Synology NAS besmet met ransomware synolocker

[ Voor 5% gewijzigd door NiGeLaToR op 05-08-2014 08:28 ]

So far, most of the cases link to the old security hole we have fixed.
http://www.synology.com/en-global/company/news/article/437

Those infected NASs are mostly running old DSM and they don't upgrade the patch we launched half a year ago.

But we are not 100% sure. We are checking if there is any new security issue in patched DSM before making publicly announcement.

So first of all, please ask your customers to upgrade to new DSM before their NASs are infected.
If their NASs were infected, please ask them to shutdown the NAS and contact Synology support.

tlpeter schreef op dinsdag 05 augustus 2014 @ 08:27:
Ze zijn er mee bezig en wanneer ze info hebben dan komen ze daar mee.
Moeten ze dan elk uur zeggen dat ze er mee bezig zijn?
Dit duurt gewoon even en en heeft alle capaciteit nodig om dit op te lossen.
Gewoon rustig afwachten.

tlpeter schreef op dinsdag 05 augustus 2014 @ 08:31:
Dan moeten wel de email adressen bekend zijn.

NiGeLaToR schreef op dinsdag 05 augustus 2014 @ 08:27:
Synology verliest geloofwaardigheid met de seconde. Ze zijn duidelijk overvallen, de problemen zijn geraffineerd en de belangen heel groot. Toegeven dat ze geen idee hebben zou het einde van het bedrijf betekenen - zoals het nu bestaat, maar nog veel langer wachten ook. Wat als je bedrijf afhankelijk is van Syno's, dan moet je vandaag toch echt een alternatief gaan bedenken als er geen duidelijkheid komt. Je kunt onmogelijk gokken dat het wel goed komt, ook al heb je nu geen problemen. Of zou het meevallen met infecties van systemen die wel netjes via een DMZ/VPN/firewall oplossing beschermd zijn?

Microkid schreef op dinsdag 05 augustus 2014 @ 08:38:
[...]

Dat is wel erg kort door de bocht. Zoals al vaker aangegeven: ze zijn er mee bezig. Je kan nou eenmaal niet verwachten dat ze binnen enkele uren een oplossing hebben. Ze zullen zelf ook eerst moeten uitzoeken waar het vandaan komt en wat het lek is. Microsoft ligt ook dagelijks onder vuur van malware, daar hoor je ook amper wat van en daar duurt het zelfs soms weken voordat er een keer een oplossing is. Die hebben vaak ook geen idee en daar zijn de belangen nog veel groter maar over Microsoft's geloofwaardigheid hoor ik je dan niet. Ik heb het volste vertrouwen in Synology dat ze dit echt wel serieus aanpakken en dat we snel wat zullen horen hoe en wat. De geloofwaardigheid van Synology staat bij mij in elk geval niet ter discussie.

Moby schreef op maandag 04 augustus 2014 @ 23:39:
Vanavond voor her eerst sinds lange tijd een inlogpoging gehad via ssh. Mislukt want 3x verkeerd binnen 1 minuut. IP 116.10.191.179. Waarschijnlijk is het niets maar wou het toch even melden

Codefinder schreef op dinsdag 05 augustus 2014 @ 08:38:
Dit is wel even schrikken.
Ik heb gisteren mijn 1812+ maar uitgezet ookal is deze alleen te bereiken via een VPN (Draytek router). Gelukkig is er bij nog niks aan de hand.

Ik heb hem 2x opgestart nadat ik thuis het internet had uitgezet en alles leek goed.
Ik gebruik echter nog een 4.0 DSM. Dus ik hoop niet dat ik later alsnog het haasje ben

beantherio schreef op dinsdag 05 augustus 2014 @ 08:40:
[...]
Ik kan me niet direct een mallware-issue van een Microsoft-product herinneren met zoveel impact als deze. Ik ben op z'n minst teleurgesteld over de reactie van Synology tot nu toe.

01-May-2014
Microsoft has issued an emergency security update to fix a zero-day vulnerability that is present in all versions of its Internet Explorer Web browser and that is actively being exploited. In an unexpected twist, the company says Windows XP users also will get the update, even though Microsoft officially ceased supporting XP last month.

The rushed patch comes less than five days after the software giant warned users about active attacks that attempt to exploit a previously unknown security flaw in every supported version of IE.

DaaNium schreef op dinsdag 05 augustus 2014 @ 08:50:
Vanmorgen om 6.09u een mail van synology ontvangen.
Daarin vragen ze om een aangepaste .pat te downloaden van hun FTP site.
Verder verzoeken ze me om de besmette hdd's er in te zetten en telnet te forwarden naar de Nas.
Op die manier nemen zij de Nas over en proberen ze me te helpen.
Ik zal later een kopie van de mail quoten

Jason X schreef op dinsdag 05 augustus 2014 @ 08:48:
Alleen als ik in Windows Verkenner zit, waar de Diskstation tussen staat onder Netwerk, kan ik hem niet meer openen omdat er dan een aanmeldfout optreedt 'het account is uitgeschakeld'. Dat snap ik, alleen waar moet ik in hemelsnaam instellen dat hij met het andere account toegang mag krijgen?

[ Voor 18% gewijzigd door technorabilia op 05-08-2014 08:53 ]

Meanwhile for those users whose servers have been infected, Synology is advising users to immediately shutdown their servers to prevent any further files from being encrypted and to contact Synology support about the issue. Synology is also suggesting that affected users also be on the lookout for fake Synology emails, out of a concern that the ransomware authors may follow up by hitting the infected users with spear phising attacks.

Microkid schreef op dinsdag 05 augustus 2014 @ 08:50:
[...]


[...]

Microsoft waarschuwt de gebruikers via hun eigen webiste. Dat doet Synology ook.
De patch was er na 5 dagen. Er wordt nu al moord en brand geroepen dat Synology niet binnen 24 uur een oplossing heeft.

Niet met 2 maten meten dus

Jason X schreef op dinsdag 05 augustus 2014 @ 08:48:
Misschien een stomme vraag, maar ik heb naar aanleiding hiervan ook even gekeken naar de beveiliging.
Het standaard admin account uitgeschakeld nadat ik een andere user had aangemaakt met admin rechten.

Alleen als ik in Windows Verkenner zit, waar de Diskstation tussen staat onder Netwerk, kan ik hem niet meer openen omdat er dan een aanmeldfout optreedt 'het account is uitgeschakeld'. Dat snap ik, alleen waar moet ik in hemelsnaam instellen dat hij met het andere account toegang mag krijgen?

Stuart Tracte‏@Stwo·3 u
#Synolocker has broken my heart. I've lost a yr of hard work that I put every oz of my soul into. Theres got to be a fix. Anyone? @synology

Paling1 schreef op dinsdag 05 augustus 2014 @ 08:58:
[...]


Configuratiescherm\Gebruikersaccounts en Ouderlijk toezicht\Referentiebeheer

Daar kan je de oude inloggegevens wissen en dan opnieuw je netwerkschijven aanmaken.

Viper® schreef op dinsdag 05 augustus 2014 @ 09:08:
Ik heb het vermoeden dat Synology zelf ook nog totaal geen idee heeft waar het probleem zit, althans dit leid ik af uit de relatief weinig informatie die ze verschaffen.

Wat ik dan wel weer apart vindt zijn dit soort opmerkingen

[...]


Sorry hoor, maar als je echt belangrijke zaken hebt moet je zorgen dat je een backup hebt, het liefst off-site of zelfs offline. Voor hetzelfde geldt wordt er ingebroken of heb je brand.

[ Voor 6% gewijzigd door NiGeLaToR op 05-08-2014 09:28 ]

djkavaa schreef op dinsdag 05 augustus 2014 @ 09:32:
Naja, ik weet niet of je iets dubbel kunt encrypte?

NiGeLaToR schreef op dinsdag 05 augustus 2014 @ 09:27:
[...]


Hoewel je rationeel gelijk hebt, is je argument toch enigszins ongeldig. Hoe kun je van iemand (niet IT) verwachten dit te begrijpen? Is overigens ook niet de 'schuld' van Synology, behalve dan dat ze te makkelijk te bedienen apparaatjes maken wellicht. Vriend van me heeft ook Syno's en een eigen bedrijf in de zorg. Te klein voor structureel systeembeheer, te groot voor het niet hebben van IT-dingetjes. Syno's leken een perfect compromis, maar nu toch maar even uit tot we meer weten. Nu heeft hij wel door dat zijn bedrijfsadministratie ook op een USB stick thuis moet liggen en op een dropbox achtige oplossing, maar toch.

Snap heel goed dat als iemand 400,- uit geeft aan een Syno en 2 mirrored disks in de veronderstelling is dat eea 'veilig' is, terwijl het enige wat je krijgt ís een stukje beschikbaarheid (en geen integriteit en alleen veiligheid als je dat zelf inregelt).

Overigens zelf ook lang geleund op zoveel mogelijk online kopietjes.. data op mac, data in timemachine, data mirror. Zal wel goed zijn. Pas vorig jaar energie gestoken in een offline kopie.

Jason X schreef op dinsdag 05 augustus 2014 @ 08:48:
...waar moet ik in hemelsnaam instellen dat hij met het andere account toegang mag krijgen?

[ Voor 16% gewijzigd door DukeBox op 05-08-2014 09:40 ]

[ Voor 5% gewijzigd door PBX_g33k op 05-08-2014 09:45 . Reden: opvulling ]

Viper® schreef op dinsdag 05 augustus 2014 @ 09:49:
22

Die zitten allemaal in dit topic

[ Voor 68% gewijzigd door Maceugh op 05-08-2014 09:51 ]

Qualixo schreef op dinsdag 05 augustus 2014 @ 09:40:
word niet tijd voor sandboxen van core delen van synology os om dit soort shit te voorkomen?

Dear customer,

Thank you for contacting Synology Support.

We are aware of this issue and is looking into it now. In order to reduce the impact of your existed files, could you please refer to the following steps to provide us the remote access of your DS?

1. Power off DS and take out all disks
2. Power on DS without disks
3. Run Assistant and perform the installation with the DSM patch below

ftp://...../fake_pat/a.pat

user:
password:

4. Under this way, the installation will be failed but the telnet will be open
5. Please open the port 23 on your router for DS NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via telnet
6. Please insert the disks back to DS without rebooting and provide us the following information

Remote Access Instructions
===============================================================
1. Standard Ports we need you to open: 23
(Please see this link on how to forward your ports, and then select the TELNET application:
http://www.portforward.co...orwarding/routerindex.htm)

2. WAN IP Address of your Synology NAS:
[Please go to http://www.canyouseeme.org/ to fill in the above information and check if the port is open or not]

===============================================================

Then we could use the command to do the trouble-shooting and try solving this issue remotely.

PS: Please also provide us your password for admin account

We are sorry for your inconvenience.

--
Sincerely,
David Fu

Verwijderd schreef op dinsdag 05 augustus 2014 @ 10:05:
Ik zie mensen afvragen of opnieuw starten de trigger is. Dat zou natuurlijk een trigger kunnen zijn, maar ik was al de klos zonder dat ik eraan heb gezeten.

Ik merkte gisteren dat ik mijn foto's niet meer kon bekijken.
En toen meerdere foto's in alle mappen. Het bestand is beschadigd of te groot kreeg ik als foutmelding.

Daarna kon ik nog gewoon inloggen in de nas.
Ik wist niet wat er mis was, dus heb dat ding opnieuw gestart, maar de melding "wordt opnieuw gestart" bleef wel erg lang in beeld.
Toen maar hard uitgezet en opnieuw aangezet, waarna ik het bewuste scherm in beeld kreeg.

De bestanden waren dus al encrypted voor de herstart en nu kan ik er helemaal niet meer bij.
Ding maar uitgezet in afwachting van Synology en hopelijk een oplossing.

DaaNium schreef op dinsdag 05 augustus 2014 @ 10:01:
bij deze de quote van de Synology mail


[...]


Ik heb de ftp link niet helemaal geplaatst, evenals de user/pass.

[ Voor 14% gewijzigd door Ryceck op 05-08-2014 10:11 ]

Ryceck schreef op dinsdag 05 augustus 2014 @ 10:10:
[...]


De shitload aan spelfouten in dat document laten mijn nekharen overeind springen.

I call fake

[ Voor 12% gewijzigd door hars73 op 05-08-2014 10:12 ]

Verwijderd schreef op dinsdag 05 augustus 2014 @ 10:05:
....
Daarna kon ik nog gewoon inloggen in de nas.
Ik wist niet wat er mis was, dus heb dat ding opnieuw gestart, maar de melding "wordt opnieuw gestart" bleef wel erg lang in beeld.
Toen maar hard uitgezet en opnieuw aangezet, waarna ik het bewuste scherm in beeld kreeg.
....

Erulezz schreef op dinsdag 05 augustus 2014 @ 10:07:
[...]


En wat had je allemaal open staan(poorten,services)?

emnich schreef op dinsdag 05 augustus 2014 @ 10:14:
Voor de authenciteit kan je bijvoorbeeld naar de headers van de emails kijken. Maar ik denk dat als je een report hebt ingediend bij Synology dat je systeem gehackt is en je vervolgens dit bericht krijgt dat het wel te vertrouwen is. De hackers hadden al compleet toegang tot je systeem, waarom dan nu moeilijk doen met fishing mails?

beantherio schreef op dinsdag 05 augustus 2014 @ 10:15:
[...]

Het hoeven natuurlijk niet dezelfde hackers te zijn.

xippie schreef op dinsdag 05 augustus 2014 @ 10:15:
[...]

Wat hebben andere hackers aan een encrypted systeem

beantherio schreef op dinsdag 05 augustus 2014 @ 10:15:
[...]

Het hoeven natuurlijk niet dezelfde hackers te zijn.

Hi Johnny,

Thank you for the inquiry.

Please kindly allow us your permission to access your DiskStation (DS) through telnet service. Please follow the instruction below:

1. Power off DS and take out all disks
2. Power on DS without disks
3. Run Assistant and perform the installation with the DSM patch below

ftp://....

user: -
password: -

4. Under this way, the installation will be failed but the telnet service will be open. Please do not terminate the Synology Assistant program on your PC until we have logged into your Diskstation.
5. Please open the port 23 on your router for DS NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via telnet
6. Please insert the disks back to DS without rebooting and provide us the following information

Remote Access Instructions
===============================================================
1. Standard Ports we need you to open: 23
(Please see this link on how to forward your ports, and then select the TELNET application:
http://www.portforward.co...orwarding/routerindex.htm)

2. WAN IP Address of your Synology NAS:
[Please go to http://www.canyouseeme.org/ to fill in the above information and check if the port is open or not]

===============================================================

Thanks.

Best Regards,
Jason Ren
Technical Support
Synology Inc.

xippie schreef op dinsdag 05 augustus 2014 @ 10:15:
[...]

Wat hebben andere hackers aan een encrypted systeem

Qualixo schreef op dinsdag 05 augustus 2014 @ 10:14:
lijkt mij dat een goed willend bedrijf als synology met zo een hack nooit vraagt om die gegevens:)
teamviewer met meekijken is ander verhaal..

synoniem schreef op dinsdag 05 augustus 2014 @ 10:21:
Al met al lijkt het me duidelijk dat je een Synology normaliter niet rechtstreeks aan het internet hangt en zeker niet met telnet. Maar support moet er op een of andere manier wel bij kunnen natuurlijk. Ze lossen het overigens netter op dan Netgear die permanent een backdoor voor zichzelf open hebben staan.

[ Voor 8% gewijzigd door ThinkPad op 05-08-2014 10:24 ]

kraades schreef op dinsdag 05 augustus 2014 @ 08:52:
[...]


Even zoeken op clear cached credentials of net use delete.

From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:

http://www.synology.com/company/news/article/437

As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:

http://www.synology.com/en-global/support/tutorials/478

BiLLie- schreef op dinsdag 05 augustus 2014 @ 10:18:
[...]


Synology vraagt dus wel om deze gegevens in het geval van support en het gebruikte engels in de communicatie is niet altijd zo dat je nekharen er niet recht overeind van gaan staan.. De betreffende e-mail zou dus wel van Synology afkomstig kunnen zijn

Siluro schreef op dinsdag 05 augustus 2014 @ 10:22:
Op het overzicht van getroffen systemen (https://www.shodan.io/sea...country%3A%22NL%22&page=1) valt wel op dat bijna alle systemen poort 5000 open staat/stond. Slechts eenmaal een andere variant dan 5000, maar dan wel weer in combinatie met poort 80.

Maargoed, daar zijn natuurlijk niet echt conclusies uit te trekken. Ik heb 'm thuis nog wel aanstaan maar alle poortmappings (zelfs VPN) er maar even uit gehaald.

[ Voor 33% gewijzigd door ThinkPad op 05-08-2014 10:26 ]

Robkazoe schreef op dinsdag 05 augustus 2014 @ 10:24:
[...]

Ik heb zelf niet het probleem maar heb zelf poort 5000 doorgeforward naar poort 5001 voor een HTTPS verbinding. Zou ik poort 5000 helemaal dicht moeten gooien of is de forward naar 5001 veilig genoeg? Je kunt immers niet inloggen via poort 5000.

ThinkPadd schreef op dinsdag 05 augustus 2014 @ 10:23:
[...]

Soms kun je niet anders. Als je NetBackup (dus backup tussen twee Syno's) encrypted wil laten verlopen moet je poort 22 SSH openzetten. Daar komen ze ook zoveel keer per uur even aankloppen of er iemand thuis is. En als ze via SSH erin zitten via een gebruiker met veel rechten dan kun je het wel vergeten, dan hebben ze je hele NAS onder controle.

Dat heb ik nu met een firewallregel dus anders ingesteld, alleen SSH incoming mogelijk vanaf 1 specifiek IP-adres.

emnich schreef op dinsdag 05 augustus 2014 @ 10:25:
[...]


Dat maakt helemaal niet uit. Het idee van port 5000 is alleen dat het hierdoor makkelijker te vinden is. Bij jou is port 5000 gewoon te zien en ben je dus net zo kwetsbaar (als dat de aanvals vector is).

le dj schreef op dinsdag 05 augustus 2014 @ 10:26:
[...]

hoe ga je dan om met een wisselend ip adres? Ik heb geen vast ip. (via DNS?)

emnich schreef op dinsdag 05 augustus 2014 @ 10:25:
[...]


Dat maakt helemaal niet uit. Het idee van port 5000 is alleen dat het hierdoor makkelijker te vinden is. Bij jou is port 5000 gewoon te zien en ben je dus net zo kwetsbaar (als dat de aanvals vector is).

le dj schreef op dinsdag 05 augustus 2014 @ 10:26:
[...]

hoe ga je dan om met een wisselend ip adres? Ik heb geen vast ip. (via DNS?)

[ Voor 17% gewijzigd door ThinkPad op 05-08-2014 10:28 ]

Jason X schreef op dinsdag 05 augustus 2014 @ 08:48:
Misschien een stomme vraag, maar ik heb naar aanleiding hiervan ook even gekeken naar de beveiliging.
Het standaard admin account uitgeschakeld nadat ik een andere user had aangemaakt met admin rechten.

Alleen als ik in Windows Verkenner zit, waar de Diskstation tussen staat onder Netwerk, kan ik hem niet meer openen omdat er dan een aanmeldfout optreedt 'het account is uitgeschakeld'. Dat snap ik, alleen waar moet ik in hemelsnaam instellen dat hij met het andere account toegang mag krijgen?

mgm1313 schreef op dinsdag 05 augustus 2014 @ 10:23:
[...]


http://www.synology-forum...656&viewfull=1#post445656

Ik heb op menig forum (waaronder hun eigen) toch al wel berichten voorbij zien komen van mensen die 5.0 draaien en ook getroffen zijn. Snap dan ook niet helemaal hoe Synology bij dit antwoord komt.

ThinkPadd schreef op dinsdag 05 augustus 2014 @ 10:23:
[...]

Soms kun je niet anders. Als je NetBackup (dus backup tussen twee Syno's) encrypted wil laten verlopen moet je poort 22 SSH openzetten. Daar komen ze ook zoveel keer per uur even aankloppen of er iemand thuis is. En als ze via SSH erin zitten via een gebruiker met veel rechten dan kun je het wel vergeten, dan hebben ze je hele NAS onder controle.

Dat heb ik nu met een firewallregel dus anders ingesteld, alleen SSH incoming mogelijk vanaf 1 specifiek IP-adres.

SpeedingWilly schreef op dinsdag 05 augustus 2014 @ 10:30:
[...]


Ga naar "User Accounts" en klik op "manage your credentials". Daar kun je admin vervangen door de nieuwe user en eventueel het wachtwoord aanpassen en daarna werkt het weer!

Birelissimo schreef op dinsdag 05 augustus 2014 @ 10:22:
ftp://ftp.synology.com/on-line/Tools/fake_pat/a.pat

Bij mij in de mail van een maand of 3 terug

Siluro schreef op dinsdag 05 augustus 2014 @ 10:22:
Op het overzicht van getroffen systemen (https://www.shodan.io/sea...country%3A%22NL%22&page=1) valt wel op dat bijna alle systemen poort 5000 open staat/stond. Slechts eenmaal een andere variant dan 5000, maar dan wel weer in combinatie met poort 80.

Maargoed, daar zijn natuurlijk niet echt conclusies uit te trekken. Ik heb 'm thuis nog wel aanstaan maar alle poortmappings (zelfs VPN) er maar even uit gehaald.

Verwijderd schreef op dinsdag 05 augustus 2014 @ 10:36:
Weet iemand hoe je die 2 pass authenticatie aanzet met behulp van deze token (token is van actividentity)?

[afbeelding]

Ik kan er niks over vinden. Ik zou het graag met mijn token doen ipv met een mailadres.

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 10:44:
[...]


je kan gewoon de app google authenticator installeren op je android Phone. Zo doe ik het. Weet niet of er een soortgelijke app is voor de ihpone maar neem aan van wel

Verwijderd schreef op dinsdag 05 augustus 2014 @ 10:45:
Een schandelijke copy/paste van mij:


Update via Anandtech van Synology:

"Finally, Synology tells us that they are hoping to finish identifying which versions of DSM are affected this evening. They are also hoping to have a resolution, though admittedly if SynoLocker is as effectively implemented as Cryptolocker, then there is a distinct possibility that there may be no way to recover the ransomed data other than paying."

hars73 schreef op dinsdag 05 augustus 2014 @ 10:50:
Is er eigenlijk al ergens iemand die betaald heeft en een key heeft gekregen en ook daadwerkelijk z'n bestanden weer beschikbaar heeft? Want dat is allemaal natuurlijk ook nog maar de vraag.

[ Voor 6% gewijzigd door DonJunior op 05-08-2014 10:51 ]

DonJunior schreef op dinsdag 05 augustus 2014 @ 10:51:
[...]
Lijkt me niet toch? Aangifte doen mocht je de sjaak zijn is beter dan betalen lijkt me.

Dutch_guy schreef op dinsdag 05 augustus 2014 @ 10:51:
Aan de ene kant zou ik denken dat je na betaling een geldige key krijgt. Immers als dat niet zo is, dan is dat direct bekend en betaald niemand meer.