Synology NAS besmet met ransomware synolocker

A process called “synosync” is running in Resource Monitor.

is dat nu de boosdoener? Ik dacht dat dit een legitieme app was van Synology zelf nl.

Yucko schreef op dinsdag 05 augustus 2014 @ 15:19:
[...]


is dat nu de boosdoener? Ik dacht dat dit een legitieme app was van Synology zelf nl.

Synolocker is volgens mij ook een Synology app voor encryptie. De malware misbruikt deze echter om encryptie toe te passen zonder dat jij de key weet.
Synology heeft ook encryptie sofware, welk proces deze gebruikt weet ik niet. De synosync is dacht ik malware.

[ Voor 14% gewijzigd door Viper® op 05-08-2014 15:22 ]

beantherio schreef op dinsdag 05 augustus 2014 @ 15:17:
[...]

Die suggestie is gedaan maar ik heb nog nergens kunnen vaststellen dat het dat ook echt is. De laatste reactie van Synology wekt trouwens de indruk dat het helemaal niet nep hoeft te zijn: blijkbaar zijn er wel gevallen van 5.0-infiltraties vastgesteld waarbij de 5.0-update was geïnstalleerd na besmetting.

Wel is het zo dat er in de 5.0 screenshot een timer staat, met de melding dat het bedrag verdubbeld als er niet op tijd wordt betaald. Deze timer en melding vindt ik nergens terug op de besmette boxen die ik ben tegen gekomen.. wel vreemd dus.

Stuit net op dit topic, dus even een vraag zonder doorspitten...

Als Synolocker niet draait, heb je geen probleem?

edit: Ik kon 'm gewoon benaderen en heb 'm maar uitgedaan.

[ Voor 20% gewijzigd door albino71 op 05-08-2014 15:22 ]

albino71 schreef op dinsdag 05 augustus 2014 @ 15:21:
Stuit net op dit topic, dus even een vraag zonder doorspitten...

Als Synolocker niet draait, heb je geen probleem?

Nee
Als je NAS aan internet hangt ben je vulnerable.
Even kort door de bocht. Afhankelijk van de DSM versie, poorten etc.

[ Voor 11% gewijzigd door Viper® op 05-08-2014 15:23 ]

Siluro schreef op dinsdag 05 augustus 2014 @ 15:21:
[...]


Wel is het zo dat er in de 5.0 screenshot een timer staat, met de melding dat het bedrag verdubbeld als er niet op tijd wordt betaald. Deze timer en melding vindt ik nergens terug op de besmette boxen die ik ben tegen gekomen.. wel vreemd dus.

lees mijn post nog even door. Ibidem in "Synology NAS besmet met ransomware synolocker"

albino71 schreef op dinsdag 05 augustus 2014 @ 15:21:
Stuit net op dit topic, dus even een vraag zonder doorspitten...

Als Synolocker niet draait, heb je geen probleem?

Of het is al voltooid

wezzley schreef op dinsdag 05 augustus 2014 @ 15:18:
op basis van Synology's regeltje "Based on our current observations this issue only affects Synology NAS servers running some older versions of DSM" laat ik mijn syno lekker uit staan. zo'n opmerking geeft mij het idee dat ze nog midden in hun onlderzoek zitten.

Ik laat hem ook nog eventjes uit staan, maar ik begin er wel meer vertrouwen in te krijgen dat het risico beperkt is.

Siluro schreef op dinsdag 05 augustus 2014 @ 15:21:
[...]


Wel is het zo dat er in de 5.0 screenshot een timer staat, met de melding dat het bedrag verdubbeld als er niet op tijd wordt betaald. Deze timer en melding vindt ik nergens terug op de besmette boxen die ik ben tegen gekomen.. wel vreemd dus.

Als je na de pagina gaat op het tor netwerk, dan zie je daar wel een timer staan met daaronder dat het verdubbeld. Op die pagina kan je dan inloggen met je "identificatiecode" en dan zie je het vervolgens staan.

[ Voor 9% gewijzigd door Maxustiti op 05-08-2014 15:24 ]

albino71 schreef op dinsdag 05 augustus 2014 @ 15:21:
Stuit net op dit topic, dus even een vraag zonder doorspitten...

Als Synolocker niet draait, heb je geen probleem?

Kan je nog een probleem krijgen als je je security niet op orde hebt, en niet de laatste updates geïnstalleerd hebt.

xippie schreef op dinsdag 05 augustus 2014 @ 15:23:
[...]

Kan je nog een probleem krijgen als je je security niet op orde hebt, [..]

Doe eens een gok.. Als je jouw security niet op order hebt...

Heb zelf een DS214play.. Elke keer meteen geupdate en nu dus de nieuwste update erop. Naar de buiten wereld alleen poort 5080 en 5443 open staan en alles gaat via HAproxy over een SSL verbinding naar binnen/buiten. Mijn router mapt poort 80 naar 5080 en 443 naar 5443.

Ibidem schreef op dinsdag 05 augustus 2014 @ 15:22:
[...]

lees mijn post nog even door. Ibidem in "Synology NAS besmet met ransomware synolocker"

Had ik gezien inderdaad.. bedoelde niet dat er geen 5.0 gevallen zijn, maar dat de screenshot waarschijnlijk knutselwerk is.

Ok, ik update eigenlijk altijd z.s.m., heb synolocker niet draaien, blocken staat aan (weet nu even niet precies hoe).

Pfff, wel een issue dit zeg!

wezzley schreef op dinsdag 05 augustus 2014 @ 15:18:
op basis van Synology's regeltje "Based on our current observations this issue only affects Synology NAS servers running some older versions of DSM" laat ik mijn syno lekker uit staan. zo'n opmerking geeft mij het idee dat ze nog midden in hun onlderzoek zitten.

Dus als Synology eerst alles goed onderzoekt en een gedegen conclusie & actieplan naar buiten brengt - dan zijn ze nalatig en traag.

En als Synology zo snel mogelijk al wat nieuws naar buiten brengt is het voorbarig en twijfelachtig?

Met dergelijke issues kun je het nooit goed doen. Enige wat je als fabrikant kunt doen is op je knietjes excuses aanbieden en er voro zorgen dat de ellende hersteld wordt.
Vergelijk Toyota met zijn terugroepacties. Gewoon toegeven dat je een fout hebt gemaakt en de mensen compenseren.
Alleen vraag ik me af of Synology zo kapitaalkrachtig is dat ze zoiets financieel kunnen trekken.

The Eagle schreef op dinsdag 05 augustus 2014 @ 15:34:
Met dergelijke issues kun je het nooit goed doen. Enige wat je als fabrikant kunt doen is op je knietjes excuses aanbieden en er voro zorgen dat de ellende hersteld wordt.
Vergelijk Toyota met zijn terugroepacties. Gewoon toegeven dat je een fout hebt gemaakt en de mensen compenseren.
Alleen vraag ik me af of Synology zo kapitaalkrachtig is dat ze zoiets financieel kunnen trekken.

mee eens. Plus: communiceren over wat je aan het doen bent. statusupdates etc. iedere gebruiker die denkt "'t is wel erg stil" is killing voor consumentenvertrouwen.

The Eagle schreef op dinsdag 05 augustus 2014 @ 15:34:
Met dergelijke issues kun je het nooit goed doen. Enige wat je als fabrikant kunt doen is op je knietjes excuses aanbieden en er voro zorgen dat de ellende hersteld wordt.
Vergelijk Toyota met zijn terugroepacties. Gewoon toegeven dat je een fout hebt gemaakt en de mensen compenseren.
Alleen vraag ik me af of Synology zo kapitaalkrachtig is dat ze zoiets financieel kunnen trekken.

Los daarvan. Stel dat het enkel bij systemen plaats vindt die niet geupdate zijn, in hoe verre moet Synology mensen gaan compenseren voor hun laksheid?

Fijn.. Mag ik gaan bewijzen dus dat mijn NAS zei, up-to-date terwijl dit duidelijk niet was...

Robkazoe schreef op dinsdag 05 augustus 2014 @ 15:36:
[...]

Los daarvan. Stel dat het enkel bij systemen plaats vindt die niet geupdate zijn, in hoe verre moet Synology mensen gaan compenseren voor hun laksheid?

Niet.

Ze doen er tegenwoordig alles aan om de mensen te laten updaten:

- Mailen
- Config pagina openen wanneer er een update beschikbaar is.
- Push message

Als gebruiker hoef je alleen maar even op Installeren te drukken de syno doet de rest.


Dus...

The Eagle schreef op dinsdag 05 augustus 2014 @ 15:34:
Alleen vraag ik me af of Synology zo kapitaalkrachtig is dat ze zoiets financieel kunnen trekken.

Het lijkt mij dat dit soort zaken toch wel zijn afgedekt ergens in de kleine lettertjes. Microsoft kan je toch ook niet aanklagen wegens een lek in de software?

The Eagle schreef op dinsdag 05 augustus 2014 @ 15:34:
Met dergelijke issues kun je het nooit goed doen. Enige wat je als fabrikant kunt doen is op je knietjes excuses aanbieden en er voro zorgen dat de ellende hersteld wordt.
Vergelijk Toyota met zijn terugroepacties. Gewoon toegeven dat je een fout hebt gemaakt en de mensen compenseren.
Alleen vraag ik me af of Synology zo kapitaalkrachtig is dat ze zoiets financieel kunnen trekken.

Hm, heb dat Microsoft en Oracle (Java) nog nooit zien doen.
En ik heb nog steeds meer vertrouwen in Synology dan in die twee als het op snel reageren op dit soort zaken aankomt.

synology hoeft m.i. niemand te compenseren; mensen zijn zelf verantwoordelijk voor hun backups. of je backups staan op je syno, of je backupped je syno. ze doen er echter wel slim aan al het redelijkerwijs mogelijke te doen om mensen te helpen.

zal ongetwijfeld wel ergens in een eula/gebruikersvoorwaarden staan.

Belangrijker nog dan de versies die geinfecteerd zijn is op welke manier het gebeurd. Als het het admin ding op poort 5000 is dan is het simpel op te lossen voor de meeste mensen. Er is in 2014 geen enkele noodzaak om die open te zetten naar internet, VPN werkt prima vanaf elk device.

Verwijderd schreef op dinsdag 05 augustus 2014 @ 15:42:
Belangrijker nog dan de versies die geinfecteerd zijn is op welke manier het gebeurd. Als het het admin ding op poort 5000 is dan is het simpel op te lossen voor de meeste mensen. Er is in 2014 geen enkele noodzaak om die open te zetten naar internet, VPN werkt prima vanaf elk device.

Helaas gebruiken Video, Audio, File station deze poort ook, dus helaas moet je wel als je buitenshuis aan het streamen gaat vanaf je NAS.

xippie schreef op dinsdag 05 augustus 2014 @ 15:43:
[...]

Helaas gebruiken Video, Audio, File station deze poort ook, dus helaas moet je wel als je buitenshuis aan het streamen gaat vanaf je NAS.

Hoezo, dan stel je in die apps toch gewoon je lokale IP-adres in? Dat werkt prima.

xippie schreef op dinsdag 05 augustus 2014 @ 15:43:
[...]

Helaas gebruiken Video, Audio, File station deze poort ook, dus helaas moet je wel als je buitenshuis aan het streamen gaat vanaf je NAS.

Damn, daar roep je zoiets...wie zegt dat het spul niet via andere toestellen is binnengekomen, bijvooprbeeld een bug in de firmware van een smart TV? Die doen DLNA...

---

Ik snap wel wat Synology momenteel doet hoor. Mensen proberen te helpen, maar alles zoveel mogelijk binnenshuis houden om de "vijand" niet meeer info te geven dan ie heeft. Lastig (want we zouden graag meer weten en mee denken, power of GoT enzo ) maar wel begrijpelijk. Iedereen wil graag zsm een oplossing natuurlijk. Maar dit is een beetje als je halve bedrijf de helpdesk laten bellen met "hij doet het niet", terwijl het halve serverpark is afgefikt. Dan heb je ook ff iets anders aan je hoofd en dus zeg je "wacht geduldig af"

Het lijkt me ook dat Synology met een oplossing voor dit: inurl:webman/index.cgi moet komen..Ietwat makkelijk adressen te vinden op deze manier...

Aardig artikel op The Register over deze materie:
http://www.theregister.co...wake_of_synology_attacks/

Offtopic (?):
Ik wacht al met smart op het 'Internet of Things', waarbij zelfs je koelkast/thermostaat/aquariumpomp geinfecteerd kan worden.

xippie schreef op dinsdag 05 augustus 2014 @ 15:43:
[...]

Helaas gebruiken Video, Audio, File station deze poort ook, dus helaas moet je wel als je buitenshuis aan het streamen gaat vanaf je NAS.

Maakt niks uit. Gewoon VPN opbouwen vanaf buitenhuis en vervolgens je interne IP nummer gebruiken.

Wokschotel schreef op dinsdag 05 augustus 2014 @ 15:44:
[...]

Hoezo, dan stel je in die apps toch gewoon je lokale IP-adres in? Dat werkt prima.

Niet als ik b.v. bij mijn vriendin de Google Chromecast gebruik, dan moet ik daar op hetzelfde wifi netwerk zitten en dan werkt VPN helaas niet, en gekloot met https verbindinden en chromecast ook nog eens

xippie schreef op dinsdag 05 augustus 2014 @ 15:48:
[...]

Niet als ik b.v. bij mijn vriendin de Google Chromecast gebruik, dan moet ik daar op hetzelfde wifi netwerk zitten en dan werkt VPN helaas niet, en gekloot met https verbindinden en chromecast ook nog eens

Tsja, dan is de keuze tussen 'veilig' en 'makkelijk'.
En die mag iedereen voor zichzelf maken.

Persoonlijk gebruik ik ook een VPN, en heb 3 DS'en draaien die allemaal schoon zijn.

nog maar wat afwachten dan.
niemand die inhaakt op het overzicht?
(Gebruikersnaam / DSM Versie + update / Evt NAS Model?)

markvl schreef op dinsdag 05 augustus 2014 @ 15:47:
Aardig artikel op The Register over deze materie:
http://www.theregister.co...wake_of_synology_attacks/

Offtopic (?):
Ik wacht al met smart op het 'Internet of Things', waarbij zelfs je koelkast/thermostaat/aquariumpomp geinfecteerd kan worden.

Daarom zie ik zaken als 'zet uw verwarming alvast een uur eerder aan via de app' niet erg zitten. Nog maar een paar apparaten extra op het netwerk (keuken?) en je kan een huis af laten branden door het te hacken. Yuk. Of moet ik nu een alu hoedje opzoeken?

eigenlijk zouden ze bij Synology bijvoorbeeld SELinux moeten gaan gebruiken. geen gekke processen die bepaalde bestanden mogen aanpassen.

xippie schreef op dinsdag 05 augustus 2014 @ 15:48:
[...]

Niet als ik b.v. bij mijn vriendin de Google Chromecast gebruik, dan moet ik daar op hetzelfde wifi netwerk zitten en dan werkt VPN helaas niet, en gekloot met https verbindinden en chromecast ook nog eens

Je zou alles via de firewall kunnen blokkeren en een uitzondering voor het ip-adres van je vriendin maken.

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 15:52:
eigenlijk zouden ze bij Synology bijvoorbeeld SELinux moeten gaan gebruiken. geen gekke processen die bepaalde bestanden mogen aanpassen.

Als het echt met de Heartbleed-bug te maken heeft dan maakt dat ook niet zoveel uit. Ze hebben dan wellicht gewoon je (admin?) inloggegevens.

Magic schreef op dinsdag 05 augustus 2014 @ 15:52:
[...]

Je zou alles via de firewall kunnen blokkeren en een uitzondering voor het ip-adres van je vriendin maken.

En mijn zus in België, die heeft dagelijks een ander IP adres Leuk hoor Telenet

Razr schreef op dinsdag 05 augustus 2014 @ 15:53:
[...]


Als het echt met de Heartbleed-bug te maken heeft dan maakt dat ook niet zoveel uit. Ze hebben dan wellicht gewoon je (admin?) inloggegevens.

heartbleed was een ssl bug dus lijkt me dat dit geen effect heeft op een niet ssl inlog pagina
dan zou het alleen toepasbaar zijn op ssh?
Ach zolang het niet boven water is hoe het komt is alles speculatie

[ Voor 13% gewijzigd door Qualixo op 05-08-2014 15:59 ]

Qualixo schreef op dinsdag 05 augustus 2014 @ 15:54:
[...]

heartbleed was een ssl bug dus lijkt me dat dit geen effect heeft op een niet ssl inlog pagina
dan zou het alleen toepasbaar zijn op ssh?

En voor de personen die poort 5001 (of welke HTTPS poort voor de login pagina dan ook) geNAT hadden wellicht.

[ Voor 4% gewijzigd door Razr op 05-08-2014 15:57 ]

Wat ik frustrerend vind, is dat ik nu meerderee Syno's uit heb staan, omdat ik niet zeker weet waar de infectie ligt. Bij Syno zeggen ze wel, poortjes dicht en laatste update draaien, maar ik vind het nogal twijfelachtig overkomen, zo zonder info-verspreiding.

Ik begrijp dat er een afweging gemaakt moet worden over het informeren van klanten en het niet-informeren van de criminelen/hackers die hierachter zetten, maar nu wordt er vrijwel geen info gegeven. Het is dat ik dagelijks op Tweakers kijk, anders was ik ook niet achter de hack gekomen met alle gevolgen van dien.

(heb 5 syno's, of althans in beheer, waarvan allen versies in de 5, geen infecties voor zover ik kan beoordelen, bij 3 stonden wel poorten 5000 en 5001 open)

Het staat duidelijk in de informatie die ze eerder hebben verschaft, wat te vinden is in dit topic.

Timmeah schreef op dinsdag 05 augustus 2014 @ 16:17:
Wat ik frustrerend vind, is dat ik nu meerderee Syno's uit heb staan, omdat ik niet zeker weet waar de infectie ligt. Bij Syno zeggen ze wel, poortjes dicht en laatste update draaien, maar ik vind het nogal twijfelachtig overkomen, zo zonder info-verspreiding.

Ik begrijp dat er een afweging gemaakt moet worden over het informeren van klanten en het niet-informeren van de criminelen/hackers die hierachter zetten, maar nu wordt er vrijwel geen info gegeven. Het is dat ik dagelijks op Tweakers kijk, anders was ik ook niet achter de hack gekomen met alle gevolgen van dien.

(heb 5 syno's, of althans in beheer, waarvan allen versies in de 5, geen infecties voor zover ik kan beoordelen, bij 3 stonden wel poorten 5000 en 5001 open)

Misschien weten ze het zelf ook nog niet (zeker)?

Razr schreef op dinsdag 05 augustus 2014 @ 16:23:
[...]


Misschien weten ze het zelf ook nog niet (zeker)?

Dat is inderdaad duidelijk, maar hoe dan ook is het wel wat vreemd dat ik deze infectie moet vernemen via andere bronnen dan Synology zelf.

xippie schreef op dinsdag 05 augustus 2014 @ 15:43:
[...]
Helaas gebruiken Video, Audio, File station deze poort ook, dus helaas moet je wel als je buitenshuis aan het streamen gaat vanaf je NAS.

Voor FileStation kun je een additionele/alternatieve poort (customized port) opgeven, voor Video en Audio vermoedelijk ook (heb ze niet geinstalleerd dus kan niet checken) in Application Portal

[ Voor 5% gewijzigd door Goner op 05-08-2014 16:28 ]

Timmeah schreef op dinsdag 05 augustus 2014 @ 16:25:
[...]

Dat is inderdaad duidelijk, maar hoe dan ook is het wel wat vreemd dat ik deze infectie moet vernemen via andere bronnen dan Synology zelf.

ik volg Synology op twitter en zag het via hun tweets..

https://twitter.com/Synology/status/496341946294472704

Ibidem schreef op dinsdag 05 augustus 2014 @ 15:12:
En ik heb het verlossende ANTWOORD VANUIT SYNOLOGY aamgaande de DSM 5.0 discussie!!


So far, we have several DSM 5.0 cases diagnosed. They actually upgraded to DSM 5.0 RECENTLY after it was infected. We can tell that because we know when it's upgraded, and we know when the SynoLocker software was inserted into their system.

But still, it has chance that we missed some special issues in DSM 5.0. So please please strongly encouraged those DSM 5.0 users to send the ticket to our support.

Waar heb je deze info vandaan? Op het ubertrage forum is hier nog niets over te vinden.

google "inurl:webman/index.cgi" dan vind je berg syno op port 5000 en 5001.
easy way in plaats van portscannen Google is a hackers friend

[ Voor 16% gewijzigd door Qualixo op 05-08-2014 16:31 ]

Je vind er ook een aantal op andere poorten.. Te bizar voor woorden imo.

Als ik naar de uitleg van Synology kijk lijkt het erop dat de kwetsbaarheid in DSM 4 zat.
De fix die wordt genoemd patched 2 kwetsbaarheden:

• Een in File Browser: CVE-2013-6987
• Een in Web manager: CVE-2013-6955

De infectie lijkt al een tijd geleden te zijn gebeurd.
Mensen die nu DSM 5 draaien kunnen dus al geinfecteerd zijn toen ze nog op DSM 4 zaten.

Als dit zo is dan lijkt het erop dat als je nu een recenter DSM 5 draait, en je bent niet geinfecteerd, je waarschijnlijk veilig bent.

Tiestor schreef op dinsdag 05 augustus 2014 @ 16:30:
Je vind er ook een aantal op andere poorten.. Te bizar voor woorden imo.

Moet je hem met de parameter -5000 -5001 opgeven

Tiestor schreef op dinsdag 05 augustus 2014 @ 16:30:
Je vind er ook een aantal op andere poorten.. Te bizar voor woorden imo.

En geinfecteerde:

http://129.10.127.175:5000/index.html

En zo ziet dan de decryption pagina eruit: http://129.10.127.175:443/

[ Voor 12% gewijzigd door immetjes op 05-08-2014 16:36 ]

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 16:27:
[...]

Waar heb je deze info vandaan? Op het ubertrage forum is hier nog niets over te vinden.

Al vaker in dit topic aangegeven dat ik vanwege mijn werk nauw samenwerk met de belangrijkste man van Synology in Europa. Heb de afgelopen dagen intensief contact met hem aangaande deze kwestie. Zodoende.

Valt me overigens nog mee hoe veel er geïnfecteerd zijn als ik zo een aantal van die links aan klik, de eerste zoveel hebben nog nergens last van.

[ Voor 17% gewijzigd door Tiestor op 05-08-2014 16:36 ]

markvl schreef op dinsdag 05 augustus 2014 @ 16:31:
Als ik naar de uitleg van Synology kijk lijkt het erop dat de kwetsbaarheid in DSM 4 zat.
De fix die wordt genoemd patched 2 kwetsbaarheden:

• Een in File Browser: CVE-2013-6987
• Een in Web manager: CVE-2013-6955

De infectie lijkt al een tijd geleden te zijn gebeurd.
Mensen die nu DSM 5 draaien kunnen dus al geinfecteerd zijn toen ze nog op DSM 4 zaten.

Als dit zo is dan lijkt het erop dat als je nu een recenter DSM 5 draait, en je bent niet geinfecteerd, je waarschijnlijk veilig bent.

nope...

DaaNium in "Synology NAS besmet met ransomware synolocker"

Hm...had hier al enige tijd lang van een haperende DS114. 100% CPU, slecht reagerend op verzoeken, maar alles werkte wel. DSM5 is geïnstalleerd op het moment dat het officieel beschikbaar is gesteld, en er stonden redelijk wat poorten open (SSH, admin, http(s), torrents, sabnzbd, bittorrent sync, sickbeard etc).

Zag in de Resource Monitor vaak synosync staan, waarvan ik dacht dat het de CloudSync-applicate was. Echter zie ik hier nu dat synosync deel uitmaakte van deze besmetting, maar heb tot op heden geen last gehad van een gelockt adminscherm. Data lijkt ook gewoon volledig in orde te zijn. Voor de zekerheid toch maar alles dicht gezet, en de NAS volledig opnieuw geïnstalleerd. Backup wordt nu teruggezet.

Wordt synosync ook nog door andere applicaties gebruikt? Anders lijk ik geluk te hebben gehad, en was ik wel besmet maar zonder grote gevolgen.

Ibidem schreef op dinsdag 05 augustus 2014 @ 16:35:
[...]

Al vaker in dit topic aangegeven dat ik vanwege mijn werk nauw samenwerk met de belangrijkste man van Synology in Europa. Heb de afgelopen dagen intensief contact met hem aangaande deze kwestie. Zodoende.

Nice

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:36:
[...]


nope...

DaaNium in "Synology NAS besmet met ransomware synolocker"

Het een sluit het ander niet uit...

inderdaad, helaas klopt die informatie echt niet (dat DSM 5.x veilig is)
Een eerdere infectie via 4.x kan simpelweg niet, omdat de NAS pas enkele maanden in gebruik is.
Toen was DSM 5 er al, en die hebben we er direct op gezet.

DaaNium schreef op dinsdag 05 augustus 2014 @ 16:37:
inderdaad, helaas klopt die informatie echt niet (dat DSM 5.x veilig is)
Een eerdere infectie via 4.x kan simpelweg niet, omdat de NAS pas enkele maanden in gebruik is.
Toen was DSM 5 er al, en die hebben we er direct op gezet.

Dat is mooi bagger voor je, sterkte! Ik lees dit topic zojuist, gebruik mijn Syno erg veel en die staat ook gewoon op een publiek domein te pronken... maar hij staat nu even uit tot nader order.

Goner schreef op dinsdag 05 augustus 2014 @ 16:26:
[...]

Voor FileStation kun je een additionele/alternatieve poort (customized port) opgeven, voor Video en Audio vermoedelijk ook (heb ze niet geinstalleerd dus kan niet checken) in Application Portal

Klopt zo heb ik DS Audio/File beschikbaar gemaakt voor anderen. Wel tijdelijk even dicht gezet omdat het niet bekend is waar het inzit.

DSM poort heb ik ook aangepast, maar niet geforward in de router zodat ie alleen via VPN beschikbaar is.

DaaNium schreef op dinsdag 05 augustus 2014 @ 16:37:
inderdaad, helaas klopt die informatie echt niet (dat DSM 5.x veilig is)
Een eerdere infectie via 4.x kan simpelweg niet, omdat de NAS pas enkele maanden in gebruik is.
Toen was DSM 5 er al, en die hebben we er direct op gezet.

Hoe weet je dan zeker dat je niet bent geinfecteerd tussen moment van aanzetten en updaten? Blijkbaar heb je 'm niet met DSM versie 5 out-of-the-box gekregen.

als je de Synology aanschaf staat er nog niets op... (dus ook geen DSM)
Je download een image van de Synology website en die installeer je meteen.

[ Voor 34% gewijzigd door Speedfightserv op 05-08-2014 16:45 ]

Managelorian schreef op dinsdag 05 augustus 2014 @ 16:42:
[...]


Hoe weet je dan zeker dat je niet bent geinfecteerd tussen moment van aanzetten en updaten? Blijkbaar heb je 'm niet met DSM versie 5 out-of-the-box gekregen.

Je installeert je Syno toch met lege schijven

Managelorian schreef op dinsdag 05 augustus 2014 @ 16:42:
[...]
Hoe weet je dan zeker dat je niet bent geinfecteerd tussen moment van aanzetten en updaten? Blijkbaar heb je 'm niet met DSM versie 5 out-of-the-box gekregen.

Niets is onmogelijk, maar dat lijkt me wel een HEEL erg kleine kans.
DSM 5 kan ook niet out-of-the-box, omdat je die moet installeren op de harddisk

Oops, is ook zo...

[ Voor 10% gewijzigd door Managelorian op 05-08-2014 16:46 ]

Hier een tweet van iemand die blijkbaar betaald heeft voor de decription key

Maar er heeft dus DSM 4 opgestaan? Dan kan hij ook besmet zijn!

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:44:
als je de Synology aanschaf staat er nog niets op... (dus ook geen DSM)

Klopt, maar hij download dan wel de meest recente build. Op 10-03 is de eerste versie van DSM 5.0 uitgebracht.

Ibidem schreef op dinsdag 05 augustus 2014 @ 16:47:
[...]

Klopt, maar hij download dan wel de meest recente build. Op 10-03 is de eerste versie van DSM 5.0 uitgebracht.

Kleine correctie, ik heb die van mij vorige week uit de doos gehaald en er werd toen om de een of andere reden de een na laatste versie op geïnstalleerd. Kon overigens wel meteen updaten naar de laatste versie.

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 16:46:
Hier een tweet van iemand die blijkbaar betaald heeft voor de decription key

Hij heeft het niet betaald maar een screenshot gevonden via shodan

Dus nog steeds geen nieuws over een werkende sleutel na betaling?

Haha, die uninstall knop ook echt.

Ibidem schreef op dinsdag 05 augustus 2014 @ 16:47:
[...]

Klopt, maar hij download dan wel de meest recente build. Op 10-03 is de eerste versie van DSM 5.0 uitgebracht.

Het klinkt me heel onwaarschijnlijk in de oren dat een systeem voor die tijd besmet zou kunnen zijn geraakt, vervolgens de update naar 5.0 heeft ontvangen en dat Synolocker pas nu actief geworden is.

Ibidem schreef op dinsdag 05 augustus 2014 @ 16:47:
[...]

Klopt, maar hij download dan wel de meest recente build. Op 10-03 is de eerste versie van DSM 5.0 uitgebracht.

ik heb vorige week nog 2 Synology's geïnstalleerd. Hij ging niets zelf downloaden o.i.d.

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:53:
[...]


ik heb vorige week nog 2 Synology's geïnstalleerd. Hij ging niets zelf downloaden o.i.d.

Dat doet ie toch tijdens de installatie?

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:51:
[...]


Hij heeft het niet betaald maar een screenshot gevonden via shodan

Als dit echt is kan het voor sommige mensen een uitkomst zijn (mocht Synology je niet kunnen helpen)
*(echter ben ik van mening dat je deze "bende" niet moet betalen)

Tiestor schreef op dinsdag 05 augustus 2014 @ 16:54:
[...]


Dat doet ie toch tijdens de installatie?

Bij mij stond er "download de DSM van de Synology website en geef het pad op"

Ben benieuwd hoe veel geld er nou buit gemaakt kan worden door deze bende. Waarschijnlijk zullen we het nooit weten.

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:51:
[...]


Hij heeft het niet betaald maar een screenshot gevonden via shodan

waarschijnlijk is het een Nederlands IP.

[ Voor 6% gewijzigd door Maxustiti op 05-08-2014 17:03 ]

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 16:55:
[...]

Bij mij stond er "download de DSM van de Synology website en geef het pad op"

Ok, die heb ik niet gehad volgens mij

Napsju schreef op dinsdag 05 augustus 2014 @ 16:55:
Ben benieuwd hoe veel geld er nou buit gemaakt kan worden door deze bende. Waarschijnlijk zullen we het nooit weten.

Vast wel ergens terug te vinden in het jaarverslag van deze bende

MrBrownie12 schreef op dinsdag 05 augustus 2014 @ 16:56:
[...]


waarschijnlijk is het deze: http://A.B.C.D:443/. Een Nederlands IP.

Hij is al 0,04% verder sinds het verspreide screenshot. Maar er zit blijkbaar progressie in

[ Voor 7% gewijzigd door F_J_K op 05-08-2014 17:24 . Reden: IP weg ]

MrBrownie12 schreef op dinsdag 05 augustus 2014 @ 16:56:
waarschijnlijk is het deze: http://A.B.C.D:443/. Een Nederlands IP.

waarschijnlijk heeft er net iemand op uninstall geklikt.. want de site is niet meer up.

[ Voor 2% gewijzigd door F_J_K op 05-08-2014 17:24 . Reden: IP weg ]

DukeBox schreef op dinsdag 05 augustus 2014 @ 16:59:
[...]

waarschijnlijk heeft er net iemand op uninstall geklikt.. want de site is niet meer up.

hij is nog wel up maar wordt op dit moment een beetje geDDOS denk ik

jawel hoor ik zie hem nog gewoon op 54.04%

Even goed nog steeds al je porten open laten staan vind ik op zichzelf ook wel knap.. Met andere woorden: die kerel krijgt halverwege z'n encrypty een uninstall en blijft met een half geencrypte DS zitten?

DukeBox schreef op dinsdag 05 augustus 2014 @ 16:59:
[...]

waarschijnlijk heeft er net iemand op uninstall geklikt.. want de site is niet meer up.

Nah... CPU staat op 100% en kan dus niet veel meer naast het decrypten doen. Daarnaast denk ik dat er nu wel ERG veel mensen erop kijken omdat het hier publiek staat.

DukeBox schreef op dinsdag 05 augustus 2014 @ 16:59:
[...]

waarschijnlijk heeft er net iemand op uninstall geklikt.. want de site is niet meer up.

Bij mij doet hij het nog wel (na even wachten). Wel link dat iedereen nu op uninstall kan drukken. Hopelijk gaat er niets fout als iemand dat doet voordat de decrypt klaar is...

En toen werden we allemaal besmet omdat we naar die pagina zitten te kijken.

Misschien heeft hij zelf niet eens op uninstall geklikt maar een tweaker...

^ Dat bedoelde ik ook.. nu z'n syno open en bloot staat.
Nou, ik help het hem hopen.. hoop dat ie zijn private en public key ook ergens anders heeft opgeslagen. En idd stom om hem open te laten staan.

[ Voor 16% gewijzigd door DukeBox op 05-08-2014 17:03 ]

nvt

[ Voor 99% gewijzigd door Maxustiti op 05-08-2014 17:03 ]

MrBrownie12 schreef op dinsdag 05 augustus 2014 @ 17:03:
nvt

Tis een nederlands adress uit flevoland als ik het zo snel terug zie..

Dutch_guy schreef op dinsdag 05 augustus 2014 @ 17:02:
En toen werden we allemaal besmet omdat we naar die pagina zitten te kijken.

Hebben de mannen van IT op mijn werk ook weer wat te doen

Het zou toch wel een verschrikkelijke klotestreek zijn om hem te uninstallen tijdens het decrypten. Maar zou er stiekem wel om kunnen lachen.

Gebaseerd op de laatste informatie heb ik die van mij (DSM 5 update 3) maar weer opgestart. Ik heb gekeken of synosync draait maar die is niet actief dus ik verwacht dat ik veilig ben.

Nu even een cronjobje maken die me waarschuwt als synosync wel gaat draaien en wat instellingen aanpassen. Video en Audio station op andere poorten. Email wanneer nieuwe update beschikbaar is. Auto updates voor packages, etc

Robkazoe schreef op dinsdag 05 augustus 2014 @ 17:05:
Het zou toch wel een verschrikkelijke klotestreek zijn om hem te uninstallen tijdens het decrypten. Maar zou er stiekem wel om kunnen lachen.

Nou, als je hem zo open laat aan internet heb je het eigenlijk ook wel verdiend ook

PeeVv schreef op dinsdag 05 augustus 2014 @ 16:36:
Hm...had hier al enige tijd lang van een haperende DS114. 100% CPU, slecht reagerend op verzoeken, maar alles werkte wel. DSM5 is geïnstalleerd op het moment dat het officieel beschikbaar is gesteld, en er stonden redelijk wat poorten open (SSH, admin, http(s), torrents, sabnzbd, bittorrent sync, sickbeard etc).

Zag in de Resource Monitor vaak synosync staan, waarvan ik dacht dat het de CloudSync-applicate was. Echter zie ik hier nu dat synosync deel uitmaakte van deze besmetting, maar heb tot op heden geen last gehad van een gelockt adminscherm. Data lijkt ook gewoon volledig in orde te zijn. Voor de zekerheid toch maar alles dicht gezet, en de NAS volledig opnieuw geïnstalleerd. Backup wordt nu teruggezet.

Wordt synosync ook nog door andere applicaties gebruikt? Anders lijk ik geluk te hebben gehad, en was ik wel besmet maar zonder grote gevolgen.

Dit vraag ik me ook af. Voordat ik m'n NAS gisteren uit heb gezet heb ik nog even door de processen heen gekeken, en toen zag ik volgens mij ook synosync lopen (nam maar weinig CPU in). Weet iemand of synosync op een niet geinfecteerde DSM systeem ook actief is? Anders moet ik maar even wachten met het heropstarten...

Verwijderd schreef op dinsdag 05 augustus 2014 @ 17:09:
[...]


Dit vraag ik me ook af. Voordat ik m'n NAS gisteren uit heb gezet heb ik nog even door de processen heen gekeken, en toen zag ik volgens mij ook synosync lopen (nam maar weinig CPU in). Weet iemand of synosync op een niet geinfecteerde DSM systeem ook actief is? Anders moet ik maar even wachten met het heropstarten...

Hier draait op DSM5-4493 u3 geen synosys proces.

Hier ook geen synosync

Er is ook een syno-cloud-syncd. Die is wel echt van Synology, misschien daarmee in de war.