Synology NAS besmet met ransomware synolocker

Ontgrendelen kost 0,6 Bitcoin = ~260 euro op dit moment. Als ik jarenlang werk of foto's o.i.d. op m'n NAS heb staan en het daarmee terugkrijg dan is dat een schijntje natuurlijk. Ik praat het niet goed natuurlijk, maar als je er echt van afhankelijk bent valt die prijs nog mee. Dure les, dat wel

[ Voor 25% gewijzigd door ThinkPad op 05-08-2014 10:54 ]

ThinkPadd schreef op dinsdag 05 augustus 2014 @ 10:54:
Ontgrendelen kost 0,6 Bitcoin = ~260 euro op dit moment. Als ik jarenlang werk of foto's o.i.d. op m'n NAS heb staan en het daarmee terugkrijg dan is dat een schijntje natuurlijk

of je had voor 260 euro een externe hdd gekocht om het offline ook te hebben
en hoef je deze praktijken niet te funden ...

[ Voor 5% gewijzigd door Paradox op 05-08-2014 10:55 ]

ThinkPadd schreef op dinsdag 05 augustus 2014 @ 10:54:
Ontgrendelen kost 0,6 Bitcoin = ~260 euro op dit moment. Als ik jarenlang werk of foto's o.i.d. op m'n NAS heb staan en het daarmee terugkrijg dan is dat een schijntje natuurlijk

Mja en wie zegt dat je een week later niet weer de sjaak bent? Als je eenmaal betaald dan liijkt me de kans groot dat ze het een volgende keer gewoon weer bij je proberen onder het mom van "Die betaald toch wel"

ThinkPadd schreef op dinsdag 05 augustus 2014 @ 10:54:
Ontgrendelen kost 0,6 Bitcoin = ~260 euro op dit moment. Als ik jarenlang werk of foto's o.i.d. op m'n NAS heb staan en het daarmee terugkrijg dan is dat een schijntje natuurlijk

Ik heb bijvoorbeeld alle foto's van m'n kids (vanaf geboorte) erop staan, inclusief video's etc. Uiteraard gebackupped naar een USB schijf en wat kopietjes hier en daar inclusief backup in de cloud. Maar als ik die kwijt zou zijn en zou ze terug kunnen krijgen voor 260 euro, dan deed ik dat..

[ Voor 5% gewijzigd door hars73 op 05-08-2014 10:57 ]

DonJunior schreef op dinsdag 05 augustus 2014 @ 10:55:
[...]


Mja en wie zegt dat je een week later niet weer de sjaak bent? Als je eenmaal betaald dan liijkt me de kans groot dat ze het een volgende keer gewoon weer bij je proberen onder het mom van "Die betaald toch wel"

Dan is misschien inmiddels wel het lek gevonden en zit je veilig. Of ze de key geven is natuurlijk de vraag.

hars73 schreef op dinsdag 05 augustus 2014 @ 10:56:
[...]

Ik heb bijvoorbeeld alle foto's van m'n kids (vanaf geboorte) erop staan, inclusief video's etc. Uiteraard gebackupped naar een USB schijf. Maar als ik die kwijt zou zijn en zou ze terug kunnen krijgen voor 260 euro, dan deed ik dat..

backup naar usb kan ook gewoon worden encrypt als je hem eraan laat hangen 24/7

heb gisteren toch ook maar remote m'n synology uitgezet... zou vanavond vrienden op bezoek krijgen voor film-avondje... beetje huiverachtig en aan 't twijfelen om m'n NAS terug op te starten omdat daar m'n films op staan..

Dutch_guy schreef op dinsdag 05 augustus 2014 @ 10:52:
[...]


Aangifte tegen wie? De politie lacht je uit als je hiermee aankomt.

Nee hoor, die doen hier tegenwoordig echt wel onderzoek naar.

renio schreef op dinsdag 05 augustus 2014 @ 10:57:
heb gisteren toch ook maar remote m'n synology uitgezet... zou vanavond vrienden op bezoek krijgen voor film-avondje... beetje huiverachtig en aan 't twijfelen om m'n NAS terug op te starten omdat daar m'n films op staan..

Hangt ie aan je router? Dan de WAN verbinding even eruit trekken, NAS aanzetten, film kijken, NAS weer uitzetten en WAN weer aansluiten En uiteraard je bier en popcorn klaarzetten

[ Voor 3% gewijzigd door hars73 op 05-08-2014 10:59 ]

renio schreef op dinsdag 05 augustus 2014 @ 10:57:
heb gisteren toch ook maar remote m'n synology uitgezet... zou vanavond vrienden op bezoek krijgen voor film-avondje... beetje huiverachtig en aan 't twijfelen om m'n NAS terug op te starten omdat daar m'n films op staan..

De NAS van het internet afhalen lijkt het beste advies. En als je filmpje gaat kijken dan dus gewoon de internetkabel uit de router hengsten ofzo? Op die manier blijft de NAS alleen in het lokale netwerk.

edit; Wat Hars73 zegt dus

Maar hij toch al besmet zijn. Terwijl hij filmpje kijkt wordt alles nog even lekker encrypted....

mja tenzij de synolocker er al op staat.. bij het remote shutdownen natuurlijk niet kunnen zien of er extra CPU belasting was of andere gekkigheid (DSM interface en zo was er wel nog). Nu goed... zoals geopperd: WAN kabel uit de router, filmpje kijken en daarna terug power off.... heb alsnog een off-site backup op USB disk van waardevol materiaal (foto's etc...)

@emnich: Tja, dan is hij hoe dan ook de sjaak toch? Dan lijkt me de beste oplossing om je HDD's er voor de zekerheid gewoon even uit te halen en de NAS te testen ofzo.

owja, kan men de NAS gewoon opstarten met een single disk (dus 1 disk er uit en de RAID config die gewoon niet mekkert)?

DonJunior schreef op dinsdag 05 augustus 2014 @ 11:01:
@emnich: Tja, dan is hij hoe dan ook de sjaak toch?

Tenzij Synology met een oplossing komt. Of met informatie komt waarmee je het gedrag van Synolocker voor kunt zijn.

renio schreef op dinsdag 05 augustus 2014 @ 11:03:
owja, kan men de NAS gewoon opstarten met een single disk (dus 1 disk er uit en de RAID config die gewoon niet mekkert)?

Nee gewoon alle disken eruit trekken. bare metal boot.

Synology forum NL

Voorlopig is hij uit en blijft hij uit.
De mijne is wel geinfecteerd DSM 5.0 Update 3

Hmmmzzzzz, ik had gehoopt dat de laatste update 3 wel veilig was.

Dutch_guy schreef op dinsdag 05 augustus 2014 @ 10:52:
[...]


Aangifte tegen wie? De politie lacht je uit als je hiermee aankomt.

Hoezo uitlachen?

Gewoon aangifte doen. Bij een babbeltruuk aan je voordeur doe je toch ook aangifte? Dit is een duidelijke vorm van computer criminaliteit: inbreken op systemen en geld afpersen door het gijzelen van andersmans data.

Aangifte is hoe dan ook belangrijk want als niemand de moeite neemt om het te melden moet je ook niet verwachten dat de politie er iets aan gaat doen.

emnich schreef op dinsdag 05 augustus 2014 @ 11:00:
Maar hij toch al besmet zijn. Terwijl hij filmpje kijkt wordt alles nog even lekker encrypted....

Volgens mij is het toch zo dat je al besmet kunt zijn, maar als je een reboot van je Syno doet en je bent besmet, je altijd het Synolocker scherm krijgt?

hars73 schreef op dinsdag 05 augustus 2014 @ 10:50:
Is er eigenlijk al ergens iemand die betaald heeft en een key heeft gekregen en ook daadwerkelijk z'n bestanden weer beschikbaar heeft? Want dat is allemaal natuurlijk ook nog maar de vraag.

Is het BTC adress bekend, dan kan je het zo checken of er al betaald is.

DonJunior schreef op dinsdag 05 augustus 2014 @ 11:01:
@emnich: Tja, dan is hij hoe dan ook de sjaak toch? Dan lijkt me de beste oplossing om je HDD's er voor de zekerheid gewoon even uit te halen en de NAS te testen ofzo.

Hoeft natuurlijk niet. Misschien is er pas 1 bestand encrypt. Als er belangrijke data op staat zou ik hem uit laten staan tot bekend is wat de aanvals vector was, wat de fix is en hoe je besmetting kan herkennen.

toch jammer als je alles kwijt bent omdat je een filmpje wou kijken....

DonJunior schreef op dinsdag 05 augustus 2014 @ 10:59:
De NAS van het internet afhalen lijkt het beste advies.

Als je de poorten op de router dicht hebt staan naar jouw synology toe, dan kan je hem wel aanlaten. Ze kunnen er dan toch niet bij.

Ik heb op mijn router alle poorten die ik had openstaan verwijderd uit de port forwardingslijst en verder de firewall van synology alleen voor intern netwerk ingesteld. Ik durf hem nu 100% aan te laten, je kan er immers niet meer bij van buitenaf.

xippie schreef op dinsdag 05 augustus 2014 @ 11:04:
Synology forum NL

[...]


Hmmmzzzzz, ik had gehoopt dat de laatste update 3 wel veilig was.

Dat maakt het dan minder aannemelijk dat het heartbleed-gerelateerd is. Jammer.

beantherio schreef op dinsdag 05 augustus 2014 @ 11:07:
[...]

Dat maakt het dan minder aannemelijk dat het heartbleed-gerelateerd is. Jammer.

Als dit waar is wel. Kan ook een typfout oid zijn. Synology lijkt zelf te denken aan een "oude" bug die gebruitk wordt.

Amelandbor schreef op dinsdag 05 augustus 2014 @ 11:05:
[...]

Is het BTC adress bekend, dan kan je het zo checken of er al betaald is.

Tenzij het BTC adres voor elke betalingafpersing uniek is. Dan kan je alleen maar zien of je eigen betaling op dat adres is aangekomen.

MissileHugger schreef op dinsdag 05 augustus 2014 @ 11:08:
[...]

Als dit waar is wel. Kan ook een typfout oid zijn. Synology lijkt zelf te denken aan een "oude" bug die gebruitk wordt.

Ofwel worden er meerdere bugs misbruikt. Als je de complexiteit van synolocker ziet...

Verwijderd schreef op dinsdag 05 augustus 2014 @ 11:07:
[...]

Als je de poorten op de router dicht hebt staan naar jouw synology toe, dan kan je hem wel aanlaten. Ze kunnen er dan toch niet bij.

Ik heb op mijn router alle poorten die ik had openstaan verwijderd uit de port forwardingslijst en verder de firewall van synology alleen voor intern netwerk ingesteld. Ik durf hem nu 100% aan te laten, je kan er immers niet meer bij van buitenaf.

Hier idem, daarnaast heb ik ook maar eens gezocht op alle bestanden die de laatste 24 uur zijn gewijzigd (want wie weet toch wel besmet zonder melding...?). Ook hier gelukkig geen rare zaken gezien. Ik had de NAS ook al een tijdje draaien op DSM 5.0-4493 Update 3 en gister een paar keer gereboot.

hars73 schreef op dinsdag 05 augustus 2014 @ 11:05:
[...]

Volgens mij is het toch zo dat je al besmet kunt zijn, maar als je een reboot van je Syno doet en je bent besmet, je altijd het Synolocker scherm krijgt?

Hoeft toch niet. Ik zou als hacker me pas kenbaar maken als x% encrypted is. Daarvoor bleef ik lekker in stealth mode.

nogmaals, ik kan me ook voorstellen dat de meeste systemen al een paar weken/dagen eerder besmet waren en pas afgelopen weekend met encryptie begonnen. Immers zodra het bekend wordt nemen de gebruikers actie om zich te beschermen wat nieuwe infecties moeilijker maakt.

Ik ben niet zo heel technisch, wat dit betreft, maar ik vraag me het volgende af:

• Ik maak wél gebruik van Sick Beard, Couch Potato en SABnzbd, dus de Synology hangt aan het internet. (Via de standaard poorten van deze packages)
• Ik maak géén gebruik van toegang van buitenaf, dwz alleen vanuit mijn thuisnetwerk is mijn Synology te benaderen. (Alle toegang is geblokkeerd en dit heeft nooit anders ingesteld gestaan.)
• Ik gebruik altijd het admin-account, met daarbij een sterk wachtwoord.

In hoeverre ben ik dan vatbaar voor dit probleem? En wat moet ik eventueel nog doen om dit te voorkomen?

Worden besmette synology systemen eigenlijk mee ingezet om nieuwe systemen te besmetten?

Ook wel kwalijk dat je gewoon een lijst van bestandsnamen te zien krijgt.

Bijvoorbeeld met deze user/bedrijf:

http://www.metsub.co.uk:5000/

BiLLie- schreef op dinsdag 05 augustus 2014 @ 11:10:
[...]


Hier idem, daarnaast heb ik ook maar eens gezocht op alle bestanden die de laatste 24 uur zijn gewijzigd (want wie weet toch wel besmet zonder melding...?). Ook hier gelukkig geen rare zaken gezien. Ik had de NAS ook al een tijdje draaien op DSM 5.0-4493 Update 3 en gister een paar keer gereboot.

Ik had ook geen poorten geforward in m'n router. Gisteren de update gedaan van 4.3 naar DSM 5. Daarbij wordt volgens mij een reboot uitgevoerd. Kreeg gewoon het nieuwe DSM 5 inlogscherm met de wizard. In die wizard de quickconnect stap overgeslagen. En daarna via DSM een shutdown gedaan. Lijkt me allemaal goed te zitten, maar ik laat hem voorlopig maar even uit.

DaaNium schreef op dinsdag 05 augustus 2014 @ 08:50:
Vanmorgen om 6.09u een mail van synology ontvangen.
Daarin vragen ze om een aangepaste .pat te downloaden van hun FTP site.
Verder verzoeken ze me om de besmette hdd's er in te zetten en telnet te forwarden naar de Nas.
Op die manier nemen zij de Nas over en proberen ze me te helpen.
Ik zal later een kopie van de mail quoten

Ik heb om 9.21 uur dezelfde mail ontvangen, op het emailadres dat ik op de supportpagina heb opgegeven. Onderaan de mail een kopie van het door mij ingevulde supportformulier. Of de 'hackers' hebben Synology zelf ook te pakken, of dit is gewoon betrouwbaar. Ik neig naar het laatste.

Ik heb overigens het idee dat dit na het bericht op Anandtech pas echt begint te leven. De (forum)pagina's op Synology.com zijn sinds vanochtend extreem traag.

Jorgen schreef op dinsdag 05 augustus 2014 @ 11:11:
Ik ben niet zo heel technisch, wat dit betreft, maar ik vraag me het volgende af:

• Ik maak wél gebruik van Sick Beard, Couch Potato en SABnzbd, dus de Synology hangt aan het internet. (Via de standaard poorten van deze packages)
• Ik maak géén gebruik van toegang van buitenaf, dwz alleen vanuit mijn thuisnetwerk is mijn Synology te benaderen. (Alle toegang is geblokkeerd en dit heeft nooit anders ingesteld gestaan.)
• Ik gebruik altijd het admin-account, met daarbij een sterk wachtwoord.

In hoeverre ben ik dan vatbaar voor dit probleem? En wat moet ik eventueel nog doen om dit te voorkomen?

Je stelt de vragen waarvan we allemaal de antwoorden zouden willen weten. Niemand die het echt weet.

xippie schreef op dinsdag 05 augustus 2014 @ 11:04:
Synology forum NL

[...]


Hmmmzzzzz, ik had gehoopt dat de laatste update 3 wel veilig was.

De interessante vraag is dan wanneer hij update 3 geïnstalleerd heeft en in wanneer het besmetten begonnen is. Die besmetting kan best al stilletjes eerder zijn geweest. Of de besmetting bestond enkel uit een stukje malware dat pas in een later stadium de synolocker code heeft binnengehaald en uitgevoerd.

Hmm even iets doms tussendoor. Ik heb nu ingesteld staan dat ik alleen IP adressen uit nederland toe laat. Nu krijg ik de waarschuwing dat ik mijzelf wil buitensluiten. Wat moet ik dan invullen? Ik heb intern een DHCP adres. Kennis is uitermate laag in dit soort dingen

Overigens is de NAS niet meer bereikbaar vanaf het internet. Dat red ik dan nog wel

Intern je subnet toelaten en extern per ip-adres waarmee je connect.

Orion84 schreef op dinsdag 05 augustus 2014 @ 11:12:
[...]
De interessante vraag is dan wanneer hij update 3 geïnstalleerd heeft en in wanneer het besmetten begonnen is. Die besmetting kan best al stilletjes eerder zijn geweest. Of de besmetting bestond enkel uit een stukje malware dat pas in een later stadium de synolocker code heeft binnengehaald en uitgevoerd.

Tja, of nog vervelender, de hack is ergens via een pc/laptop het netwerk binnengekomen en had daarna geen last meer van wat voor beveiligings instellingen dan ook en is zo op de Syno terecht gekomen. Misschien een beetje vergezocht, maar volgens mij zou zelfs dit mogelijk kunnen zijn.

Jorgen schreef op dinsdag 05 augustus 2014 @ 11:11:
[..]

• [..]
• Ik gebruik altijd het admin-account, met daarbij een sterk wachtwoord.

[..]

Die zou ik sowieso uit zetten.
https://www.synology.com/en-global/support/tutorials/478#t2

beantherio schreef op dinsdag 05 augustus 2014 @ 11:12:
[...]

Je stelt de vragen waarvan we allemaal de antwoorden zouden willen weten. Niemand die het echt weet.

Dan wacht ik nog even rustig af.

Ik zag wel deze Synology tutorial voorbijkomen in dit topic. Het is me echter nogal onduidelijk wat er nu precies gebeurt en waarom, maar dat geldt voor zo'n beetje iedereen in dit topic.

@renio, ja dat kan. Heb ik zelf ook gedaan. Port forwards uitgezet, 1 van de 2 RAID1-schijven eruit gehaald, NAS weer aan.

Hij mekkert dan over een degraded volumne net als bij een gecrashte schijf, dus je moet even handmatig de beep uitzetten als je die hebt, maar als je je tweede schijf er later weer in stopt biedt de NAS zelf aan om de boel te herstellen. Deed ie bij mij tenminste toen er een schijf stuk was (en daarna vervangen)

Wel zeker weten dat ie niet besmet is voor je de tweede schijf er weer in stopt natuurlijk...

Moby schreef op dinsdag 05 augustus 2014 @ 11:15:
Hmm even iets doms tussendoor. Ik heb nu ingesteld staan dat ik alleen IP adressen uit nederland toe laat. Nu krijg ik de waarschuwing dat ik mijzelf wil buitensluiten. Wat moet ik dan invullen? Ik heb intern een DHCP adres. Kennis is uitermate laag in dit soort dingen

Overigens is de NAS niet meer bereikbaar vanaf het internet. Dat red ik dan nog wel

ThinkPadd in "Synology NAS besmet met ransomware synolocker"

utbone schreef op dinsdag 05 augustus 2014 @ 11:12:
Ook wel kwalijk dat je gewoon een lijst van bestandsnamen te zien krijgt.

Bijvoorbeeld met deze user/bedrijf:

http://www.metsub.co.uk:5000/

Lijken dus verschillende BTC adressen te zijn

http://blog.check-and-sec...14/08/BuLLGZkCUAAeypG.png

@bjoost en als je dan je goede schijf er weer indrukt dan synct hij deze met de besmette schijf en ben je alles in het slechste geval kwijt????

hars73 schreef op dinsdag 05 augustus 2014 @ 11:16:
[...]

Tja, of nog vervelender, de hack is ergens via een pc/laptop het netwerk binnengekomen en had daarna geen last meer van wat voor beveiligings instellingen dan ook en is zo op de Syno terecht gekomen. Misschien een beetje vergezocht, maar volgens mij zou zelfs dit mogelijk kunnen zijn.

Dat is inderdaad ook nog een mogelijk scenario ja (incl. keylogger voor je admin wachtwoord).

Ik snap het niet. Weer die waarschuwing? Ik ben nu wel veilig maar ik wil gewoon als alles weer opgelost is alle IP adressen niet uit Nederland kunnen weren. Ik zie iets over het hoofd volgens mij

Nog een vraagje: Ik heb op mijn router alle poorten uit de forwarding verwijderd. Kan ik op 1 of andere manier toch nog iets testen om te controleren of er geen verbinding mogelijk is vanaf buiten naar mijn nas? Dan kan ik hem namelijk vanavond met ene gerust hart weer aanzetten en films kijken

hars73 schreef op dinsdag 05 augustus 2014 @ 10:50:
Is er eigenlijk al ergens iemand die betaald heeft en een key heeft gekregen en ook daadwerkelijk z'n bestanden weer beschikbaar heeft? Want dat is allemaal natuurlijk ook nog maar de vraag.

Een klant van mijn broer is eens besmet geweest met zo'n ransomware. Die hebben betaald en kregen een tooltje om te decrypten en dat werkte.

op http://www.canyouseeme.org/
kan je poorten controleren op je ip adres

Paulus07 schreef op dinsdag 05 augustus 2014 @ 11:31:
Nog een vraagje: Ik heb op mijn router alle poorten uit de forwarding verwijderd. Kan ik op 1 of andere manier toch nog iets testen om te controleren of er geen verbinding mogelijk is vanaf buiten naar mijn nas? Dan kan ik hem namelijk vanavond met ene gerust hart weer aanzetten en films kijken

Je kunt altijd nog de gateway uit je NAS IP configuratie halen, dan kun je hem alleen LAN gebruiken.

Paulus07 schreef op dinsdag 05 augustus 2014 @ 11:31:
Nog een vraagje: Ik heb op mijn router alle poorten uit de forwarding verwijderd. Kan ik op 1 of andere manier toch nog iets testen om te controleren of er geen verbinding mogelijk is vanaf buiten naar mijn nas? Dan kan ik hem namelijk vanavond met ene gerust hart weer aanzetten en films kijken

Is het niet handiger om even je modem los te koppelen van je interne netwerk, dan weet je zeker dat niemand er van buiten bij komt.
Als je in je router alle portforwarding en upnp opties uitzet zou je er niet meer bij moeten komen. Je kan dan in je nas nog alleen toegang vanaf lokale lan adressen toestaan en hem daarna weer aan het internet hangen.

Moby schreef op dinsdag 05 augustus 2014 @ 11:31:
[afbeelding]

Ik snap het niet. Weer die waarschuwing? Ik ben nu wel veilig maar ik wil gewoon als alles weer opgelost is alle IP adressen niet uit Nederland kunnen weren. Ik zie iets over het hoofd volgens mij

"het" ?

Wees eens specifiek, want met alleen dit screenshot kan ik niet raden wat "het" is

Euhm, ik lees dit nu pas, zit in het buitenland. Maar ik kan mijn DS niet benaderen via MyDS..

Kan geen verbinding maken met uw DiskStation

Ben ik de Sjaak?

shoombak schreef op dinsdag 05 augustus 2014 @ 11:35:
Euhm, ik lees dit nu pas, zit in het buitenland. Maar ik kan mijn DS niet benaderen via MyDS..
[...]
Ben ik de Sjaak?

Ik zal even in m'n glazen bol kijken?

Moby schreef op dinsdag 05 augustus 2014 @ 11:31:
[afbeelding]

Ik snap het niet. Weer die waarschuwing? Ik ben nu wel veilig maar ik wil gewoon als alles weer opgelost is alle IP adressen niet uit Nederland kunnen weren. Ik zie iets over het hoofd volgens mij

Zorg ervoor dat je eigen interne range bovenaan in de lijst staat, dan zou hij de firewallconfiguratie wel moeten accepteren.

Ik wil alle IP's uit het buitenland weren. Dus stel ik in dat alleen IP's uit nederland mogen verbinden. Dan krijg ik een waarschuwing dat ik mijzelf ga buiten sluiten. Ik volg ThinkPadd in "Synology NAS besmet met ransomware synolocker" en dan alleen de eerste aangezien de andere 3 op mij niet van toepassing zijn. Daarna krijg ik nog steeds de foutmelding/waarschuwing.

Eranum schreef op dinsdag 05 augustus 2014 @ 11:36:
[...]


Zorg ervoor dat je eigen interne range bovenaan in de lijst staat, dan zou hij de firewallconfiguratie wel moeten accepteren.

De 192 reeks staat nu bovenaan, werkt ook niet

[ Voor 27% gewijzigd door Moby op 05-08-2014 11:40 ]

@Rieverst, daarom schreef ik al, wel zeker weten dat ie niet besmet is voor je je andere schijf er weer in stopt. Geldt zowel voor je NAS als je andere ("master") schijf.

We kunnen het er denk ik over eens zijn dat het helemaal uitzetten en loskoppelen van je (nog gezonde) NAS veiliger is. Maar als je 'm per se aan wilt houden heb je hiermee in elk geval iets meer kans een goeie kopie te behouden. Moet je wel bij het recoveren heel voorzichtig omgaan met je schijf, en niet goeie data met slechte overschrijven...

Verwijderd schreef op dinsdag 05 augustus 2014 @ 11:32:
[...]


Een klant van mijn broer is eens besmet geweest met zo'n ransomware. Die hebben betaald en kregen een tooltje om te decrypten en dat werkte.

Heb je meer informatie? Elke informatie is welkom. Zo weten we meer over die ransomware.
Welke versie DSM draait/draaide de klant. Poort forward naar NAS? Zo ja welke?

[ Voor 10% gewijzigd door plizz op 05-08-2014 11:41 ]

Verwijderd schreef op dinsdag 05 augustus 2014 @ 11:32:
[...]


Een klant van mijn broer is eens besmet geweest met zo'n ransomware. Die hebben betaald en kregen een tooltje om te decrypten en dat werkte.

Zou toch leuk zijn als je dat tooltje kon hergebruiken, of maken ze een unieke tool per slachtoffer?

Jesserr schreef op dinsdag 05 augustus 2014 @ 11:40:
[...]

Zou toch leuk zijn als je dat tooltje kon hergebruiken, of maken ze een unieke tool per slachtoffer?

Als de hacker slim is, dan pakt ie natuurlijk één key van één eindgebruiker.

Moby schreef op dinsdag 05 augustus 2014 @ 11:37:
Ik wil alle IP's uit het buitenland weren. Dus stel ik in dat alleen IP's uit nederland mogen verbinden. Dan krijg ik een waarschuwing dat ik mijzelf ga buiten sluiten. Ik volg ThinkPadd in "Synology NAS besmet met ransomware synolocker" en dan alleen de eerste aangezien de andere 3 op mij niet van toepassing zijn. Daarna krijg ik nog steeds de foutmelding/waarschuwing.


[...]


De 192 reeks staat nu bovenaan, werkt ook niet

Dan heb je misschien een andere reeks in je interne netwerk? Of doe je het vanaf je werk en wordt dat herkend als een IP vanuit het buitenland?

Volgens mij bedoeld ie dat er een keer iemand besmet is geraakt met ransomware en heeft hij niet over de huidige ransomware.

Moby schreef op dinsdag 05 augustus 2014 @ 11:37:
Ik wil alle IP's uit het buitenland weren. Dus stel ik in dat alleen IP's uit nederland mogen verbinden. Dan krijg ik een waarschuwing dat ik mijzelf ga buiten sluiten. Ik volg ThinkPadd in "Synology NAS besmet met ransomware synolocker" en dan alleen de eerste aangezien de andere 3 op mij niet van toepassing zijn. Daarna krijg ik nog steeds de foutmelding/waarschuwing.


[...]


De 192 reeks staat nu bovenaan, werkt ook niet

Hoi Moby, onderaan de Firewall pagina staat nog de optie: Indien niet voldaan wordt aan de regels: toegang toestaan of toegang weigeren.

Ik was hierdoor ook verkeerd bezig. Je moet deze nog even op toegang weigeren zetten indien je firewall rule actie Toestaan bevat.

Tylocke schreef op dinsdag 05 augustus 2014 @ 11:43:
[...]


Hoi Moby, onderaan de Firewall pagina staat nog de optie: Indien niet voldaan wordt aan de regels: toegang toestaan of toegang weigeren.

Ik was hierdoor ook verkeerd bezig. Je moet deze nog even op toegang weigeren zetten indien je firewall rule actie Toestaan bevat.

Want dan sluit je jezelf opeens niet meer buiten

Eerst goed lezen voordat je advies geeft

Moby schreef op dinsdag 05 augustus 2014 @ 11:37:
Ik wil alle IP's uit het buitenland weren. Dus stel ik in dat alleen IP's uit nederland mogen verbinden. Dan krijg ik een waarschuwing dat ik mijzelf ga buiten sluiten. Ik volg ThinkPadd in "Synology NAS besmet met ransomware synolocker" en dan alleen de eerste aangezien de andere 3 op mij niet van toepassing zijn. Daarna krijg ik nog steeds de foutmelding/waarschuwing.


[...]


De 192 reeks staat nu bovenaan, werkt ook niet

Ik heb het ingesteld als volg Verwijderd in "Synology NAS besmet met ransomware synolocker"
Alleen mijn IP reeks + alles geblokkerd

Moby schreef op dinsdag 05 augustus 2014 @ 11:37:
De 192 reeks staat nu bovenaan, werkt ook niet

Misschien heb je een ziggo modem die niet in bridge staat, je router pakt dan vaak een ander adres, controleer het even in een cmd met command ip config (of kijk even in de instellingen van de router). Denk dat daar wat anders zit dan je denkt.

[ Voor 12% gewijzigd door Verwijderd op 05-08-2014 11:45 ]

http://www.metsub.co.uk:5000/crypted.log

Hier zie je dus een geval die dus gehackt is inclusief de bestanden die ingepakt zijn. Dus als je naar je NAS gaat met /crypted.log zou je kunnen controleren of er al geencrypt wordt.

https://www.google.nl/sea...:webman/index.cgi&start=1

Als je zo een beetje gaat zoeken, dan vind ik nog bar weinig servers die gewoon via het web aangesloten zijn en die gehackt zijn.

Dan maakt je toch een regel in je firewall ,met 192.168.0.0 tot 192.168.255.255 en 10.0.0.0 tot 10.255.255.255

Downloader_NL schreef op dinsdag 05 augustus 2014 @ 11:44:
Ik heb het ingesteld als volg Verwijderd in "Synology NAS besmet met ransomware synolocker"
Alleen mijn IP reeks + alles geblokkerd

Zo is het nog beter:

Hooglander1 schreef op dinsdag 05 augustus 2014 @ 11:43:
[...]

Dan heb je misschien een andere reeks in je interne netwerk? Of doe je het vanaf je werk en wordt dat herkend als een IP vanuit het buitenland?

Ik doe het vanuit thuis. Ik heb DHCP aan dus intern heb ik een 10.0.0.x adres

Moby schreef op dinsdag 05 augustus 2014 @ 11:48:
[...]


Ik doe het vanuit thuis. Ik heb DHCP aan dus intern heb ik een 10.0.0.x adres

aha, dan moet je dit ook invullen:
xippie in "Synology NAS besmet met ransomware synolocker"

De range 10.xx.xx.xx adressen zijn ook belangrijk als je wilt inloggen met VPN, anders kan je er nog steeds niet bij op afstand.

Hooglander1 schreef op dinsdag 05 augustus 2014 @ 11:44:
[...]

Want dan sluit je jezelf opeens niet meer buiten

Eerst goed lezen voordat je advies geeft

Uhm, ik zeg toch nu exact hetzelfde als Dikkiedikdik hierboven. Alleen met plaatje is het iig wel een stuk begrijpelijker

Kan ik eigenlijk ergens een log vinden van wat de firewall allemaal geblokkeerd heeft?

Als het klopt zal het in Log Center staan wat de firewall heeft geblokkeerd.

Kan een van de mods een sticky of waarschuwing maken in dit topic met de laatste updates? 23 pagina's doorlezen met exact hetzelfde is niet heel nuttig
Dan kunnen we makkelijker zien of er al wat meer concrete informatie is en een oplossing voor handen.

Het werkt. Bedankt. (en toegang weigeren indien niet voldaan aan regels is aangevinkt )

Nu maar eens IP adressen van vrienden gaan verzamelen (mits vast IP adres) zodat ik nog specifieker kan worden in de firewall. De vrienden hebben alleen toegang op poort 5000 (file station) maar voor nu moeten ze maar even wachten. Die is in zijn geheel dicht.

The Eagle schreef op dinsdag 05 augustus 2014 @ 10:50:
Afwachten is dus nog steeds het devies

Ondertussen staat mijn Syno uit. Ben een beetje huiverig om de boel aan te slingeren en te updaten. DSM 4.2 of 4.3 hier meen ik, DS213.
Hoe lang zou zo'n update moeten duren?

Download voor de DS213 de laatste DSM5.0: http://www.synology.com/en-global/support/download/DS213 (let op: update 1, 2 en 3 zitten hier niet in/bij. Die kun je alleen met je Synology online downloaden/updaten)

Hang dan je NAS met een LAN kabel aan je pc/laptop (die desnoods nog offline is). Update je DSM dan handmatig met de pat file en je bent op een veilige manier naar DSM5.0.

Ik heb vannacht de 12 Nassen die ik in beheer heb verspreid over Nederland ge-updated naar update 3. Telnet/SSH/FTP staan uit, auto ip block aan, alleen paar benodigde poorten open. QuickConnect staat nog overal aan. Alleen een aantal cruciale Synology's hebben twoway authorization en betaalde servercertificaten. Niemand is getroffen.

Ik ga maar eens op alle overige nassen de admin account uitschakelen, dat kan wel eens verschil maken.

[ Voor 22% gewijzigd door Malarky op 05-08-2014 12:04 ]

The Eagle schreef op dinsdag 05 augustus 2014 @ 10:50:
Afwachten is dus nog steeds het devies

Ondertussen staat mijn Syno uit. Ben een beetje huiverig om de boel aan te slingeren en te updaten. DSM 4.2 of 4.3 hier meen ik, DS213.
Hoe lang zou zo'n update moeten duren?

Je kunt ook de nieuwste DSM downloaden en dan lokaal uploaden naar je NAS.
Dus:
1. NAS uit, WAN aan.
2. Juiste firmware opzoeken en downloaden op je PC
3. WAN uit, NAS aan (die volgorde)
4. NAS updaten en firmware vanaf je PC naar de NAS uploaden.

Malarky schreef op dinsdag 05 augustus 2014 @ 11:58:
[...]


Download voor de DS213 de laatste DSM5.0: http://www.synology.com/en-global/support/download/DS213 (let op: update 1, 2 en 3 zitten hier niet in/bij. Die kun je alleen met je Synology online downloaden/updaten)

Hang dan je NAS met een LAN kabel aan je pc/laptop (die desnoods nog offline is). Update je DSM dan handmatig met de pat file en je bent op een veilige manier naar DSM5.0.

Je de de updates ook via ftp downloaden en installeren http://ukdl.synology.com/...iticalupdate/update_pack/

Hennie-M schreef op dinsdag 05 augustus 2014 @ 11:58:
Kan een van de mods een sticky of waarschuwing maken in dit topic met de laatste updates? 23 pagina's doorlezen met exact hetzelfde is niet heel nuttig
Dan kunnen we makkelijker zien of er al wat meer concrete informatie is en een oplossing voor handen.

Zeker een goed idee!

Nu heb ik op mijn Synology nog eens snel de belangrijkste bestanden gebackupped, maar ik merk dat mijn SYnology sinds gisteren enorm traag is. Als ik inlog (wat een lange tijd duurt), zie ik dat mijn RAm geheugen voor 80% in gebruik is, CPU maar 3%. Ik heb sinds gisteren alles meteen dichtgegooid, zo'n crypted log file kan ik niet terugvinden. Ik zie geen bestanden die geëncrypt zijn.

Stel dat ik toch het virus zou hebben, en dat hij op dit moment bezig is met encrypten, zou dan ook niet het CPU verbruik hoog moeten zijn? Het gaat om een DS1512+

Bij mij staat port 5000 dicht en mijn CPU belasting is 0%: is een verhoogde CPU belasting een indicatie dat er ge-encrypt wordt? Of: hoe kun je bezig zijnde encryptie ontdekken?

Ik lees veel over poorten op je router open of dicht hebben. Maar hoe zit het met uPnP? Wat als die aanstaat op de router? Vermoed dat je dan wel bij de NAS kunt/kon van buitenaf?

[ Voor 3% gewijzigd door hars73 op 05-08-2014 12:03 ]

Domme vraag wellicht, als ik de NAS schrijven er uit haal. Zijn deze te lezen met windows? Zo kan ik in ieder geval voor de zekerheid een backup maken zonder hier voor eerst de NAS aan te zetten en wellicht kan geven om te starten of erger, verder te gaan met encrypten?

Na lezen vanochtend NAS gelijk uit laten zetten maar thuis..

Nee, dat kan niet. Synology gebruikt een ander FS dan windows. Sowieso een nogo als je SHR draait

@Malarky, Videopac: thanks. Vanavond even doen dus, zit me niet lekker zo

Syno nog steeds uit, stond alleen portforwarding voor bittorrent poorten aan, maar in de router ook uPnP. Ik durf hem niet aan te zetten eigenlijk, maar ik zal wel moeten

[ Voor 16% gewijzigd door The Eagle op 05-08-2014 12:04 ]

ProudElm schreef op dinsdag 05 augustus 2014 @ 12:03:
Domme vraag wellicht, als ik de NAS schrijven er uit haal. Zijn deze te lezen met windows? Zo kan ik in ieder geval voor de zekerheid een backup maken zonder hier voor eerst de NAS aan te zetten en wellicht kan geven om te starten of erger, verder te gaan met encrypten?

Nee. Synology hanteert een eigen file-formaat.

Hennie-M schreef op dinsdag 05 augustus 2014 @ 11:58:
Kan een van de mods een sticky of waarschuwing maken in dit topic met de laatste updates? 23 pagina's doorlezen met exact hetzelfde is niet heel nuttig
Dan kunnen we makkelijker zien of er al wat meer concrete informatie is en een oplossing voor handen.

Dat is eigenlijk wel een goede.
Voor zo ver ik weet:

- Ook met DSM 4493 update 3 ben je kwetsbaar
- Maar net zo goed met oude DSM; ook 4.3 en lager
- lijkt vooral kwetsbaar via poort 5000
- ook kwetsbaar als admin account uitgeschakeld is en/of sterk wachtwoord op admin account

DaaNium schreef op dinsdag 05 augustus 2014 @ 12:05:
[...]

Dat is eigenlijk wel een goede.
Voor zo ver ik weet:

- Ook met DSM 4493 update 3 ben je kwetsbaar
- Maar net zo goed met oude DSM; ook 4.3 en lager
- lijkt vooral kwetsbaar via poort 5000
- ook kwetsbaar als admin account uitgeschakeld is en/of sterk wachtwoord op admin account

Oftewel, we weten nog niks en we moeten er van uit gaan dat álles kwetsbaar is. Uitzetten dus.

Videopac schreef op dinsdag 05 augustus 2014 @ 12:02:
Bij mij staat port 5000 dicht en mijn CPU belasting is 0%: is een verhoogde CPU belasting een indicatie dat er ge-encrypt wordt? Of: hoe kun je bezig zijnde encryptie ontdekken?

Normaliter heeft Encryptie veel CPU power nodig. Je zou het verwachten, alleen is het nog niet bepaald duidelijk of het hier om daadwerkelijke encryptie gaat.

beantherio schreef op dinsdag 05 augustus 2014 @ 12:05:
[...]

Nee. Synology hanteert een eigen file-formaat.

Niet echt eigen, want met een ubuntu live cd kun je het gewoon uitlezen.
Staat ook bij Synology op de site

ProudElm schreef op dinsdag 05 augustus 2014 @ 12:03:
Domme vraag wellicht, als ik de NAS schrijven er uit haal. Zijn deze te lezen met windows? Zo kan ik in ieder geval voor de zekerheid een backup maken zonder hier voor eerst de NAS aan te zetten en wellicht kan geven om te starten of erger, verder te gaan met encrypten?

Na lezen vanochtend NAS gelijk uit laten zetten maar thuis..

Dezelfde vraag is al gesteld in het frontpage artikel nieuws: Ransomware richt zich op Synology-opslagsystemen. Er is ook een duidelijk antwoord op gekomen wat je in de goede richting gaat helpen.

Je bestaande back-up, b.v. van een aantal dagen/weken geleden, lijkt me de meest veilig oplossing.

ProudElm schreef op dinsdag 05 augustus 2014 @ 12:03:
Domme vraag wellicht, als ik de NAS schrijven er uit haal. Zijn deze te lezen met windows? Zo kan ik in ieder geval voor de zekerheid een backup maken zonder hier voor eerst de NAS aan te zetten en wellicht kan geven om te starten of erger, verder te gaan met encrypten?

Na lezen vanochtend NAS gelijk uit laten zetten maar thuis..

Om diverse redenen heb ik de afgelopen jaren al wat ext3 en later ext4 Synology schijven (vroeger was ext3 standaard, nu ext4) uitgelezen onder Windows, met deze tool: http://sourceforge.net/projects/ext2read/

Ubuntu installaties en images werken vast ook, maar een beetje overbodige luxe als een portable tool van een paar kb het onder Windows ook doet.

Zolang je je schijf niet zelf enqrypt is dat geen enkel probleem. Van dat zelf enqrypten ben ik niet zo een voorstander meer nu je geen kant op kan als er een bug in dat systeem zit (wat mij vorig jaar gebeurde op een DSM4.3 NAS. Synology team is toen meerdere dagen op een door mij beheerde NAS bezig geweest dit te achterhalen en op te lossen). Bovendien werkt timeback-up niet en je kunt buiten Synology nooit meer bij je bestanden.

Wel diefstalgevoelig, want zonder enqrypt is er geen enkele manier om je bestanden te beveiligen tegen offline diefstal. Iedereen die je NASje meeneemt heeft alle data.

[ Voor 7% gewijzigd door Malarky op 05-08-2014 12:15 ]

beantherio schreef op dinsdag 05 augustus 2014 @ 12:05:
[...]

Nee. Synology hanteert een eigen file-formaat.

Dit is wel mogelijk: http://www.synology.com/nl-nl/support/faq/579

@all bedankt.. Ga ik dat eerst doen vanavond.. Met beide hdd's er uit kan ik de NAS zelf ook veilig aanzetten en uitvogelen of er iets op staat wat niet hoort

ik wil de een Synology aanschaffen maar na dit allemaal gelezen te hebben besluit ik toch om een QNAP NAS aan te schaffen, mede doordat QNAP veel veiliger is dan Synology en meer functionaliteit bied.

Koop ik liever een QNAP X51 serie die super snelle transcoding bied waar Synology niet aan kan tippen.

Modbreak:

Deze reactie voegt niets toe aan deze discussie, dus reageer dan niet.

[ Voor 13% gewijzigd door Verwijderd op 05-08-2014 12:14 ]

Verwijderd schreef op dinsdag 05 augustus 2014 @ 12:10:
ik wil de een Synology aanschaffen maar na dit allemaal gelezen te hebben besluit ik toch om een QNAP NAS aan te schaffen, mede doordat QNAP veel veiliger is dan Synology en meer functionaliteit bied.

Koop ik liever een QNAP X51 serie die super snelle transcoding bied waar Synology niet aan kan tippen.

Ok.

achja, voor 'tzelfde had qnap dit aan de hand

Verwijderd schreef op dinsdag 05 augustus 2014 @ 12:10:
ik wil de een Synology aanschaffen maar na dit allemaal gelezen te hebben besluit ik toch om een QNAP NAS aan te schaffen, mede doordat QNAP veel veiliger is dan Synology en meer functionaliteit bied.

Koop ik liever een QNAP X51 serie die super snelle transcoding bied waar Synology niet aan kan tippen.

Doe dat, succes met je schijnveiligheid.

Verwijderd schreef op dinsdag 05 augustus 2014 @ 12:10:
ik wil de een Synology aanschaffen maar na dit allemaal gelezen te hebben besluit ik toch om een QNAP NAS aan te schaffen, mede doordat QNAP veel veiliger is dan Synology en meer functionaliteit bied.

Koop ik liever een QNAP X51 serie die super snelle transcoding bied waar Synology niet aan kan tippen.

En waarom meld je deze vrij nutteloze informatie in een topic over Synolocker?