• DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
Toen ik gister een film wilde kijken via m'n NAS zag ik dat deze helemaal leeg was. Er staat nu alleen een tekstbestand met de melding dat iemand m'n bestanden heeft en dat ik €50,- aan bitcoins moet betalen voor ik ze terug krijg. Heeft iemand tips over wat ik moet doen?

Ter info, de NAS zit in een beveiligd netwerk en is zelf ook met een wachtwoord beveiligd.

  • Vitruvius
  • Registratie: juli 2010
  • Laatst online: 14:04
En je hebt niet toevallig een back-up van de NAS ergens draaien? Hoe actueel was de software die draaide? Is het bericht in het Nederlands?

http://www.cso.com.au/art...ypt_synology_nas_devices/

[Voor 26% gewijzigd door Vitruvius op 01-11-2015 11:52]


  • Trommelrem
  • Registratie: februari 2009
  • Laatst online: 12-07 06:17
Hier kunnen we natuurlijk niets mee.

Welk type NAS? Logbestanden van de NAS?
Wie heeft er toegang tot de NAS? Wie heeft toegang tot de sleutels van de kast waar de NAS in staat?

  • sh4d0wman
  • Registratie: april 2002
  • Laatst online: 13:59

sh4d0wman

Long live the King!

Gehehe, dat is weer eens iets anders dan ransomware.

Met Robberto: heb je een andere backup welke terug te zetten is?
Verder:
- Wat voor merk/model NAS?
- Is er een koppeling naar internet of WLAN met het "beveiligde" netwerk?

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
Nee ik heb geen back-up. De schijven draaien gespiegeld. Ik zie nu dat er een software update is, de laatste versie is ongeveer een jaar oud. Het bericht is in het Nederlands.

De NAS is een Iomega StorCenter ix2-200 cloud edition. Verder heeft niemand toegang tot de NAS en hij staat in m'n woonkamer. De laatste regels van de log zijn als volgt:

10013 28-9-2015 19:40 INFORMATION The time was synchronized.
9029 30-9-2015 15:36 INFORMATION Verifying storage data protection.
1509 31-10-2015 10:50 INFORMATION Invalid attempt to log in as user 'dondersnl'.
25611 31-10-2015 10:50 dondersnl INFORMATION User 'dondersnl' logged in.
9029 31-10-2015 11:35 INFORMATION Verifying storage data protection.
25611 1-11-2015 11:52 dondersnl INFORMATION User 'dondersnl' logged in.

Het moet na afgelopen weekend gebeurd zijn, toen heb ik er voor het laatst iets op gezet. (De invalid attempt was ik zelf, was m'n wachtwoord even kwijt)

@sh4d0wman, wat bedoel je precies met de laatste vraag?

  • sh4d0wman
  • Registratie: april 2002
  • Laatst online: 13:59

sh4d0wman

Long live the King!

Ik bedoel, kun je vanaf internet de NAS benaderen? Je spreekt namelijk over een beveiligd netwerk zonder enige verdere specificatie. Het kan zijn dat je NAS automatisch iets open heeft gezet waar jij je niet bewust van bent, via UPNP bijvoorbeeld.

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
Ik heb NFS, rsync (geen idee wat dit is?) en Windows file sharing aan staan. Remote access staat uitgeschakeld.

  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 16-09 23:32
Wel een interessante case. Geen toegang tot het internet en wel gehacked. Kan van een ander apparaat komen op je netwerk. ik zou toch je internet disconnecteren.

  • nescafe
  • Registratie: januari 2001
  • Nu online
Volgens CNET ondersteunt dit model UPnP:
If your router supports UPnP (which most new routers do), the setup process is entirely transparent to you, via a few mouse clicks. Otherwise, you'll need to manually forward the port number 443 to the IP address of the server. Then, from any computer in the world that's connected to the Internet, you can use a browser to access to the NAS, as if you were on a computer in the same local network.
Zoals sh4d0wman al heeft gezegd. Even controleren op je router of dat inderdaad zo is. In combinatie met bijvoorbeeld een zwak wachtwoord kan het dus zo gebeurd zijn.

Overigens: anders dan met cryptoware lijkt het erop dat de hacker je gegevens heeft verwijderd. Het lijkt me sterk dat hij eerst alles heeft gedownload/veiliggesteld, dus mijn gok is dat je na betaling de gegevens nog steeds kwijt bent.

[Voor 15% gewijzigd door nescafe op 01-11-2015 13:08]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


  • maratropa
  • Registratie: maart 2000
  • Niet online
Als hij de schijven niet gewiped heeft zou je misschien met recover software sowieso de files kunnen terughalen?

specs


  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
nescafe schreef op zondag 01 november 2015 @ 13:06:
Volgens CNET ondersteunt dit model UPnP:

[...]

Zoals sh4d0wman al heeft gezegd. Even controleren op je router of dat inderdaad zo is. In combinatie met bijvoorbeeld een zwak wachtwoord kan het dus zo gebeurd zijn.

Overigens: anders dan met cryptoware lijkt het erop dat de hacker je gegevens heeft verwijderd. Het lijkt me sterk dat hij eerst alles heeft gedownload/veiliggesteld, dus mijn gok is dat je na betaling de gegevens nog steeds kwijt bent.
Daar ben ik ook bang voor.. UPnP is enabled op m'n router.

@maratropa, voor zover ik kan zien zijn de schijven leeg. Als ik naar de manager ga zie ik dat er nog 43.69 GB aan data op staat, maar ik had er ruim 1 TB op staan.

  • maratropa
  • Registratie: maart 2000
  • Niet online
Had je een zwak wachtwoord?

Ik bedoel dus, als je files delete dan zijn ze niet echt weg, met veel gratis software haal je vaak het meeste zo weer terug. Dus schijf aan een computer en dan kijken wat er nog te vinden is. Zo lang de sectoren van de gewiste bestanden niet overschreven zijn (dus schrijf niet naar de schijven) is de data vaak nog intact.

specs


  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
Het wachtwoord was niet heel sterk maar ook niet heel zwak, ik ga hem gelijk aanpassen. Ik zal proberen om het nog terug te halen, heb je een aanrader qua software?

Ik heb trouwens op een oude harde schijf nog een backup van m'n laptop van september 2014 gevonden dus ik denk dat ik de meest belangrijke bestanden wel weer terug heb. Dan moet ik de boel nu maar eens goed beveiligen.

  • Mythling
  • Registratie: november 2007
  • Laatst online: 07:36
Recuva is van dezelfde makers als CCleaner. https://www.piriform.com/recuva

Werkt vrij eenvoudig. Mocht dat niks opleveren zijn er nog andere programma's te proberen, maar Recuva is gratis en werkt vaak wel!

  • Mel33
  • Registratie: oktober 2009
  • Laatst online: 15-09 15:54
Aan wie moet je de bitcions betalen?, op Opgelicht (tv programmas) was eens een item over Nas'en en upnp in je netwerk.

[Voor 17% gewijzigd door Mel33 op 01-11-2015 14:07]

Ik ben zo blij dat de pen en de som nog steeds machtiger zijn dan het zwaard. ringo-remasterd


  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 14:10
Ik denk dat Windows file recovery niet veel uithaalt. Je moet de schijf uit de nas halen en recoveren met ext compatibele recovery software.
Immers werkt 98% van de kleine thuis nassen op een variant van Linux met bijhorend open source file systeem.

  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
mell33 schreef op zondag 01 november 2015 @ 14:07:
Aan wie moet je de bitcions betalen?, op Opgelicht (tv programmas) was eens een item over Nas'en en upnp in je netwerk.
Geen idee, er staat dus alleen een bitcoin ID.

Dat was een verhelderend item van opgelicht. Ik ga er zeker voor zorgen dat mijn netwerk voortaan veilig is. Gelukkig had ik er (voor zover ik weet) geen gevoelige informatie op staan.

  • Vitruvius
  • Registratie: juli 2010
  • Laatst online: 14:04
Conclusie van die uitzending is dat poort 21 en poort 80 vaak open staan. Checken doe je hier: http://ftptest.solcon.nl Volgens mij is het niet zo zeer een probleem als er een poort open staat, maar meer als er vervolgens geen inloggegevens nodig zijn om op de nas te komen.

  • ProVine
  • Registratie: maart 2006
  • Laatst online: 09:43
Als je bij de ftp setting kijkt staat daar toevallig anoniem inloggen aan ? Zo ja dan konden ze alles benaderen en verwijderen zonder wachtwoord

  • Vinzz
  • Registratie: november 2002
  • Laatst online: 11:45
Getdataback ofzo, schijf even aan je pc hangen..

  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 14:10
Ik denk dat er meer aan de hand is. iomega.com wijst door naar een advertentie website typisch aan verlopen domeinen.
Aangezien er "cloud edition" in de naam staat ga ik er vanuit dat er diverse cloud gebaseerde applicaties in zitten die er niet bij gebaat zijn als iomega.com gekaapt is.

Domain Name: IOMEGA.COM
Registrar: CSC CORPORATE DOMAINS, INC.
Sponsoring Registrar IANA ID: 299
Whois Server: whois.corporatedomains.com
Referral URL: http://www.cscglobal.com/...sc/digital-brand-services
Name Server: NS5.LENOVO.COM
Name Server: NS6.LENOVO.COM
Name Server: NS7.LENOVO.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 03-jul-2014
Creation Date: 08-jul-1991
Expiration Date: 07-jul-2015

  • CH4OS
  • Registratie: april 2002
  • Niet online

CH4OS

It's a kind of magic

jeroen3 schreef op zondag 01 november 2015 @ 16:57:
Ik denk dat er meer aan de hand is. iomega.com wijst door naar een advertentie website typisch aan verlopen domeinen.
Aangezien er "cloud edition" in de naam staat ga ik er vanuit dat er diverse cloud gebaseerde applicaties in zitten die er niet bij gebaat zijn als iomega.com gekaapt is.

Domain Name: IOMEGA.COM
Registrar: CSC CORPORATE DOMAINS, INC.
Sponsoring Registrar IANA ID: 299
Whois Server: whois.corporatedomains.com
Referral URL: http://www.cscglobal.com/...sc/digital-brand-services
Name Server: NS5.LENOVO.COM
Name Server: NS6.LENOVO.COM
Name Server: NS7.LENOVO.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 03-jul-2014
Creation Date: 08-jul-1991
Expiration Date: 07-jul-2015
En wat zegt het beschikbaar zijn van een domein over een gehackte NAS? :? Wie weet zegt de naam cloud in het productnaam wel iets over de NAS, dat die een cloud kan aanmaken, bijvoorbeeld? :?

  • Kev0
  • Registratie: mei 2003
  • Niet online
CptChaos schreef op zondag 01 november 2015 @ 18:40:
[...]
En wat zegt het beschikbaar zijn van een domein over een gehackte NAS? :? Wie weet zegt de naam cloud in het productnaam wel iets over de NAS, dat die een cloud kan aanmaken, bijvoorbeeld? :?
Nou, het is wel vreemd dat de IOMEGA.COM site verlopen is en nu advertenties instaan. Ik heb eens gekeken en het lijkt wel erop dat deze domeinnaam gebruikt is door IOMEGA zelf (in het verleden).

Wat als nu software in de NAS gekoppeld is aan deze domeinnaam? Dan kan de nieuwe eigenaar van deze domeinnaam in theorie veel dingen doen die eigenlijk nooit zouden mogen kunnen, bijvoorbeeld de cloudstorage toegang onderscheppen.

Ik neem aan dat de bovenstaande poster zoiets bedoelt.

Ik heb niet zon snelle PC als jullie maar wel een bazooka voor mijn SNES.


  • T.C
  • Registratie: januari 2005
  • Laatst online: 13:42
jeroen3 schreef op zondag 01 november 2015 @ 14:12:
Ik denk dat Windows file recovery niet veel uithaalt. Je moet de schijf uit de nas halen en recoveren met ext compatibele recovery software.
Immers werkt 98% van de kleine thuis nassen op een variant van Linux met bijhorend open source file systeem.
Er zijn wel tools voor Windows die file recovery kunnen uitvoeren over het netwerk.
Mogelijk dat die hiervoor ook werkt.

Zelf heb ik wel eens een dag goed gemaakt door even de tools van R-Studio te gebruiken.

Iedereen mag een mening hebben over onderwerpen. Maar het hoeft niet.


  • Raoul.TLS
  • Registratie: augustus 2008
  • Laatst online: 02-09 11:55
En nog gelukt bestanden terug te halen ?
https://www.computable.nl...t-iomega-productlijn.html

hebben domein vrijgegeven en iemand heeft hem overgenomen.
beetje slordig van lenovo

<GOT>DrOPje #2516


  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
Raoul.TLS schreef op maandag 02 november 2015 @ 09:47:
En nog gelukt bestanden terug te halen ?
https://www.computable.nl...t-iomega-productlijn.html

hebben domein vrijgegeven en iemand heeft hem overgenomen.
beetje slordig van lenovo
Ik ga komend weekend proberen om ze terug te halen. Inderdaad een beetje een vreemde gang van zaken..

  • cornfed99111
  • Registratie: september 2006
  • Laatst online: 16-09 22:48
Heb je Windows file sharing (samba) ook beveiligd met een wachtwoord?
Of kan je zomaar alle mappen op je NAS benaderen?

  • Dulkilicious
  • Registratie: december 2013
  • Laatst online: 13-09 14:31
Did you try to turn it off and on again?

  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 13:42

ThinkPad

Moderator Duurzame Energie & Domotica
Draai eens een poortscan op je WAN-adres, dan kun je kijken wat er openstaat naar buiten toe: ThinkPad in "[Synology] Vraag en antwoord - deel 2"

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • ELD
  • Registratie: december 2000
  • Niet online
Als de bestanden belangrijk voor je zijn, dan zou ik de schijven eruit halen en proberen een recovery uit te voeren in Linux. Het is belangrijk dit te doen voordat je nieuwe gegevens op de NAS wilt zetten.

Testdisk is hiervoor een goede tool
http://www.cgsecurity.org/wiki/TestDisk
TestDisk can

Fix partition table, recover deleted partition
Recover FAT32 boot sector from its backup
Rebuild FAT12/FAT16/FAT32 boot sector
Fix FAT tables
Rebuild NTFS boot sector
Recover NTFS boot sector from its backup
Fix MFT using MFT mirror
Locate ext2/ext3/ext4 Backup SuperBlock
Undelete files from FAT, exFAT, NTFS and ext2 filesystem
Copy files from deleted FAT, exFAT, NTFS and ext2/ext3/ext4 partitions.
Is trouwens standaard te vinden in de repo van de meeste distros.

  • cornfed99111
  • Registratie: september 2006
  • Laatst online: 16-09 22:48
Ik zou eerst willen weten waar en hoe de besmetting plaats vond.
Anders krijg je na afloop weer precies hetzelfde probleem.
Ik vermoed dat een Windows PC besmet is geraakt en via samba de bestanden gemanipuleerd heeft.
Dus als eerste een fatsoenlijke scan uitvoeren op alle PC's die toegang hadden tot de NAS.

Die NAS heb ik ook en er gaat niets 'zomaar' open naar het internet.
Alleen als je dat wilt en zo instelt, gebeurt dat. Al dan niet onbewust, natuurlijk..

  • DondersNL
  • Registratie: december 2011
  • Laatst online: 03-09 13:15
cornfed99111 schreef op donderdag 05 november 2015 @ 17:32:
Ik zou eerst willen weten waar en hoe de besmetting plaats vond.
Anders krijg je na afloop weer precies hetzelfde probleem.
Ik vermoed dat een Windows PC besmet is geraakt en via samba de bestanden gemanipuleerd heeft.
Dus als eerste een fatsoenlijke scan uitvoeren op alle PC's die toegang hadden tot de NAS.

Die NAS heb ik ook en er gaat niets 'zomaar' open naar het internet.
Alleen als je dat wilt en zo instelt, gebeurt dat. Al dan niet onbewust, natuurlijk..
Ik denk dat je gelijk heb. Ik heb m'n laptop gescand en het antivirus programma vond een of andere hacktool. Hij had alleen wat problemen met verwijderen, misschien moet ik hem maar weer eens formatteren.

  • LopendeVogel
  • Registratie: juli 2011
  • Laatst online: 12-09 10:55
DondersNL schreef op zaterdag 07 november 2015 @ 11:15:
[...]


Ik denk dat je gelijk heb. Ik heb m'n laptop gescand en het antivirus programma vond een of andere hacktool. Hij had alleen wat problemen met verwijderen, misschien moet ik hem maar weer eens formatteren.
Doe je de scan wel in de beveiligde/beperkte modus en het liefst zonder netwerk mogelijkheden?
Stel je draait de scan onder standaard windows dan kan het zijn dat bepaalde zaken in gebruik zijn en daardoor niet verwijdert kunnen worden.

Let wel op, want er zijn steeds meer van dit soort rare praktijken, ik heb een soortgelijk iets meegemaakt. Alleen hebben ze op dat moment gewoon bitcoins gestolen ipv erom gevraagd haha. Dit kwam binnen via een .exe die ik gedownload had ( virus scanners etc etc vonden niks verdachts ).
Een virus scanner doet eigenlijk bizar weinig, want een .exe is niet iets fouts, indien ze daar de virus / trojan in verwerken zoals bij mij is geen 1 virus scanner die iets opmerkt.

Belangrijkste voor jou is denk ik om te weten hoe je eraan gekomen bent, anders ga je verschillende oplossingen toepassen en ben je vervolgens alsnog de pineut omdat je deze ''trojan'' weer terug plaatst.
Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee