb/flashupdateDeb1/' /autoupd@te.info > /autoupd@te.info1
Xpenology> mv /autoupd@te.info1 /autoupd@te.info
Then do the update.

Dus daarna pas op OK klikken om te gaan updaten.
Doe je dit niet dan krijg je een melding dat het bestand corrupt is.

Thanks, zal daar binnenkort eens naar kijken. Morgen op vakantie dus dat ga ik niet zo even snel tussendoor doen, heb ik straks alles op de hobbel

Zet m'n NAS wel uit

Razr schreef op maandag 04 augustus 2014 @ 16:22:
Is het niet realistisch om te denken dat bijv. de MyDS-service van Synology gekraakt is waardoor alle IP's of andere ID's uitgelezen konden worden?

Ik heb er in ieder geval wel eens aan gedacht dat zo'n systeem risico's in zich meedraagt.

Ik heb het net gedaan en ik deed dit voor het eerst
Dus het is niet moeilijk maar begrijpelijk om het nu niet even tussendoor te doen

roland83 schreef op maandag 04 augustus 2014 @ 16:21:
[...]


Dat betwijfel ik. Standaard staat ssl niet aan, zonder geldig ssl-certificaat werkt het wel maar krijg je in je browser allerlei waarschuwingen voorgeschoteld. De gemiddelde gebruiker zal dan denken: ik zet het maar weer uit, het werkt blijkbaar niet.

Dit. Ik vind het zo raar dat hiervoor géén duidelijke (voor dummies duidelijk) uitleg voor is om dat in te stellen. Ik vind dit zelf al een lastige opgave met de handleidingen die online zijn te vinden. Voor het domein gedeelte staat nergens écht goed en duidelijk uitgelegd. Die zelf ondertekende certificaten kunnen ze net zo goed weglaten, want dat geeft naar mijn idee maar wat schijnveiligheid; Oh ik heb nu HTTPS. En dan log je in en dan zie je: "Waarschuwing" en "Haal me hier vandaan"

Net als die max aantal inlogpogingen (nu dus blijkbaar niet relevant voor de hack) zou gewoon standaard aan moeten staan óf duidelijk worden vermeld ergens.

Weet iemand hoe het met de usb disks zit trouwens, als je die er toevallig aan had zitten.

Wat je kan doen is als je HTTPS aanzet, met de synology firewall de http toegang blokkeren en ook redirect aanzetten van de interface van http naar https.

Qualixo schreef op maandag 04 augustus 2014 @ 16:33:
Wat je kan doen is als je HTTPS aanzet, met de synology firewall de http toegang blokkeren en ook redirect aanzetten van de interface van http naar https.

Er is nog niemand die heeft gezegd dat dit de oorzaak van het probleem is

lolgast schreef op maandag 04 augustus 2014 @ 16:34:
[...]

Er is nog niemand die heeft gezegd dat dit de oorzaak van het probleem is

Nee maar just saying.. je kan wel https aanzetten maar al je niet de rest dicht timmert

Idealiter gebruik je een 3rd party firewall; dan sluit je een exploit op je firewall uit voor toegang tot je syno en vice versa. Helaas is security nog steeds een kwestie van kansen verkleinen, risico's spreiden en keuzes maken tussen bruikbaarheid en veiligheid. De best beveiligde syno's staan nu namelijk uit. In een kluis. 500 meter onder de grond. etc.

Tja de 'altijd online' realiteit.

Nog even en dan is 'being offline' the new meta.

Heb hier ook standaard poort 22 doorgezet.. de router houdt de rest wel tegen.
Nu even de NAS uitgezet.

Ga straks thuis wel even een andere standaard poort pakken.. heb wel de 5x binnen 5 minuten inloggen er op staan. Maar veilig is dit dus ook niet helemaal.. kan dit beter op meer zetten.

NeoFoX schreef op maandag 04 augustus 2014 @ 16:46:
Heb hier ook standaard poort 22 doorgezet.. de router houdt de rest wel tegen.
Nu even de NAS uitgezet.

Ga straks thuis wel even een andere standaard poort pakken.. heb wel de 5x binnen 5 minuten inloggen er op staan. Maar veilig is dit dus ook niet helemaal.. kan dit beter op meer zetten.

Volgens mij is 5x in 999minuten veiliger dan 5x5

NeoFoX schreef op maandag 04 augustus 2014 @ 16:46:
heb wel de 5x binnen 5 minuten inloggen er op staan. Maar veilig is dit dus ook niet helemaal.. kan dit beter op meer zetten.

Je kan beter 3 x in 1440 minuten dus 1 dag doen.

Haha, wilde zojuist een soort gelijke reactie schrijven. Zorgen dat er zo min mogelijk foutief kan worden in gelogd in een zo groot mogelijke tijd is veiliger dan 3x in 3 minuten ofzo.. Ik heb dit zelf alles op 10 dagen gezet ofzo. Zo min mogelijk last hebben van terreur van buitenaf.

[ Voor 21% gewijzigd door Tiestor op 04-08-2014 16:55 ]

Zijn er bepaalde plekken of momenten dat je die ransomware-schermen te zien moet krijgen? Toen ik zojuist mijn beide Synology's bekeek was er in ieder geval niets te zien. De admin was ook normaal te gebruiken.

Ik heb beide systemen stilgelegd totdat er een verklaring van Synology is. Ik vermoed dat ik weinig risico loop maar ik neem het zekere voor het onzekere.

Je kunt toch ook instellen dat na 3x het permanent geblocked is? Zo heb ik het althans, en mijn eigen ip adressen ge-whitelist.

Heeft iemand die TOR browser geinstaleerd is al een trace geprobeerd naar (cypherxffttr7hho.onion) als dit mogelijk is?
Zo kan je misschien achter het land van deze mallot komen of in iedergeval waar deze server gehost word en die laten sluiten.

mijn buurman heeft een DS214play en draait op DSM 5.0-4493, en heeft sinds vanmorgen ook de synolocker op zijn nas
op sommige forums zeggen ze dat je via de tool van Synology (Synology Assistant) een nieuwe versie van DSM kunt installeren; als je status van de NAS "migratable" is
zie deze link http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

Echter, als ik de stappen volg van die pagina, zegt de NAS niet migratable, maar configuration lost

PS De pagina krijg je te zien als je wil inloggen op je nas (bijv. 192.168.1.100)

[ Voor 2% gewijzigd door DaaNium op 04-08-2014 17:17 . Reden: modelnaam er bij gezet en DSM versie volledig ingevuld ]

NeoFoX schreef op maandag 04 augustus 2014 @ 16:46:
Ga straks thuis wel even een andere standaard poort pakken.. heb wel de 5x binnen 5 minuten inloggen er op staan. Maar veilig is dit dus ook niet helemaal.. kan dit beter op meer zetten.

Ik lees het hier wel meer maar het veranderen van de poorten is echt schijnveiligheid. Een portscan is zo gedaan. Natuurlijk helpen alle kleine beetjes maar dit lijken vrij slimme hackers te zijn (geen script kiddies) en die laten zich echt niet tegenhouden door een ander port nummer.

Ik heb die van mij maar uitgezet tot er meer duidelijk is.

Hi Tweakers,

Gisteravond heb ik de initiele melding gedaan op het synology forum.
Inmiddels heb ik wat informatie daar aangevuld, maar ik beantwoord graag wat vragen ,die ik voorbij heb zien komen.

Synology: DS212
DSM: 4.3 (updaten was niet mogelijk ivm partitiegrootte)
poorten: 22, 5000 (wat ik zeker weet)
account: admin
password: sterk (13 characters, geen dictionairy)

Afspelen van films op mediaspeler ging schokkerig. Reboot router, reboot synology. Na reboot synology was de inlogpagina aangepast.

@emnich:

Natuurlijk kunnen ze al je poorten gaan scannen. Maar bedenk je wel dat ze daarvoor veel meer tijd nodig hebben. + dat "Normale" gebruiker niet snel hun dsm poort zullen veranderen.

Een hacker zal dus sneller een port scan doen op poort 5000 dan alle poorten bij langs gaan of er toevallig dsm op draait.

Zo richting huis, gelijk even langs me ouders.

Keep u posted, fingers crossed.

ralphsensei schreef op maandag 04 augustus 2014 @ 17:15:
Hi Tweakers,

Gisteravond heb ik de initiele melding gedaan op het synology forum.
Inmiddels heb ik wat informatie daar aangevuld, maar ik beantwoord graag wat vragen ,die ik voorbij heb zien komen.

Synology: DS212
DSM: 4.3 (updaten was niet mogelijk ivm partitiegrootte)
poorten: 22, 5000 (wat ik zeker weet)
account: admin
password: sterk (13 characters, geen dictionairy)

Afspelen van films op mediaspeler ging schokkerig. Reboot router, reboot synology. Na reboot synology was de inlogpagina aangepast.

Deed je SSH met key authentication of was passwords ook toegestaan?

Ik heb die van mij ook maar even uit gezet voor de zekerheid...

[ Voor 4% gewijzigd door Cidolfas op 04-08-2014 17:21 ]

Ik ben (nog) niet besmet, heb wel HTTPS aanstaan op de standaard poort.
Draai de nieuwste versie dan DSM 5.0.

Maar heb toch gelijk beide DS2013 system uit gezet

ralphsensei schreef op maandag 04 augustus 2014 @ 17:15:
Hi Tweakers,

Gisteravond heb ik de initiele melding gedaan op het synology forum.
Inmiddels heb ik wat informatie daar aangevuld, maar ik beantwoord graag wat vragen ,die ik voorbij heb zien komen.

Synology: DS212
DSM: 4.3 (updaten was niet mogelijk ivm partitiegrootte)
poorten: 22, 5000 (wat ik zeker weet)
account: admin
password: sterk (13 characters, geen dictionairy)

Afspelen van films op mediaspeler ging schokkerig. Reboot router, reboot synology. Na reboot synology was de inlogpagina aangepast.

Welke services en packages gebruikte je allemaal op je Synology?

ralphsensei schreef op maandag 04 augustus 2014 @ 17:24:
@beantherio:

sabnzb, antivirus, couchpatato (inactief), lazylibrarian (inactief), autosub (inactief), PLEX (recent geinstalleerd).
nog nooit iets gedaan met torrents

Gebruikte je ook geen Quickconnect?

beantherio schreef op maandag 04 augustus 2014 @ 17:28:
[...]

Gebruikte je ook geen Quickconnect?

Nee. Van wat ik gelezen heb tot nog toe lijkt het heel aanemelijk dat ze het admin account gekraakt hebben. Poort was standaard, username bekend, dus enkel het password vinden.

Mijn advies - zet externe toegang tot nader order uit en disable je admin account (nadat je een alternatief account hebt gemaakt met adminrechten). De externe toegang leek mij wel handig. Alle 2 de keren dat ik het gebruikt heb :-)

bij 'onze' nas stond het admin account ook nog aan...

Ik zie via 1 van de Synology's van een klant dat er sinds een aantal dagen zeer veel mislukte pogingen zijn geweest om via SSH in te loggen. Overigens heb ik SSH daarop uit staan:

User [admin] from [116.10.191.167] failed to log in via [SSH] due to authorization failure.

Kan dit er iets mee te maken hebben?

ralphsensei schreef op maandag 04 augustus 2014 @ 17:31:
[...]


Nee. Van wat ik gelezen heb tot nog toe lijkt het heel aanemelijk dat ze het admin account gekraakt hebben. Poort was standaard, username bekend, dus enkel het password vinden.

Mijn advies - zet externe toegang tot nader order uit en disable je admin account (nadat je een alternatief account hebt gemaakt met adminrechten). De externe toegang leek mij wel handig. Alle 2 de keren dat ik het gebruikt heb :-)

Bedankt voor je reply! Dit vind ik toch wel verontrustend: ik ging er een beetje vanuit dat Quickconnect de oorzaak was van al deze elende. Gelukkig zelf nergens last van gehad, maar m'n NASjes blijven toch echt uit staan totdat er een sluitend verhaal van Synology komt.

Hier voor zover geen problemen op 2 systemen. 1 daarvan sws geen poorten naartoe geopend en bij die andere 1 voor Transmission, die ik nu maar even in de router uit heb gezet.
Nou vraag ik me eigenlijk af of het ook gevaarlijk is om die open te hebben staan. Kunnen ze door middel van die open poort ook andere services benaderen of alleen werkelijk Transmission?

Officiële post van Synology up hun forum over SynoLocker: http://forum.synology.com...ewtopic.php?f=108&t=88770

Puck schreef op maandag 04 augustus 2014 @ 17:41:
Officiële post van Synology up hun forum over SynoLocker: http://forum.synology.com...ewtopic.php?f=108&t=88770

Zonder nieuwe informatie helaas.

We'd like to give you an update regarding SynoLocker, a randsomware affecting certain Synology servers. When trying to access DSM, it displays the message below, in addition to instructions for paying a fee to unlock your data:

"All important files on this NAS have been encrypted using strong crypotgraphy"


What should you do?

If you are seeing this message when trying to login to DSM, please:

1-power off your DiskStation immediately to avoid more files being encrypted
2-contact our Support team so we can investigate further

If you are in doubt as to whether your DiskStation may be affected, please don't hesitate to contact us at security@synology.com

We will keep you updated in this thread with any information we have to address this issue.

Hier is hij alleen te bereiken via de VPN Server package op pptp en openvpn.
Is daar uit af te leiden dat ik een Synology heb?

Zojuist even thuis me nas weer aangezet. Ik kreeg helaas tijdens het afsluiten van mijn synology de synolocker. Het afsluiten duurde erg lang, dus ik dacht de pagina even te herladen en toen kwam er dus de melding.

Net even snel gechecked of ik via windows mijn nas kon browsen. Dit lukte, ook was het gelukt om een film af te spelen. Nu staat de nas weer uit, maar het lijkt er dus op dat mijn bestanden niet zijn encrypt.
Ik draai overigens op 4.3 en had poort 5000 open en log in met het admin account. Ondertussen de poorten ook al dicht gegooid en na deze bende de boel toch maar een stuk veiliger instellen.

Ik heb vanochtend ook een hele nette respons gehad van synology met eenzelfde strekking, behalve de power off tip. Gelukkig had ik die zelf bedacht.

Als ze remote willen kijken moet de syno helaas weer aan.

@nivali

Het kan natuurlijk zo zijn dat hij nog bezig is om de bestanden te encrypten. Ik zou je nas uit laten staan totdat synology een passende oplossing heeft.

maar als je niet meer op je nas kan hoe kan je dan een update draaien om synolocker eraf te krijgen? ben benieuwd hoe dit opgelost gaat worden.

Nivali schreef op maandag 04 augustus 2014 @ 17:46:
Zojuist even thuis me nas weer aangezet. Ik kreeg helaas tijdens het afsluiten van mijn synology de synolocker. Het afsluiten duurde erg lang, dus ik dacht de pagina even te herladen en toen kwam er dus de melding.

Net even snel gechecked of ik via windows mijn nas kon browsen. Dit lukte, ook was het gelukt om een film af te spelen. Nu staat de nas weer uit, maar het lijkt er dus op dat mijn bestanden niet zijn encrypt.
Ik draai overigens op 4.3 en had poort 5000 open en log in met het admin account. Ondertussen de poorten ook al dicht gegooid en na deze bende de boel toch maar een stuk veiliger instellen.

@nivali: Op de pagina die meldt dat je besmet bent is een link naar de bestanden die zijn ge-encrypt
Bij mij uitsluitend de directory foto's.

Via explorer zijn ze prima zichtbaar, alleen openen is er niet meer bij. De encryptie lijkt dus selectief

spartacusNLD schreef op maandag 04 augustus 2014 @ 17:50:
maar als je niet meer op je nas kan hoe kan je dan een update draaien om synolocker eraf te krijgen? ben benieuwd hoe dit opgelost gaat worden.

Stel er komt vandaag of morgen een update. Dan wordt dit bekend gemaakt. Pas dan zou ik de NAS inschakelen en z.s.m. updaten.

de update kun je gewoon downloaden op de site van synology.
Daarna via Synology Assistant uploaden naar je NAS. Ik weet alleen niet of je dan nog/weer aan je bestanden kunt komen

Het lijkt me ineffectief om films te versleutelen, dat duurt lang.
Veel effectiever is kleine doc en pdf bestanden. Te beginnen met de kleinste bestanden voor maximale effectiviteit.
Uitzetten dus. Ik zou bij het inschakelen dan ook één van mijn raid-mirror disks weglaten.

Ik denk dat ze DSM opnieuw laten installeren. Geen idee hoe ze het encryptie probleem gaan oplossen. Volgens mij gaat dat moeilijk worden.

[ Voor 19% gewijzigd door hhoekstra op 04-08-2014 17:53 ]

Mijn NAS is gelukkig niet infected. Ik had een aantal poorten openstaan naar de NAS, namelijk 5000/5001/443 en de poorten voor de VPN. Inmiddels alle forwards maar weggehaald en de NAS uitgeschakeld.

Ik gok het er voor het gemak maar op dat mijn firewall alles tegenhoudt:



Knappe jongen die daar nog doorheen komt met alleen mijn interne IP's en mijn kantoor-IP op de whitelist.

Het NAS compleet uitzetten lijkt me wat rigoureus. Als ze niet van buitenaf op een poort kunnen dan kunnen ze daar ook niks mee doen.

toch maar even mijn DS412+ op afstand een shutdown laten uitvoeren. Ik had gisteravond al zo'n beetje alle non-essentiele toegang van buitenaf onklaar gemaakt maar gezien het feit we niet weten hoe men toegang tot je systeem krijgt kan het dus zijn hij nog steeds kwetsbaar was.

Vooralsnog geen besmetting geconstateerd (op basis van CPU gebruik, lopende processen, het feit dat ik nog geen SynoLocker scherm geserveerd kreeg en het uitschakelen binnen 1 min. gebeurd was)

Nu afwachten

NMe schreef op maandag 04 augustus 2014 @ 17:58:
Ik gok het er voor het gemak maar op dat mijn firewall alles tegenhoudt:

[afbeelding]

Knappe jongen die daar nog doorheen komt met alleen mijn interne IP's en mijn kantoor-IP op de whitelist.

Het NAS compleet uitzetten lijkt me wat rigoureus. Als ze niet van buitenaf op een poort kunnen dan kunnen ze daar ook niks mee doen.

tenzij de besmetting via een werkstation of een ander netwerk apparaat gebeurd

[ Voor 37% gewijzigd door Yucko op 04-08-2014 17:59 ]

Uitzetten ging me ook wat ver maar ik heb alle port forwards eraf gehaald (waren er ook maar 1 of 2 en zeker niet de DSM interface zelf), eindelijk eens een alternatieve admin aangemaakt en de originele gedisabled en 2 factor authentication aangezet, etc. Wat common sense dingen die ik dus al veel langer had moeten doen . Vooralsnog niks raars vastgesteld gelukkig.

Vanavond nog maar eens verder erin duiken.

Ik gebruik mijn Synology alleen voor films & series dus er valt weinig anders dan films of series te encrypten.
Dat lijstje met encrypted files heb ik op het werk even snel doorgekeken, maar dat was ongeveer alles was op de nas stond. Ik heb 1 film geprobeerd en daarna snel de nas weer van stroom afgehaald, uizetten duurde te lang (of kon die niet vanzelf?). Het is wel toevallig als ik net een film heb getest die niet encrypted is, maar die kans zit er in.

Ik wacht het af, meer valt er niet te doen.

Zojuist ook maar even mijn nas uitgezet. Geen synolocker in beeld gezien. Ben ansich wel blij dat ik toevallig afgelopen zaterdag de update van 4.3 naar 5.0 heb gedaan. Straks even de router rules uitschakelen en de nas weer aanslingeren.

Dan maar even geen externe toegang via het internet zo lang er niet duidelijk is wat dit veroorzaakt!

Hier ook de NAS'en uitgezet. Ben benieuwd of de nieuwste versie van DSM 5 ook is getroffen. Ik zag wel een DSM 5 variant, maar dat kan ook een oude versie zijn. Is daar al meer over bekend? Ook ik merkte (bij afsluiten) geen extra processen of vertraging.

CrazyFool schreef op maandag 04 augustus 2014 @ 18:06:
Zojuist ook maar even mijn nas uitgezet. Geen synolocker in beeld gezien. Ben ansich wel blij dat ik toevallig afgelopen zaterdag de update van 4.3 naar 5.0 heb gedaan. Straks even de router rules uitschakelen en de nas weer aanslingeren.

Dan maar even geen externe toegang via het internet zo lang er niet duidelijk is wat dit veroorzaakt!

DSM 5 kan ook getroffen worden, mijn buurman heeft DSM 5 draaien en is ook geinfecteerd

DaaNium schreef op maandag 04 augustus 2014 @ 18:22:
[...]

DSM 5 kan ook getroffen worden, mijn buurman heeft DSM 5 draaien en is ook geinfecteerd

Weet je toevallig welke versie van DSM 5?

Jep, zie mijn eerdere post:

DaaNium schreef op maandag 04 augustus 2014 @ 17:08:
mijn buurman heeft een DS214play en draait op DSM 5.0-4493, en heeft sinds vanmorgen ook de synolocker op zijn nas
op sommige forums zeggen ze dat je via de tool van Synology (Synology Assistant) een nieuwe versie van DSM kunt installeren; als je status van de NAS "migratable" is
zie deze link http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

Echter, als ik de stappen volg van die pagina, zegt de NAS niet migratable, maar configuration lost

PS De pagina krijg je te zien als je wil inloggen op je nas (bijv. 192.168.1.100)

DaaNium schreef op maandag 04 augustus 2014 @ 18:25:
Jep, zie mijn eerdere post:


[...]

Welke versie van 4493? Er zijn inmiddels al 3 updates van he.

jah, i know, gewoon de eerste, zonder update. gewoon 4493 as is

DaaNium schreef op maandag 04 augustus 2014 @ 18:28:
jah, i know, gewoon de eerste, zonder update. gewoon 4493 as is

Ja dat vroeg ik mij ook af. Houd de hele tijd het forum al in de gaten. Dan heeft hij de volgende mogelijke gaten:

Upgraded OpenSSL to Version 1.0.1h to fix several security issues. (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, and CVE-2014-3470)

Fixed two SAMBA vulnerabilities which allowed remote attackers to use the weaknesses to perform DoS attacks (CVE-2014-0244, CVE-2014-3493).

Denk niet dat bovenstaande mogelijke gaten hiermee te maken hebben, maar dat zijn natuurlijk ook speculaties. Ben heel benieuwd of er al iemand met update 3 is getroffen. Dan kunnen we de DSM versies in ieder geval uitsluiten en moet het iets van een service zijn. Had hij toevallig ook brute-force beveiliging aanstaan?

Als ik ralphsensei mag geloven lijkt mij een password attack ook sterk. Moet aardig wat tijd/resources kosten om een password van 13 karakters te kraken. Lijkt mij dus niet effectief?

ralphsensei schreef op maandag 04 augustus 2014 @ 17:15:
Synology: DS212
DSM: 4.3 (updaten was niet mogelijk ivm partitiegrootte)
poorten: 22, 5000 (wat ik zeker weet)
account: admin
password: sterk (13 characters, geen dictionairy)

[ Voor 20% gewijzigd door JPtjeeNL op 04-08-2014 18:34 ]

Zojuist mijn DS109 uitgezet. Niet geïnfecteerd, DSM 4.2 (meest recente update).
Zou het geen keylogger zijn die de computers infecteert (en niet de syno) en vervolgens admin wachtwoord naar de control server stuurt? Vind het nogal bijzonder dat een aantal mensen juist geïnfecteerd werd tijdens het afsluiten.

DaaNium schreef op maandag 04 augustus 2014 @ 18:28:
jah, i know, gewoon de eerste, zonder update. gewoon 4493 as is

Dan heb je de patch voor Heartbleed al niet gehad geloof ik.

Ik ben benieuwd of de meest recente versie van DSM ook kwetsbaar is of niet maar tot ik dat zeker weet bescherm ik mijn NAS wel wat meer dan anders. Ik zie wel wat het wordt, ik maak me er in elk geval niet zo druk om. Ik verbaas me wel een beetje over hoe weinig mensen er blijkbaar DSM up to date houden. Er zijn een paar héél belangrijke patches geweest sinds 4.3.

[ Voor 14% gewijzigd door NMe op 04-08-2014 18:33 ]

Het feit dat er nog geen concreet gat is aangewezen als oorzaak van deze hack is toch wel erg vervelend.

[ Voor 4% gewijzigd door beantherio op 04-08-2014 18:33 ]

beantherio schreef op maandag 04 augustus 2014 @ 18:33:
Het feit dat er nog geen concreet gat is aangewezen als oorzaak van deze hack is toch wel erg vervelend.

Vervelend ja, maar niet geheel onverwacht natuurlijk, krap 24 uur nadat de eerste meldingen binnenkwamen.

inderdaad, erg vers (en blijkbaar agressief) virus/malware

Mijn NAS staat nu uit.
Is DSM 5.0
Port forwarding op mijn router staat ook uit. Ben ik daarmee save?

Op mijn NAS draait ook Plex, Couchpotato, Sickbeard en sabnzbd. Die programma's maken verbinding met het internet. Zou het in 't ergste geval kunnen dat die een probleem geven (als er bijvoorbeeld iemand een foute package update voor die programma's op git zet)?

Dezen avond eens opstarten en alles nakijken.

NMe schreef op maandag 04 augustus 2014 @ 18:32:
[...]

Dan heb je de patch voor Heartbleed al niet gehad geloof ik.

Heartbleed zat in DSM 5.0-4458 Update 2

"vrijgegeven, die een kwetsbaarheid in OpenSSL-software (ook bekend als de ‘Heartbleed bug’; CVE-2014-0160) dicht."

In update 5.0-4493 Update 1 zit ook een upgrade voor OpenSSL inderdaad.

Upgraded OpenSSL to Version 1.0.1h to fix several security issues. (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, and CVE-2014-3470)

[ Voor 25% gewijzigd door HKLM_ op 04-08-2014 18:40 ]

JanPedaal schreef op maandag 04 augustus 2014 @ 18:31:
Zojuist mijn DS109 uitgezet. Niet geïnfecteerd, DSM 4.2 (meest recente update).
Zou het geen keylogger zijn die de computers infecteert (en niet de syno) en vervolgens admin wachtwoord naar de control server stuurt? Vind het nogal bijzonder dat een aantal mensen juist geïnfecteerd werd tijdens het afsluiten.

Klopt inderdaad, misschien toeval, misschien niet, maar mijn buurman (waarvan zijn synology ds214play dus ook geïnfecteerd is) had gisteren zijn NAS verplaatst, dus ook reboot gehad.

DaaNium schreef op maandag 04 augustus 2014 @ 18:39:
[...]

Klopt inderdaad, misschien toeval, misschien niet, maar mijn buurman (waarvan zijn synology ds214play dus ook geïnfecteerd is) had gisteren zijn NAS verplaatst, dus ook reboot gehad.

Dat zou wel vreemd zijn? Dan kan het systeem namelijk op de achtergrond niet meer versleutelen.

Zal wel toeval zijn, maar ik lees veel over een infectie na reboot. Waarschijnlijk neemt de snelheid af door het versleutelen, waardoor de gebruiker zijn nas maar eens gaat rebooten of monitoren. bij inloggen zien ze de malware pagina ipv login pagina

Ik heb nu 5 synologies gehad, om na te kijken.

Het gaat om:

DS213, DSM4.1 2261
DS213+, DSM4.1 2261
DS211J, DSM5.0 4493 update 3
DS213+, DSM5.0 4493 update 3
DS213J, DSM5.0 4493 update 3

De eerste 2 zijn niet extern benaderbaar. (Ze werken alleen als share)
De laatste 3, hebben allemaal quickconnect, cloudstation aan staan. Op de router, staat dmz aan. Tot heden nog geen problemen gehad.
De 213+ & 213J moeten benaderbaar blijven omdat dit het enige contact is wat ze met elkaar hebben (werk). Het zou uitgezet kunnen worden voor max 24 hours.

Miss dat iemand wat heeft aan bovenstaande info