Synology NAS besmet met ransomware synolocker

Verwijderd schreef op woensdag 06 augustus 2014 @ 10:46:
Mijn relatie heeft enige tijd geleden een DS212, met DSM 4.0-2219 geinstalleerd. Verder geen back-up systeem, en geen system updates. Afgelopen week heeft Synolocker 3 dagen de tijd gehad om de files te encrypten.

Kan iemand ons adviseren over het volgende :

1. Betalen lijkt me volledig zinloos. Ik heb nog nergens een bericht gezien dat dit een oplossing is. Juist ?
2. Zou Synology mogelijk binnen een afzienbare termijn nog met een oplossing kunnen komen, of moeten we maar een project opstarten om te proberen alle data opnieuw weer op te bouwen ?
3. Nog verdere tips (naast uiteraard een nieuw degelijk file storage- en back-up systeem) ?

Altijd een case aanmaken by synology en daarna opvolgens wat ze aangeven.

Verwijderd schreef op woensdag 06 augustus 2014 @ 10:33:
[...]
En waarom niet? Welk bewijs heb je dat DSM 5.0 kwetsbaar zou zijn voor dit lek? Enkel mensen die te laat hebben geupdate zijn getroffen volgens de berichtgeving. En ik heb nergens bewijs gezien nog dat dat niet zo is (ene user hier daargelaten).

Omdat er ook geen bewijs is van het tegendeel en Synology zelf die optie ook enigszins openlaat. Alles wekt de indruk dat het onderzoek nog druk gaande is en er een aantal voorlopige conclusies zijn, maar dat er geen zekerheid is (voor zover die ooit te geven is natuurlijk).

Ik doe er verder niet paniekerig over, ik heb mijn maatregelen genomen. Maar ik ga hier in elk geval zeker niet verkondigen dat 5.0 zeker veilig is. Sowieso is een systeem nooit volledig veilig en zijn de meeste maatregelen die hier besproken worden sowieso geen verkeerd idee.

Het enige dat je zou kunnen zeggen is dat het wellicht wat overdreven is om up-to-date DSM5 systemen uitgeschakeld te laten. Maar dat is uiteindelijk een afweging tussen beschikbaarheid en behoud van de data die alleen de eigenaar van de NAS kan maken. En ik kan me voorstellen dat er mensen zijn die hun NAS niet dusdanig dringend nodig hebben dat ze hem liever nog even een paar dagen uit laten staan, tot er nog wat meer duidelijkheid is.

Verwijderd schreef op woensdag 06 augustus 2014 @ 10:46:
Mijn relatie heeft enige tijd geleden een DS212, met DSM 4.0-2219 geinstalleerd. Verder geen back-up systeem, en geen system updates. Afgelopen week heeft Synolocker 3 dagen de tijd gehad om de files te encrypten.

Kan iemand ons adviseren over het volgende :

1. Betalen lijkt me volledig zinloos. Ik heb nog nergens een bericht gezien dat dit een oplossing is. Juist ?
2. Zou Synology mogelijk binnen een afzienbare termijn nog met een oplossing kunnen komen, of moeten we maar een project opstarten om te proberen alle data opnieuw weer op te bouwen ?
3. Nog verdere tips (naast uiteraard een nieuw degelijk file storage- en back-up systeem) ?

Beste keus lijkt op dit moment:
- syno uitzetten
- melding maken bij Synology
- instructies die je terugkrijgt opvolgen
- afwachten of het lukt de data te decrypten
- niet betalen, hoewel er een screenshotje rondzwerft van een succesvolle decryptie na betaling, is er geen enkele garantie.

Verder uiteraard poortsecurity aanscherpen - syno nooit meer direct aan internet hangen, tenzij je kunt accepteren dat dit soort dingen kunnen gebeuren.

beantherio schreef op woensdag 06 augustus 2014 @ 10:47:
[...]

Het is me inmiddels wel duidelijk wat jouw benadering is: "denk maar niet na want Synology zegt dat het goed is". Je bent duidelijk een soort "Synology-fanboy" (nooit geweten dat dit bestond) en daarmee is je mening niet serieus te nemen. Maar als je op een meer professioneel niveau bezig bent met veiligheid dan kom je met die benadering niet weg.

Vooral blijven herhalen, dan ga je het vanzelf geloven

Verder geen back-up systeem, en geen system updates.

Plan alvast een afspraak in met je relatie om beide zaken te bespreken en te implementeren.

DaaNium schreef op woensdag 06 augustus 2014 @ 10:43:
[...]

Nou, ik kan nogal stellig zijn hierover.
Ik zal ook uitleggen waarom.
De NAS is gekocht door mijn buurman, bij mij.
Ik heb hem toen geholpen om de NAS gebruiksklaar te maken.
Er kwamen verse schijven in de nieuwe NAS, dus er zat nog geen DSM op.
Toen we 'm gingen installeren, was DSM 5 beschikbaar, dus die hebben we er toen ook op gezet.

Kleine, maar wellicht belangrijke kanttekening:
We hadden géén update achter de 4493 versie (inmiddels zitten we op update 3)

Jouw verhaal blijft een bijzonder verhaal. Ik twijfel niet aan wat je zegt, laat dat duidelijk zijn. Ben heel benieuwd waar Synology mee komt in jouw geval, tot nu toe ben je de enige die ik gehoord heb die besmet is met DSM 5 en geen eerdere versies.

Het lijkt me inmiddels wel duidelijk dat dit een gevolg is van Heartbleed. Ik neem aan dat we het daar wel over eens zijn (en de eerste versie van DSM5 was ook vulnerable).

Viper® schreef op woensdag 06 augustus 2014 @ 10:47:
[...]


Dan mis je iig deze


[...]

True,
ik zeg ook niet dat de NAS wat ik hier heb staat, keurig in orde is, hij miste niet minder dan 3 updates en dat zal meespelen met de infectie.
Ik wil alleen waarschuwen dat je met een DSM 5 ook kwetsbaar kan zijn.

Verwijderd schreef op woensdag 06 augustus 2014 @ 10:49:
[...]

Vooral blijven herhalen, dan ga je het vanzelf geloven

Mensen ontlenen hun identiteit aan het ongefundeerd onrealistisch kritisch zijn op alles en iedereen. Wellicht even laten rusten tot er gewoon meer duidelijk is. Heb het al paar keer gezegd; er zit wat in dat zolang er geen 100% duidelijkheid is, je nergens vanuit kunt gaan - en tegelijkertijd weten jij en ik dat die 100% zekerheid niet bestaat en dat gaan eisen kansloos is. Iemand die daar professioneel mee bezig is weet dat en werkt op basis van risicoinschatting en risicomitigatie en dat is wat je helaas privé ook moet doen als je 'n Syno in de meterkast hebt staan (overigens, iemand die er profi mee bezig is had z'n syno uiteraard nooit aan het internet gehangen).

Orion84 schreef op woensdag 06 augustus 2014 @ 10:48:
[...]
Omdat er ook geen bewijs is van het tegendeel en Synology zelf die optie ook enigszins openlaat. Alles wekt de indruk dat het onderzoek nog druk gaande is en er een aantal voorlopige conclusies zijn, maar dat er geen zekerheid is (voor zover die ooit te geven is natuurlijk).

Ik doe er verder niet paniekerig over, ik heb mijn maatregelen genomen. Maar ik ga hier in elk geval zeker niet verkondigen dat 5.0 zeker veilig is. Sowieso is een systeem nooit volledig veilig en zijn de meeste maatregelen die hier besproken worden sowieso geen verkeerd idee.

Het enige dat je zou kunnen zeggen is dat het wellicht wat overdreven is om up-to-date DSM5 systemen uitgeschakeld te laten. Maar dat is uiteindelijk een afweging tussen beschikbaarheid en behoud van de data die alleen de eigenaar van de NAS kan maken. En ik kan me voorstellen dat er mensen zijn die hun NAS niet dusdanig dringend nodig hebben dat ze hem liever nog even een paar dagen uit laten staan, tot er nog wat meer duidelijkheid is.

Ik ben wel benieuwd naar het bewijs van het tegendeel, en dan graag iets anders dan het verhaal van DaaNium.

Mij zal je ook niet horen stellen dat het 100% veilig is, maar ik denk dat DSM 5 met update 3 wel veilig is voor deze kwetsbaarheid. Anders had 90% van de Synology bezitters nu SynoLocker gehad. Wat niet wil zeggen dat er niet meer en andere kwetsbaarheden in DSM 5 kunnen zitten.

DaaNium schreef op woensdag 06 augustus 2014 @ 10:43:
[...]

Nou, ik kan nogal stellig zijn hierover.
Ik zal ook uitleggen waarom.
De NAS is gekocht door mijn buurman, bij mij.
Ik heb hem toen geholpen om de NAS gebruiksklaar te maken.
Er kwamen verse schijven in de nieuwe NAS, dus er zat nog geen DSM op.
Toen we 'm gingen installeren, was DSM 5 beschikbaar, dus die hebben we er toen ook op gezet.

Kleine, maar wellicht belangrijke kanttekening:
We hadden géén update achter de 4493 versie (inmiddels zitten we op update 3)

Ah, dank voor die verduidelijking (en hopelijk kwam mijn opmerking niet al te aanvallend over, het was meer nieuwsgierigheid naar hoe je daar zo stellig over kon zijn).

Lijkt er dus op dat ongepatchte DSM5 systemen ook kwetsbaar zijn.

[
1. Betalen lijkt me volledig zinloos. Ik heb nog nergens een bericht gezien dat dit een oplossing is. Juist ?
2. Zou Synology mogelijk binnen een afzienbare termijn nog met een oplossing kunnen komen, of moeten we maar een project opstarten om te proberen alle data opnieuw weer op te bouwen ?
3. Nog verdere tips (naast uiteraard een nieuw degelijk file storage- en back-up systeem) ?

Op synology forum staan er toch verschillende mensen die betaald hebben en waar ze de keys hebben gekregen voor decryptie. Een zekerheid is het natuurlijk nooit, maar moest deze data onvervangbaar zijn zou ik er toch ook wel het losgeld voor over hebben...

beantherio schreef op woensdag 06 augustus 2014 @ 10:47:
[...]

Het is me inmiddels wel duidelijk wat jouw benadering is: "denk maar niet na want Synology zegt dat het goed is". Je bent duidelijk een soort "Synology-fanboy" (nooit geweten dat dit bestond) en daarmee is je mening niet serieus te nemen. Maar als je op een meer professioneel niveau bezig bent met veiligheid dan kom je met die benadering niet weg.

Natuurlijk moet je zelf na blijven denken maar je kan alleen maar een afweging maken met de informatie die je hebt. Op dit moment is (voor mij) de belangrijkste informatie dat Synology zegt dat alleen niet geupdate systemen kwetsbaar waren. Gezien de toch redelijk beperkte aantallen getroffen systemen ga ik er van uit dat dat klopt. Als up-to-date systemen wel kwetsbaar waren dan zouden veel meer gebruikers getroffen zijn. Er zijn (ook in dit topic) heel veel gebruikers die heel veel poorten open hadden staan, de normale admin accounts gebruikten, etc. Daarvan zouden er veel meer getroffen moeten zijn.

Welke informatie heb jij dan dat je wel aan het statement van Synology twijfelt?

Verwijderd schreef op woensdag 06 augustus 2014 @ 10:46:
Mijn relatie heeft enige tijd geleden een DS212, met DSM 4.0-2219 geinstalleerd. Verder geen back-up systeem, en geen system updates. Afgelopen week heeft Synolocker 3 dagen de tijd gehad om de files te encrypten.

Kan iemand ons adviseren over het volgende :

1. Betalen lijkt me volledig zinloos. Ik heb nog nergens een bericht gezien dat dit een oplossing is. Juist ?

Op Twitter meldt iemand dat hij betaald heeft en z'n data terug heeft.

Avenger 2.0 schreef op woensdag 06 augustus 2014 @ 10:55:
[...]


Op synology forum staan er toch verschillende mensen die betaald hebben en waar ze de keys hebben gekregen voor decryptie. Een zekerheid is het natuurlijk nooit, maar moest deze data onvervangbaar zijn zou ik er toch ook wel het losgeld voor over hebben...

Ik quote mezelf even:

Verwijderd schreef op woensdag 06 augustus 2014 @ 09:23:
[...]

Hoe tegenstrijdig het ook klinkt, maar betalen is de beste optie. Die mafketels die dit gedaan hebben hebben er belang bij dat mensen de juiste keys krijgen. Als ze geen of verkeerde keys opsturen dan is dat in mum van tijd bekend en zal er niemand meer betalen. Tel daarbij op dat dit max een dag of 7 goed gaat, daarna zijn de bitcoin accounts wel uit het netwerk gebannen en zijn een NAS'en up to date.
Vandaar ook dat het opeens bij mensen misging en niet gelijdelijk, er moet in een relatief korte tijd veel geld verdiend worden.

Zo snel mogelijk betalen (nu kan het nog) en je gegevens veiligstellen op een andere disk buiten de NAS. Vervolgens je wonden likken en nadenken over een betere backup en beveiliging.

Klinkt tegenstrijdig zoals ik al zei en alles in mij roept dat ze die gasten gewoon aan een boom moeten hangen met een touw onder de oksels, maar als je aan je data gehecht bent dan is dat denk ik niet de beste oplossing.

Ik denk dat zo snel mogelijk betalen je beste kans is nu op je data. Als je op Synology gaat wachten en de SynoLocker groep wordt ondertussen onschadelijk gemaakt dan ben je te laat.

Maar het is tegenstrijden en wil het ook niet adviseren, het is geheel op eigen risico. Maar als je data belangrijk is dan is het het proberen waard denk ik.

HenkDePoema schreef op woensdag 06 augustus 2014 @ 10:57:
[...]

Op Twitter meldt iemand dat hij betaald heeft en z'n data terug heeft.

Zou me niks verbazen als hij bij de hackers hoort als PR medewerker

Modbreak:

Reageer on-topic

[ Voor 92% gewijzigd door Verwijderd op 06-08-2014 11:46 ]

Modbreak:

Niet op de man spelen!

[ Voor 91% gewijzigd door Verwijderd op 06-08-2014 11:45 ]

BaRF schreef op woensdag 06 augustus 2014 @ 10:58:
[...]

Zou me niks verbazen als hij bij de hackers hoort als PR medewerker

Dan zou hij geniaal toneelspelen (wat natuurlijk niet uitgesloten is), gezien de poging om zelf met CryptoUnlocker aan de slag te gaan.
Of een nog eerdere tweet waarin hij aangeeft jaren werk kwijt te zijn.

DaaNium schreef op woensdag 06 augustus 2014 @ 10:43:
[...]

Nou, ik kan nogal stellig zijn hierover.
Ik zal ook uitleggen waarom.
De NAS is gekocht door mijn buurman, bij mij.
Ik heb hem toen geholpen om de NAS gebruiksklaar te maken.
Er kwamen verse schijven in de nieuwe NAS, dus er zat nog geen DSM op.
Toen we 'm gingen installeren, was DSM 5 beschikbaar, dus die hebben we er toen ook op gezet.

Kleine, maar wellicht belangrijke kanttekening:
We hadden géén update achter de 4493 versie (inmiddels zitten we op update 3)

Dus de NAS heeft aan het internet gehangen met versie 4.0, een paar maanden nadat de patches voor bepaalde bugs uitgerold waren?
Er is dus een kans dat terwijl jij de NAS aan het internet had hangen om DSM 5 te downloaden dat het ding geinfect is geraakt en dat je daar nu pas iets van merkt.

Indien dit het geval is kan je nog s discussie aangaan met Synology waarom de NAS niet geleverd is met de laatste software-versie + patches welke op dat moment beschikbaar waren.

Vooralsnog in ieder geval in alle cases op het internet en alle fora van Synology ben jij de enige die ik hoor roepen "Ik heb DSM5 en ben geinfecteerd". Dat in combinatie met de reactie van Synology tot zover doet mij vermoeden dat jij DSM4 hebt gehad, bent geinfecteerd en daarna DSM5 erop hebt gezet. Je hebt de infectie niet gemerkt en nu ineens komt het bovendrijven en heb je problemen.

HenkDePoema schreef op woensdag 06 augustus 2014 @ 11:01:
[...]

Dan zou hij geniaal toneelspelen (wat natuurlijk niet uitgesloten is), gezien de poging om zelf met CryptoUnlocker aan de slag te gaan.
Of een nog eerdere tweet waarin hij aangeeft jaren werk kwijt te zijn.

Van de ander 'Locker' varianten is toch ook bekend dat betalen werkt? Zal misschien wel dezelfde groep mensen achter zitten?

Zullen we gewoon kappen met het jijbakken en elkaar paranoia / fanboy noemen? Thanks!

Ik ben het eens met Tha_Duck dat DSM5 met de laatste patches hoogstwaarschijnlijk niet kwetsbaar is voor dit verhaal, maar ik kan me ook voorstellen dat sommigen liever op dit moment nog even het zekere voor het onzekere nemen.

Laten we weer terug on-topic gaan

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:02:
[...]

Van de ander 'Locker' varianten is toch ook bekend dat betalen werkt? Zal misschien wel dezelfde groep mensen achter zitten?

Als ze na betalen het niet oplossen heb je als hacker ook je eigen vingers eraf gehakt, dan betaald niemand meer. Maar om het nu great service te noemen, dat vind ik ook bizar (zie die tweet).

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:03:
[...]

Als ze na betalen het niet oplossen heb je als hacker ook je eigen vingers eraf gehakt, dan betaald niemand meer. Maar om het nu great service te noemen, dat vind ik ook bizar (zie die tweet).

Zoals ik al zei hebben ze daar profijt van inderdaad Maar idd 'great service' lijkt mij niet de meest handige woordkeus.

Orion84 schreef op woensdag 06 augustus 2014 @ 11:02:
[mbr]Zullen we gewoon kappen met het jijbakken en elkaar paranoia / fanboy noemen? Thanks![/mbr]

Ik ben het eens met Tha_Duck dat DSM5 met de laatste patches hoogstwaarschijnlijk niet kwetsbaar is voor dit verhaal, maar ik kan me ook voorstellen dat sommigen liever op dit moment nog even het zekere voor het onzekere nemen.

Laten we weer terug on-topic gaan

Sterker nog, ik denk dat 4.2 en 4.3 met de laatste patches ook niet vulnerable zijn.

Of het is bedoelt als een soort pun, alsin "ja als ik 3k heb betaald is natuurlijk de service perfect!"

Dit vraagt om een t.net serie over 'hoe beveilig je je thuisnetwerk'. Merk aan de vragen hier (incl bij mezelf) dat het geen makkelijk onderwerp is en je snel iets verkeerd doet - laat staan als je niet zo handig bent. Syno bedienen lukt bijna iedereen met enige computerkennis wel, maar daarmee ontstaat een flink probleem als je niet begrijpt hoe tegenwoordige minimale beveiliging werkt.

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:03:
[...]

Als ze na betalen het niet oplossen heb je als hacker ook je eigen vingers eraf gehakt, dan betaald niemand meer. Maar om het nu great service te noemen, dat vind ik ook bizar (zie die tweet).

Ik denk dat hij het sarcastisch bedoelt.

Maar goed, uiteindelijk betaalt hij nu gewoon voor het niet goed beveiligen en backupen van zijn data.
Kan het mij wel voorstellen, 400 dollar voor een jaar werk, dan zou ik het ook wel weten.
Wat ik niet snap is dat je een jaar werk op je nas zet en er maar vanuit gaat dat het ding nooit stuk zal gaan.

Bedrijfsbeveiliging was trouwens jaren terug een hot issue. Maar goed, recessie en dan moet je besparen hè.

[ Voor 7% gewijzigd door Viper® op 06-08-2014 11:07 ]

CiPHER: reageer on-topic en niet op de man.

[ Voor 88% gewijzigd door Verwijderd op 06-08-2014 11:45 ]

Ik vraag me af... als je betaalt en je een key krijgt om te decrypten, blijft deze data toch nog steeds een beetje onbetrouwbaar, niet? Waarom zouden ze niks kunnen injecteren tijdens de encryptie waardoor dit probleem zich binnen een X-tijdsspanne nog eens voordoet?

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:06:
Ik vraag me af... als je betaalt en je een key krijgt om te decrypten, blijft deze data toch nog steeds een beetje onbetrouwbaar, niet? Waarom zouden ze niks kunnen injecteren tijdens de encryptie waardoor dit probleem zich binnen een X-tijdsspanne nog eens voordoet?

Ik zou ook een volledige nieuwe install doen na het decrypten....

BaRF schreef op woensdag 06 augustus 2014 @ 10:58:
[...]


Zou me niks verbazen als hij bij de hackers hoort als PR medewerker

En vooral het stukje over de uitmuntende support..... ik heb mijn vraagtekens hierbij....

Viper® schreef op woensdag 06 augustus 2014 @ 11:05:
Wat ik niet snap is dat je een jaar werk op je nas zet en er maar vanuit gaat dat het ding nooit stuk zal gaan.

Dat is inderdaad wel een behoorlijk risico wat hij nam.

Maar zelf ben ik ook niet echt 100% goed bezig, heb van mijn foto's op de nas op een andere synology nas een backup, verder bij amazon s3 en op mijn eigen pc en laptop. Die laatste twee had ik echter alweer 6 maand terug bijgewerkt. En amazon s3 is een copy van mijn nassen, als op mijn nas iets fout zit is het daar een week later ook fout.

Toch zelf ook weer wat geleerd hiervan, denk met mij velen. Amazon s3 is kennelijk een backup waar ik alleen wat aan heb bij brand, in dit soort gevallen niet en dat had ik niet bedacht. Vele tweakers met mij trouwens omdat ik mijn backup veiligheid besproken heb in een "hoe doe jij de backups" topic en daar heeft nooit iemand ransomware geopperd.

Kortom, ondanks dat het vervelend is is het voor diegene die er niet door getroffen zijn een goede les.

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:06:
Ik vraag me af... als je betaalt en je een key krijgt om te decrypten, blijft deze data toch nog steeds een beetje onbetrouwbaar, niet? Waarom zouden ze niks kunnen injecteren tijdens de encryptie waardoor dit probleem zich binnen een X-tijdsspanne nog eens voordoet?

Persoonlijk zou ik als die klaar was alles zsm overzetten op een externe schijf en de hele DSM en disks wipen voor een clean install.

Meh, wel balen dat het systeem nu zo werkt dat hackers dus de grote winnaars zijn:
- syno maakt een product en beveiligt dit zo goed mogelijk
- klanten kopen dit
- hackers vinden toch een gaatje en gijzelen data, worden betaald voor vrijgave
- gaatje wordt gedicht
- terug naar stap 1

Als ze hier succesvol in zijn/blijven is dit de start van een tijdperk waarin we geld moeten gaan reserveren om de beschikking te houden over onze spullen. Het is feitelijk 'beschermgeld' wat vroeger al aan de maffia betaald werd. Echt een groot probleem, er ging al miljarden in om (beveiliging vs hacking) maar dat wordt alleen maar erger. Snap wel dat amateur politici in Brussel daarom het internet liever maar weer wat dicht willen gooien... kostentechnisch wellicht beter.

beantherio schreef op woensdag 06 augustus 2014 @ 11:05:
[...]

Je draait het om: ik ben juist op zoek naar feiten. Het ontbreken van die feiten m.b.t. de oorzaak van deze hack is nu juist de kern van mijn kritiek.

Ja, en er zijn blijkbaar nog geen feiten.. behalve dat je met de laatste patches veilig bent (die men al tijden geleden had moeten installeren, net zoals men moet zorgen dat de Windows updates gedaan zijn).

Synology is blijkbaar nog aan het uitzoeken hoe en wat, wacht daar nou gewoon eerst even rustig op. Ze komen echt niet met een wondercode waarmee de data weer bereikbaar is. Misschien dat ze nog kunnen vertellen wat er precies is gebeurd, maar denk dat we het gewoon moeten doen met "lek in de oude software".

beantherio schreef op woensdag 06 augustus 2014 @ 11:05:
[...]

Je draait het om: ik ben juist op zoek naar feiten. Het ontbreken van die feiten m.b.t. de oorzaak van deze hack is nu juist de kern van mijn kritiek.

Ik denk dat je niet primair op zoek bent naar feiten, maar eerder niemand anders vertrouwd dan jezelf. Andere tweakers vertrouwen een bedrijf als Synology wat meer, jij vertrouwd ze wat minder. Prima, leven en laten leven!

Viper® schreef op woensdag 06 augustus 2014 @ 11:05:
[...]
Wat ik niet snap is dat je een jaar werk op je nas zet en er maar vanuit gaat dat het ding nooit stuk zal gaan.

Er zijn natuurlijk duizenden mensen en bedrijven die pas ná zo'n incident beseffen dat ze het anders hadden moeten doen. Ook ik ben er nu pas even goed voor gaan zitten om het (nog) wat veiliger te maken.Dit soort dingen hebben altijd (onterecht) een lage prioriteit....

beantherio schreef op woensdag 06 augustus 2014 @ 11:05:
[...]

Je draait het om: ik ben juist op zoek naar feiten. Het ontbreken van die feiten m.b.t. de oorzaak van deze hack is nu juist de kern van mijn kritiek.

De feiten zoals nu gepresenteerd geven het toch al aan? De oorzaak lag bij de kwetsbaarheid die in december gefixed was.

NiGeLaToR schreef op woensdag 06 augustus 2014 @ 11:08:
Meh, wel balen dat het systeem nu zo werkt dat hackers dus de grote winnaars zijn:
- syno maakt een product en beveiligt dit zo goed mogelijk
- klanten kopen dit
- hackers vinden toch een gaatje en gijzelen data, worden betaald voor vrijgave
- gaatje wordt gedicht
- terug naar stap 1

Als ze hier succesvol in zijn/blijven is dit de start van een tijdperk waarin we geld moeten gaan reserveren om de beschikking te houden over onze spullen. Het is feitelijk 'beschermgeld' wat vroeger al aan de maffia betaald werd. Echt een groot probleem, er ging al miljarden in om (beveiliging vs hacking) maar dat wordt alleen maar erger. Snap wel dat amateur politici in Brussel daarom het internet liever maar weer wat dicht willen gooien... kostentechnisch wellicht beter.

Voor hetzelfde geldt komt de hack vanuit Synology, of spelen ze onder een hoedje.
Volgens mij zijn hier vroeger ook discussies over geweest i.v.m. virusscanners en virusmakers.

Ik geloof het zelf niet hoor, maar alu hoedjes heb je overal

Kan er een admin even ingrijpen op bovenstaande discussie? Kom op jongens.. een internet discussie gaat nooit goed.

NiGeLaToR schreef op woensdag 06 augustus 2014 @ 11:08:
Meh, wel balen dat het systeem nu zo werkt dat hackers dus de grote winnaars zijn:
- syno maakt een product en beveiligt dit zo goed mogelijk
- klanten kopen dit
- hackers vinden toch een gaatje en gijzelen data, worden betaald voor vrijgave
- gaatje wordt gedicht
- terug naar stap 1

Als ze hier succesvol in zijn/blijven is dit de start van een tijdperk waarin we geld moeten gaan reserveren om de beschikking te houden over onze spullen. Het is feitelijk 'beschermgeld' wat vroeger al aan de maffia betaald werd. Echt een groot probleem, er ging al miljarden in om (beveiliging vs hacking) maar dat wordt alleen maar erger. Snap wel dat amateur politici in Brussel daarom het internet liever maar weer wat dicht willen gooien... kostentechnisch wellicht beter.

Waren het niet dat het een exploit is die al bekend was en al een tijdje opgelost is.
Feit blijft dat je computer apparatuur wat direct aan het internet hangt altijd up to date moet houden.

NiGeLaToR schreef op woensdag 06 augustus 2014 @ 11:05:
Dit vraagt om een t.net serie over 'hoe beveilig je je thuisnetwerk'. Merk aan de vragen hier (incl bij mezelf) dat het geen makkelijk onderwerp is en je snel iets verkeerd doet - laat staan als je niet zo handig bent. Syno bedienen lukt bijna iedereen met enige computerkennis wel, maar daarmee ontstaat een flink probleem als je niet begrijpt hoe tegenwoordige minimale beveiliging werkt.

Regel 1 van beveiliging: als jij iets kunt kunnen anderen met slechtere bedoelingen het ook.

Dus: het openzetten van je NAS voor de buitenwereld is een risico. Als jij er bij kunt om je mooie foto's te laten zien aan je familie en vrienden; dan kunnen hackers via diezelfde deur potentieel je NAS inkomen om je foto's te vernaggelen. En als jij je foto's belangrijk vindt moet je je goed afvragen of je het risico wilt lopen dat jij voor je kleine stukje gemak potentieel al je data kwijtraakt.

Beveiliging van je netwerk is eigenlijk hetzelfde als beveiligen van je huis. Ik snap dat je het fijn vindt als je zo naar binnen kunt lopen zonder je sleutel te gebruiken en daarom je voordeur maar open laat; maar kijk dan ook niet gek op als er een inbreker ff langskomt en de kiet leegrooft.
Ik vind het ook erg irritant dat ik 3 sloten op mijn deur heb, maar ik weet zeker dat een inbreker niet zomaar 1-2-3 mijn spullen meeneemt hierdoor: Gemak vs Beveiliging

Dus aan mensen zonder verstand van beveiliging: hang dat ding gewoon niet aan het internet; dan loop je (minimaal) risico op dataverlies

Viper® schreef op woensdag 06 augustus 2014 @ 11:08:
[...]


Persoonlijk zou ik als die klaar was alles zsm overzetten op een externe schijf en de hele DSM en disks wipen voor een clean install.

emnich schreef op woensdag 06 augustus 2014 @ 11:07:
[...]


Ik zou ook een volledige nieuwe install doen na het decrypten....

Feit is dat die data (ook al zet je ze direct over) tampered/malicious blijft, neen?

Viper® schreef op woensdag 06 augustus 2014 @ 11:05:
Wat ik niet snap is dat je een jaar werk op je nas zet en er maar vanuit gaat dat het ding nooit stuk zal gaan.

Ik heb mijzelf gisteren betrapt op het feit dat ik ondanks mijn maatregelen omtrent backup ook niet ver genoeg gegaan ben.

In het kort heb ik 3 NAS'en:
NAS 1 -> Backup naar NAS 2
NAS 2 -> Backup naar NAS 1
NAS 3 -> Backup naar NAS 1

Hiermee heb ik crashen van een NAS, diefstal en brand afgedekt. En een stukje als een bestand per ongeluk weggegooid wordt. Maar in dit geval had ik er niks aan gehad als ik niet binnen 24 uur gemerkt had dat het mis was. In het ergste geval zou de backup encrypted bestanden bevatten of NAS 1 ook de backup encrypten.

Ik ga dus uitbreiden met een externe disk die ik af en toe ga vullen met de data vanaf NAS 1 (die alle gegevens bevat). Die kan gewoon naast NAS 1 liggen (niet aangesloten) omdat het brand/diefstal stuk wel afgezekerd is.

emnich schreef op woensdag 06 augustus 2014 @ 11:10:
[...]


Er zijn natuurlijk duizenden mensen en bedrijven die pas ná zo'n incident beseffen dat ze het anders hadden moeten doen. Ook ik ben er nu pas even goed voor gaan zitten om het (nog) wat veiliger te maken.Dit soort dingen hebben altijd (onterecht) een lage prioriteit....


[...]

Laten we eerlijk zijn, dit is niet het eerste incident en zal ook niet het laatste zijn.
Dit zal beveiliging weer even op de kaart zetten, maar over 6 maanden zal het weer lage prio hebben en over een jaar staan we weer hier. Omdat het incidenten betreft is de aandacht minimaal. Als dit elke week zou gebeuren zou er meer aandacht zijn voor beveiliging.
De mens is nou eenmaal dom en vergeetachtig

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:12:
[...]


[...]


Feit is dat die data (ook al zet je ze direct over) tampered/malicious blijft, neen?

Nee, er moet een proces draaien. Zolang dat niet draait kan er niets gebeuren. Dus ook al staat die `executable` gewoon op het systeem dan zal er nog steeds niets gebeuren zolang die niet gestart wordt. En hij kan niet gestart worden tenzij een gebruiker dit handmatig zou doen.

emnich schreef op woensdag 06 augustus 2014 @ 11:14:
[...]


Nee, er moet een proces draaien. Zolang dat niet draait kan er niets gebeuren. Dus ook al staat die `executable` gewoon op het systeem dan zal er nog steeds niets gebeuren zolang die niet gestart wordt. En hij kan niet gestart worden tenzij een gebruiker dit handmatig zou doen.

Het openen van een jpg kan toch al voldoende zijn om een proces te starten, neen?

Managelorian schreef op woensdag 06 augustus 2014 @ 09:46:
Wat mij betreft is het voor niet geinfecteerde mensen nu inderdaad case closed, d.w.z. zodra ik van Synology zelf het bovenstaande statement heb gezien. Heeft iemand een link naar het statement van Synology zoals gepost door BaRF?

Op de facebook van synology staat het en die linken ook hierheen:

http://www.synology.com/en-us/company/news/article/470

Hele bericht van facebook:

Synology Continues to Encourage Users to Update

Thank you for your patience as we continue to investigate the ransomware "SynoLocker" which is currently affecting certain Synology NAS users.

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.

Please take a look at our official statement with more information here: http://bit.ly/1oypNfE

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we continue to address this issue.

Ik ga mijn poort 80 voor photostation weer openzetten, ik concludeer dat het veilig is.

[ Voor 65% gewijzigd door Verwijderd op 06-08-2014 11:20 ]

Om de discussie een iets andere wending te geven: er zijn 2 antivirus add-ons beschikbaar vanuit Synology. Ik heb niemand gehoord waarbij de antivirus heeft ingegrepen. Dat kan betekenen dat zowel de antivirus van Synology als die van McAfee niet op de hoogte waren? En ook na de eerste berichten niet ingrepen?

Wat mij zo snel niet duidelijk is of de antivirus realtime werkt.

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:18:
Om de discussie een iets andere wending te geven: er zijn 2 antivirus add-ons beschikbaar vanuit Synology. Ik heb niemand gehoord waarbij de antivirus heeft ingegrepen. Dat kan betekenen dat zowel de antivirus van Synology als die van McAfee niet op de hoogte waren? En ook na de eerste berichten niet ingrepen?

Wat mij zo snel niet duidelijk is of de antivirus realtime werkt.

De antivirus zal alleen maar helpen voor geinfecteerde bestanden op de NAS, niet voor exploits in de firmware van de NAS. Waarschijnlijk heeft de antivirus niet eens de rechten om dat gedeelte waar synolocker zit te scannen.

[ Voor 8% gewijzigd door Avenger 2.0 op 06-08-2014 11:19 ]

Dat process wordt dan uitgevoerd op de machine waarmee het bestand geopend wordt. Over het algemeen is dat dus je PC. Het lijkt me erg lastig (misschien niet onmogelijk) om code in een een jpeg of doc te stoppen die vervolgens code uitvoert op het filesystem waar het op staat.

emnich schreef op woensdag 06 augustus 2014 @ 11:19:
Dat process wordt dan uitgevoerd op de machine waarmee het bestand geopend wordt. Over het algemeen is dat dus je PC. Het lijkt me erg lastig (misschien niet onmogelijk) om code in een een jpeg of doc te stoppen die vervolgens code uitvoert op het filesystem waar het op staat.

Aan de andere kant zouden ze wel jouw exe files kunnen infecteren met een cryptolocker achtige app om ook je PC zo te besmetten en extra losgeld te betalen

Zover ik weet kan er geen virus in een .iso, docx of pdf bestand zitten.

Dit zou namelijk betekenen dat het programma waarmee je het document opent code uit moet voeren.
Maar ik ben geen expert.

Avenger 2.0 schreef op woensdag 06 augustus 2014 @ 11:19:
[...]


De antivirus zal alleen maar helpen voor geinfecteerde bestanden op de NAS, niet voor exploits in de firmware van de NAS. Waarschijnlijk heeft de antivirus niet eens de rechten om dat gedeelte waar synolocker zit te scannen.

Dan is er toch geen enkel nut voor zo'n pakket? Want juist de firmware controleren op vreemde code zou een basisfunctie moeten zijn. Dat gebeurd op je normale computer ook, niet enkel bestanden maar ook wat er verder gebeurd wordt in meer of mindere mate gecontroleerd.

---

emnich schreef op woensdag 06 augustus 2014 @ 11:19:
Dat process wordt dan uitgevoerd op de machine waarmee het bestand geopend wordt. Over het algemeen is dat dus je PC. Het lijkt me erg lastig (misschien niet onmogelijk) om code in een een jpeg of doc te stoppen die vervolgens code uitvoert op het filesystem waar het op staat.

Onmogelijk lijkt het mij niet, maar is dermate ingewikkeld dat niet elke scriptkiddie dat zal kunnen.

[ Voor 28% gewijzigd door Verwijderd op 06-08-2014 11:23 ]

Viper® schreef op woensdag 06 augustus 2014 @ 11:21:
Zover ik weet kan er geen virus in een .iso, docx of pdf bestand zitten.

Dit zou namelijk betekenen dat het programma waarmee je het document opent code uit moet voeren.
Maar ik ben geen expert.

nieuws: Eerste virus gevonden in Adobe PDF bestanden

Avenger 2.0 schreef op woensdag 06 augustus 2014 @ 11:21:
[...]


Aan de andere kant zouden ze wel jouw exe files kunnen infecteren met een cryptolocker achtige app om ook je PC zo te besmetten en extra losgeld te betalen

Kan maar ik zie niet in waarom je een (onbekende) exe uit zou voeren die op je nas staat. Zeker als je weet dat deze ooit besmet is geweest. En je kan natuurlijk alle .exe, .bat files weg gooien.

Maar als je de data niet meer vertrouwd dan was het een beetje zinloos om er voor te gaan betalen.

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:17:
http://www.synology.com/en-us/company/news/article/470

Ze spreken alleen over DSM 4 & 5 ... Whaddabout de Syno's die niet naar 4 kunnen? Ik weet dat deze eigenlijk niet meer supported zijn, maar ik heb op mijn 207+ nog in november 2013 een update gehad op DSM 3.1 (was dat n.a.v. heartbleed?). Maar daar zal die fix niet in zitten waarvan ze in bovenstaande link zeggen dat hij december uitgerold is

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:22:
[...]

Dan is er toch geen enkel nut voor zo'n pakket? Want juist de firmware controleren op vreemde code zou een basisfunctie moeten zijn. Dat gebeurd op je normale computer ook, niet enkel bestanden maar ook wat er verder gebeurd wordt in meer of mindere mate gecontroleerd.

De bestandne worden ge-encrypt, volgens mij met de standaard Synology software app, op dat gebied is het lastig om malware te ontdekken.

Het enige issue hier is dat je de key niet hebt waarmee encrypt wordt, althans niet de key waarmee je weer kan decrypten.

Dus ze runnen encrypt.exe -key blablabla

Afgezien daarvan is er niks gewijzigd aan de systeemsoftware, ze maken alleen gebruik van een bug/weakness om toegang te verschaffen.
Althans zo heb ik het begrepen.

S913 schreef op woensdag 06 augustus 2014 @ 11:25:
[...]

Ze spreken alleen over DSM 4 & 5 ... Whaddabout de Syno's die niet naar 4 kunnen? Ik weet dat deze eigenlijk niet meer supported zijn, maar ik heb op mijn 207+ nog in november 2013 een update gehad op DSM 3.1 (was dat n.a.v. heartbleed?). Maar daar zal die fix niet in zitten waarvan ze in bovenstaande link zeggen dat hij december uitgerold is

Je geeft het antwoord zelf al.
Sorry maar dit vind ik echt van hetzelfde niveau als internetbankieren op Windows XP en daarna klagen dat je rekening leeg is. Sommige producten zijn gewoon op een geven moment EOL. Het is een bewuste keuze om door te gaan met het gebruik van deze producten.

[ Voor 20% gewijzigd door St@m op 06-08-2014 11:28 ]

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:23:
[...]

nieuws: Eerste virus gevonden in Adobe PDF bestanden

Ja, een pdf document met daarin een bijlage exectuable.

Dat is hetzelfde als een .vbs via de mail ontvangen en deze dan openen

S913 schreef op woensdag 06 augustus 2014 @ 11:25:
Ze spreken alleen over DSM 4 & 5 ... Whaddabout de Syno's die niet naar 4 kunnen? Ik weet dat deze eigenlijk niet meer supported zijn, maar ik heb op mijn 207+ nog in november 2013 een update gehad op DSM 3.1 (was dat n.a.v. heartbleed?). Maar daar zal die fix niet in zitten waarvan ze in bovenstaande link zeggen dat hij december uitgerold is

Geen idee, denk persoonlijk dat je het snelst antwoord krijgt als je het op facebook vraagt. Ik neem aan dat daar meer mensen zitten met jouw vraag.

S913 schreef op woensdag 06 augustus 2014 @ 11:25:
[...]

Ze spreken alleen over DSM 4 & 5 ... Whaddabout de Syno's die niet naar 4 kunnen? Ik weet dat deze eigenlijk niet meer supported zijn, maar ik heb op mijn 207+ nog in november 2013 een update gehad op DSM 3.1 (was dat n.a.v. heartbleed?). Maar daar zal die fix niet in zitten waarvan ze in bovenstaande link zeggen dat hij december uitgerold is

Denk niet dat je iets van Synology moet verwachten hiervoor. Zou deze gewoon verkopen en een nieuwe versie halen. En anders enkel toegankelijk maken via VPN.

Syno forum:

https://www.decryptcryptolocker.com/

Je kan toch niet adhv een encrypted file de key achterhalen, ja over 500 jaar missschien.

St@m schreef op woensdag 06 augustus 2014 @ 11:26:
[...]


Je geeft het antwoord zelf al.
Sorry maar dit vind ik echt van hetzelfde niveau als internetbankieren op Windows XP en daarna klagen dat je rekening leeg is. Sommige producten zijn gewoon op een geven moment EOL. Het is een bewuste keuze om door te gaan met het gebruik van deze producten.

Dat zou ik wel behoorlijk matig vinden. Geen support met nieuwe functionaliteit ok, maar als je weet dat er een probleem in je systeem zit dat er voor kan zorgen dat data onbeschikbaar wordt vind ik het bijna een morele verantwoordelijkheid om dit alsnog op te lossen.

Viper® schreef op woensdag 06 augustus 2014 @ 11:32:
Syno forum:


[...]


Je kan toch niet adhv een encrypted file de key achterhalen, ja over 500 jaar missschien.

Aangezien het gemaakt is door FOXIT wil ik het best wel geloven dat het gaat werken

cheiron schreef op woensdag 06 augustus 2014 @ 11:33:
[...]

Dat zou ik wel behoorlijk matig vinden. Geen support met nieuwe functionaliteit ok, maar als je weet dat er een probleem in je systeem zit dat er voor kan zorgen dat data onbeschikbaar wordt vind ik het bijna een morele verantwoordelijkheid om dit alsnog op te lossen.

Ik denk dat als bekend is wat het probleem is er wel een update komt ook voor DSM3 en DSM4, het zou een security risk betekenen. Hier zou je jezelf moeten onderscheiden als product en service provider. Als je als bedrijf dan zegt tja jammer koop maar een nieuwe ga je klanten kwijtraken.

St@m schreef op woensdag 06 augustus 2014 @ 11:26:
[...]


Je geeft het antwoord zelf al.
Sorry maar dit vind ik echt van hetzelfde niveau als internetbankieren op Windows XP en daarna klagen dat je rekening leeg is. Sommige producten zijn gewoon op een geven moment EOL. Het is een bewuste keuze om door te gaan met het gebruik van deze producten.

Relax dude ... Ik geef alleen aan dat ze best kunnen aangeven óf DSM 3 er last van heeft (misschien zit het wel in een stukje nieuwe code wat niet in 3 zit), plus ik zeg toch nergens dat ik verwacht dat ze het oplossen? Ik was al positief verrast dat er een fix op 3.1 kwam voor heartbleed.

Daarnaast draai ik gewoon productie op een 411+ II en is deze 207+ slechts een "domme" remote backup machine (met door mezelf () geencrypte backups).

tomcool schreef op woensdag 06 augustus 2014 @ 11:35:
Aangezien het gemaakt is door FOXIT wil ik het best wel geloven dat het gaat werken

Zekers, ik heb daar een cursus gevolgd, dat zie ik ook 100% werken, al heb ik geen idee hoe lang het duurt.

Viper® schreef op woensdag 06 augustus 2014 @ 11:32:
Syno forum:


[...]


Je kan toch niet adhv een encrypted file de key achterhalen, ja over 500 jaar missschien.

Dacht dat die mannen van Cryptolocker waren opgepakt en ze de database met keys gevonden hebben. Aan de hand van de geuploade file zullen ze u dan de juiste key kunnen opsturen op de rest te decrypten geloof ik.

Verwijderd schreef op woensdag 06 augustus 2014 @ 11:36:
[...]

Zekers, ik heb daar een cursus gevolgd, dat zie ik ook 100% werken, al heb ik geen idee hoe lang het duurt.

3.Receive a private key from the portal and a link to download and install a decryption tool that can be run locally on their computer.
4.Run the decryption tool locally on their computer, using the provided private key, to decrypt the encrypted files on their hard drive.

Ik sta er nooit zo om te springen om .exe tools te downloaden en op me pc te draaien, straks is die shit ook allemaal encrypted

^^

Although the Department of Justice has reported that CryptoLocker has been neutralized, many CryptoLocker victims have not been able to decrypt their files.

[ Voor 11% gewijzigd door Viper® op 06-08-2014 11:39 ]

Viper® schreef op woensdag 06 augustus 2014 @ 11:32:
Syno forum:


https://www.decryptcryptolocker.com/


Je kan toch niet adhv een encrypted file de key achterhalen, ja over 500 jaar missschien.

Ik heb nog altijd dat encrypted bestand. Ik ga het gewoon proberen: niet geschoten is altijd mis. Ik laat weten hoe dit afloopt

http://www.bright.nl/onts...yptolocker-zijn-gegijzeld

Gegijzelde bestanden Cryptolocker bevrijd dankzij Nederlanders

Slachtoffers van ransomware CryptoLocker kunnen hun versleutelde bestanden nu gratis terugkrijgen. Met dank aan Nederlandse Fox-IT.

Onderzoekers van Fox-IT en het Amerikaanse FireEye helpen slachtoffers van de bekende 'ransomware' CryptoLocker uit de zorgen. CryptoLocker versleutelt je bestanden, waarna de criminelen achter het virus 'losgeld' eisen om ze weer terug te krijgen. De onderzoekers hebben echter de database met privésleutels achterhaalt, zo meldt Fox-It. Daardoor kunnen slachtoffers de bestanden weer zelf ontsleutelen.

De criminelen achter Cryptolocker zouden de database met privésleutels van de 'gegijzelde' bestanden onlangs hebben verplaatst, uit angst dat de FBI hun server uit de lucht zou halen. Maar het geüploade zou volgens Fox-IT door 'stom toeval' zijn onderschept. Dat zou een kwestie zijn geweest van 'op het juiste moment op de juiste plek zijn'.

In totaal zou CryptoLocker enkele honderdduizenden pc's hebben besmet. De ransomware werd verspreid via een botnet, dat onlangs door een operatie van de FBI werd uitgeschakeld. Daarna probeerden de criminelen de database met privésleutels te verhuizen, waarna de beveiligingsonderzoekers hun slag sloegen.

Resultaat is dat slachtoffers alle versleutelde bestanden weer kunnen ontsleutelen. Hiervoor is de speciale site Decryptcryptolocker.com in het leven geroepen. Daar kunnen slachtoffers hun emailadres opgeven en een van de gegijzelde bestanden uploaden. Ze krijgen dan de privésleutel terug, waarmee alle versleutelde bestanden zijn te decrypten.

Waarschijnlijk heeft een deel van de slachtoffers inmiddels de computer vol met bestanden die niet waren te openen al hebben weggedaan. Die hebben pech. De criminelen achter Cryptolocker zouden in totaal 2,2 miljoen euro hebben verdiend.

[ Voor 98% gewijzigd door robertwebbe op 06-08-2014 11:43 ]

robertwebbe schreef op woensdag 06 augustus 2014 @ 11:38:
http://www.bright.nl/onts...yptolocker-zijn-gegijzeld

Gegijzelde bestanden Cryptolocker bevrijd dankzij Nederlanders

Wie twittert Stuart Tracte even, heeft die arme man net betaald haha

[ Voor 71% gewijzigd door Viper® op 06-08-2014 11:40 ]

is synolocker wel hetzelfde als cryptolocker?

Maar wie zegt dat dit dan ook werkt voor Synolock?

Dit werkt inderdaad niet voor Synolocker. Na uploaden krijg ik deze melding:

Invalid file.

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

Hmmm, dat is dan heel jammer.

Dit betreft dus privésleutels van een tijdje geleden. Als SynoLocker pas net actief is zal het je niet helpen.

Ryceck schreef op woensdag 06 augustus 2014 @ 11:11:
[...]


Regel 1 van beveiliging: als jij iets kunt kunnen anderen met slechtere bedoelingen het ook.

<knip>

Dus aan mensen zonder verstand van beveiliging: hang dat ding gewoon niet aan het internet; dan loop je (minimaal) risico op dataverlies

Klinkt onwijs logisch, uiteraard. Maar dan slaan we twee stappen over:
- bewustwording, maak mensen eerst maar eens 'bewust onbekwaam'.
- aanpassen houding en gedrag, maak mensen vervolgens bewust bekwaam zoals dat zo mooi heet.

Oftewel, zorg dat mensen zich realiseren wat de risico's zijn en geef handvatten om erop te acteren.

Helaas heeft iemand hierboven een punt - zoals met alles is er ook voor veel mensen veel aan gelegen dat 'demense' vooral niet te veel leren/weten, dat levert namelijk geld op.

@DikkieDikDik: Ik zie nog steeds geen officieel bericht van Synology waarin gesteld wordt dat DSM 5.x veilig is. Het enige wat in het nieuwsbericht staat is dat ze in DSM 5.x dit probleem nog niet hebben gezien.

TheOmen schreef op woensdag 06 augustus 2014 @ 11:44:
Dit betreft dus privésleutels van een tijdje geleden. Als SynoLocker pas net actief is zal het je niet helpen.

De vraag is ook maar of de persoon achter Synolocker de key database lang beschikbaar houdt. Als hij genoeg verdient heeft kan het zijn dat hij alles erased om zo zijn stappen uit te wissen moesten ze hem ooit oppakken...

Ook F-Secure is vrij helder over het niet kunnen terughalen van geïnfecteerde bestanden zonder key:

Based on our analysis of SynoLocker, the malware author(s) have followed through with their threats and have properly implemented the process described. Sadly this means any files stored on the NAS device will have been lost unless the user has kept a separate backup. There have also been reports of users paying the malware author(s) and successfully receiving the RSA-2048 private key and decrypting their files, but we strongly discourage ever paying malware authors. It only encourages them to continue their malicious work.

Briljante move van FOX-IT, dat echt een begrip geworden - inmiddels internationaal!

Edit; wel zorgen dat je niet nu alsnog besmet kan worden, geen garantie dat men dan de sleutel nog heeft.

[ Voor 39% gewijzigd door NiGeLaToR op 06-08-2014 11:51 ]

HenkDePoema schreef op woensdag 06 augustus 2014 @ 11:43:
Dit werkt inderdaad niet voor Synolocker. Na uploaden krijg ik deze melding:

[...]

NiGeLaToR schreef op woensdag 06 augustus 2014 @ 11:50:
Briljante move van FOX-IT, dat echt een begrip geworden - inmiddels internationaal!

Edit; wel zorgen dat je niet nu alsnog besmet kan worden, geen garantie dat men dan de sleutel nog heeft.

Werkt niet. Mensen halen Cryptolocker en Synolocker door elkaar heen.

[ Voor 5% gewijzigd door Cardinal op 06-08-2014 11:53 ]

NiGeLaToR schreef op woensdag 06 augustus 2014 @ 11:50:
Briljante move van FOX-IT, dat echt een begrip geworden - inmiddels internationaal!

Edit; wel zorgen dat je niet nu alsnog besmet kan worden, geen garantie dat men dan de sleutel nog heeft.

Zou tof zijn als ze SynoLocker en CryptoWall ook zouden kunnen fixen

Avenger 2.0 schreef op woensdag 06 augustus 2014 @ 11:48:
[...]


De vraag is ook maar of de persoon achter Synolocker de key database lang beschikbaar houdt. Als hij genoeg verdient heeft kan het zijn dat hij alles erased om zo zijn stappen uit te wissen moesten ze hem ooit oppakken...

De aantrekkingskracht van meer geld is te groot voor de meeste mensen om te weerstaan. In het casino stoppen terwijl je voorstaat en een heel gunstig uitzicht hebt op veel meer geld is erg moeilijk. De kans is groot dat deze criminelen niet Ronin-style op hun hoede zijn en direct weglopen bij de eerste de beste aanwijzing.

robertwebbe schreef op woensdag 06 augustus 2014 @ 11:38:
http://www.bright.nl/onts...yptolocker-zijn-gegijzeld

Gegijzelde bestanden Cryptolocker bevrijd dankzij Nederlanders

Slachtoffers van ransomware CryptoLocker kunnen hun versleutelde bestanden nu gratis terugkrijgen. Met dank aan Nederlandse Fox-IT.
...

Waarschijnlijk heeft een deel van de slachtoffers inmiddels de computer vol met bestanden die niet waren te openen al hebben weggedaan. Die hebben pech. De criminelen achter Cryptolocker zouden in totaal 2,2 miljoen euro hebben verdiend.

Daarmee koop je een hoop bitcoins. Cryptolocker vroeg aan het begin nog 2 BTC om later te zakken naar 0,5 BTC toen de koers omhoog ging. Het waren wel zakenlui.

CapTVK schreef op woensdag 06 augustus 2014 @ 11:57:
Het waren wel zakenlui.

Nee, criminelen.

hooguit criminelen die zakelijk denken, maar een andere term als criminelen past er niet op.

nieuws: Synology: ransomware treft alleen ongepatchte systemen

DaaNium schreef op woensdag 06 augustus 2014 @ 10:43:
[...]

Nou, ik kan nogal stellig zijn hierover.
Ik zal ook uitleggen waarom.
De NAS is gekocht door mijn buurman, bij mij.
Ik heb hem toen geholpen om de NAS gebruiksklaar te maken.
Er kwamen verse schijven in de nieuwe NAS, dus er zat nog geen DSM op.
Toen we 'm gingen installeren, was DSM 5 beschikbaar, dus die hebben we er toen ook op gezet.

Kleine, maar wellicht belangrijke kanttekening:
We hadden géén update achter de 4493 versie (inmiddels zitten we op update 3)

DaaNium, was dit zijn eerste Synology? Of had hij er hiervoor ook één met een oudere versie van DSM? Als dat zo was kan die infected zijn geraakt en ip-adres en inloggegevens hebben verzameld. Die zouden dan bij deze aanval gebruikt kunnen zijn.

Iemand een idee hoeveel impact dit heeft op een merk als Synology in de toekomst?
Heb er thuis 2 staan draaien, samen met nog een Zyxel en een Iomega dus ik ben redelijk safe ivm data.

Wat ik wel vreemd vond is dat ik op 29 juli een mail kreeg van synology dat er een nieuwe (DSM) 4.3-3827.was. Dit terwijl mijn beide Syno's op DSM 5.x lopen sinds die uitwas.
Van dit zinnetje moeten er sommige ook gruwelen denk ik dan 'It is always recommended that you install the latest update to obtain an even smoother user experience. '

Luke-san schreef op woensdag 06 augustus 2014 @ 12:15:
Iemand een idee hoeveel impact dit heeft op een merk als Synology in de toekomst?

Hoeveel impact hebben de tienduizenden (meer ?) Windows PC's die gehackt zijn (en bijv. gebruikt in DDoS aanvallen) gehad op een merk als Microsoft ??

Nog niet vermeld zien staan, EN ik heb geen aandelen in die zaak dus ik kan het wel even melden:

Ik werd op het probleem geattendeerd door de firma waar ik mijn NAS gekocht had. Zij stuurden maandagochtend een mail rond aan hun klanten hierover.
Hulde voor WifiMedia!

S913 schreef op woensdag 06 augustus 2014 @ 11:25:
[...]

Ze spreken alleen over DSM 4 & 5 ... Whaddabout de Syno's die niet naar 4 kunnen? Ik weet dat deze eigenlijk niet meer supported zijn, maar ik heb op mijn 207+ nog in november 2013 een update gehad op DSM 3.1 (was dat n.a.v. heartbleed?). Maar daar zal die fix niet in zitten waarvan ze in bovenstaande link zeggen dat hij december uitgerold is

Of zoals in het nieuws bericht van synology staat:

For Synology NAS servers running DSM 4.3-3810 or earlier

BRON: http://www.synology.com/en-us/company/news/article/470

DaaNium schreef op maandag 04 augustus 2014 @ 18:22:
[...]

DSM 5 kan ook getroffen worden, mijn buurman heeft DSM 5 draaien en is ook geinfecteerd

Je hebt dit hoop ik bij Synology gemeld ? Want het statement van Synology is nu: alleen versies <5, dat zou bijzonder misleidend zijn, mensen die vrolijk hun nasje weer aan het internet gaan hangen omdat ze op DSM5 zitten.

Goner schreef op woensdag 06 augustus 2014 @ 12:21:
[...]

Hoeveel impact hebben de tienduizenden (meer ?) Windows PC's die gehackt zijn (en bijv. gebruikt in DDoS aanvallen) gehad op een merk als Microsoft ??

Wel een gigantisch groot verschil omdat mensen dit kopen als een betrouwbare 'backup' en nu alles kwijt zijn als ze niet betalen.
Meeste mensen lachten ook altijd met Windows of een MS product, en nu zie je maar.
Ik zie de meeste mensen ook altijd lachen als ik ze vertel dat ze beter een virusscanner op hun Mac zetten terwijl dat het ook wel ergens op de Apple website staat.

Hopelijk is dit een wijze les voor velen en ik hoop verdorie dat ze hun data terug kunnen krijgen op een korte termijn.

z1rconium schreef op woensdag 06 augustus 2014 @ 12:31:
[...]

Je hebt dit hoop ik bij Synology gemeld ? Want het statement van Synology is nu: alleen versies <5, dat zou bijzonder misleidend zijn, mensen die vrolijk hun nasje weer aan het internet gaan hangen omdat ze op DSM5 zitten.

Joh, lees het topic.

Luke-san schreef op woensdag 06 augustus 2014 @ 12:33:
[...]


Wel een gigantisch groot verschil omdat mensen dit kopen als een betrouwbare 'backup' en nu alles kwijt zijn als ze niet betalen.

Als back-up is er toch niets aan de hand? En als het je primaire data-opslag is, dan had je een back-up moeten maken.

Hopelijk is dit een wijze les voor velen en ik hoop verdorie dat ze hun data terug kunnen krijgen op een korte termijn.

True, maar dat gaat echt niet gebeuren zonder te betalen.

Luke-san schreef op woensdag 06 augustus 2014 @ 12:33:
[...]
Wel een gigantisch groot verschil omdat mensen dit kopen als een betrouwbare 'backup' en nu alles kwijt zijn als ze niet betalen.

Oh en mensen kopen Windows niet als een betrouwbaar OS, bedoel je ??
Er zijn zat gebruikers die ditzelfde hebben meegemaakt op hun Windows PC met data hoor ...

Goner schreef op woensdag 06 augustus 2014 @ 12:36:
[...]

Oh en mensen kopen Windows niet als een betrouwbaar OS, bedoel je ??
Er zijn zat gebruikers die ditzelfde hebben meegemaakt op hun Windows PC met data hoor ...

Dit werd direct aan de grote klok gehangen, en kompleet terecht.

Het stoort mij echter verschrikkelijk dat ik van Synology een mail krijg ivm een update ... nota bene minder dan een week voor de uitbraak (toeval?) om iets te updaten terwijl ik nu geen enkele email heb gekregen over dit probleem. Als je dit nog een probleem kan noemen trouwens.

Luke-san schreef op woensdag 06 augustus 2014 @ 12:45:
[...]

Het stoort mij echter verschrikkelijk dat ik van Synology een mail krijg ivm een update ... nota bene minder dan een week voor de uitbraak (toeval?)

die mail gaat over de laatste update en niet over de update uit 2013 die dit probleem zou moeten fixen, ik blijf er bij dat updaten je eigen verantwoordelijkheid is en niet die van Synology ik kies er in mijn werk wel eens voor om een update niet uit te voeren maar dan weet ik dat ik niet moet gaan aankomen bij de leverancier als het na een tijdje misgaat dat is dan mijn eigen schuld. zelfs 4 en 3 zijn gepatched om deze bug op te lossen...