Ransomware richt zich op Synology-opslagsystemen

Verschillende gebruikers van Synology-systemen klagen dat hun nas is getroffen door ransomware. De malware, met de naam Synolocker, versleutelt bestanden; gebruikers moeten honderden euro's betalen om weer bij hun bestanden te kunnen.

De gebruikers klagen op het forum van Synology dat ze niet meer bij hun bestanden kunnen. De configuratiepagina van hun nas-systeem is vervangen door een waarschuwing dat de bestanden zijn versleuteld, en dat de gebruiker geld moet betalen om de encryptiesleutel te krijgen. Gebruikers zouden 0,6 bitcoin, omgerekend circa 260 euro, moeten betalen voor toegang. Het is niet duidelijk of gebruikers na betaling weer toegang krijgen.

De werkwijze en de naam van SynoLocker doen denken aan CryptoLocker, beruchte ransomware die veel gebruikers heeft getroffen. Het is onbekend hoe de SynoLocker zich verspreidt, maar het is waarschijnlijk dat ssh-toegang of gaten in de administratie-interface worden gebruikt om de malware te installeren. Dat betekent dat het afschermen van de nas via de router de kans om geïnfecteerd te worden flink verkleint.

Volgens één gebruiker van het forum is er een truc om de Synology-nas weer werkend te krijgen, maar hij is er niet in geslaagd om toegang tot zijn bestanden te krijgen. Beveiligingsproblemen in Synology-systemen werden eerder onder meer gebruikt om bitcoins en dogecoins te minen. Aanvallers zouden daarmee een half miljoen euro hebben buitgemaakt.

Bron: Twitter @MikeEvangelist

Lees meer

IT Banen

Reacties (267)

justme256
5 augustus 2014 14:41

Het lijkt erop dat het probleem alleen bij DSM versie 4.3-3810 of ouder voordoet. Zie onderstaande tekst van het forum van Synology:

Hello Everyone,

We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.

Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shut down their system and contact our technical support team here: https://myds.synology.com/support/support_form.php.

-When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
-A process called “synosync” is running in Resource Monitor.
-DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.

For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
-For DSM 4.3, please install DSM 4.3-3827 or later
-For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
-For DSM 4.0, please install DSM 4.0-2259 or later

DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.

If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com.

Apologies for any problems or inconvenience caused. We will keep you updated with latest information as we address this issue.

(bron: http://forum.synology.com...ewtopic.php?f=108&t=88770)

ChillPascal
@justme256 • 5 augustus 2014 15:58

Ik zag het op Twitter van Hardware.info.
Maar ik vind de volgende quote nog niet heel erg concluderend
"Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier)"

Is er iemand die met DSM 5 alle poorten en dergelijke gewoon weer open heeft gezet?

justme256
@ChillPascal • 5 augustus 2014 16:12

Die van mij stonden tot gisteravond open en ik had (nog) nergens last van. Ik heb ze op dit moment uit voorzorg gesloten. Alleen SSH staat nog open, maar die wordt in de router alleen geaccepteerd van mijn eigen IP en het IP van mijn werk en dan ook nog eens alleen voor SFTP. SSH console staat ook uit.

Ik had mijn NAS al wel op de laatste versie van DSM 5 draaien, dus misschien was het afsluiten wat overbodig, maar liever safe dan alsnog de klos zijn.

Moartn
4 augustus 2014 12:53

Aan de versienummers die mensen op dat forum posten is het waarschijnlijk iets wat in nieuwere versies van DSM al opgelost is, maar helemaal zeker is dit niet. Zou het bijvoorbeeld ook aan dat relatief nieuwe Samba lek kunnen liggen? Hopelijk wordt het snel duidelijk is wat de attack vector is die hier gebruikt wordt.

Speedfightserv
@Moartn • 4 augustus 2014 13:32

ik heb mensen voorbij zien komen met DSM 5.0 update 2 die getroffen waren.

Weliswaar is update 3 al uit maar het is dus niet zo dat mensen onder de versie 5 alleen getroffen kunnen worden.

ik heb al mijn poorten dicht gezet. (de weinige poorten die ik open had)

CAPSLOCK2000

Netwerk en systeembeheer

4 augustus 2014 12:50

Dat klinkt pittig. Wie een NAS heeft die heeft waarschijnlijk ook veel relatief waardevolle bestanden. Verder worden dit soort NASsen vaak niet gebackuped. Het is te veel data en mensen vertrouwen op RAID.

kane_sting
@CAPSLOCK2000 • 4 augustus 2014 12:56

Ja idd, ik heb hem maar even uitgezet, ga het risico niet lopen. Wacht wel tot Synology met een oplossing komt voor dit probleem. Het is wel logisch dat ze die NASsen targetten, aangezien deze razend populair zijn en vaak ook toegankelijk gemaakt zijn van buitenaf.

Ik hoop dat Synology zo met een oplossing komt. Het gaat vrij hard met de meldingen van mensen:
https://twitter.com/search?q=synolocker&src=typd

https://www.security.nl/p...r.com&utm_campaign=buffer

Hacker News geeft aan dat het om NASsen gaat die EZ-Internet service aan hebben staan en daardoor bereikbaar vanuit het internet.

Mark Loman geeft aan dat het om oude versies van DSM gaat waarvan de Heartblead nog niet gefixt is. https://twitter.com/markloman/status/496182220844191744

Hier nog een link naar een forum: http://www.geekzone.co.nz...forumId=86&topicid=150814

Update: Link toegevoegd Geekzone en Mark Loman Twitter.

[Reactie gewijzigd door kane_sting op 4 augustus 2014 12:58]

Anoniem: 524877
@kane_sting • 4 augustus 2014 15:00

Wat ik ook erg bijzonder vind is dat er verbinding wordt gemaakt met een .onion site. Dit zou dus betekenen dat er ook met tor wordt gewerkt. Zou dus goed kunnen betekenen dat de nassen ook een 'tor' installatie krijgen om waarschijnlijk met de server te kunnen communiceren.

Update 22:58 Synology geeft hier zelf ook melding

https://myds.synology.com/support/support_form.php?lang=us

[Reactie gewijzigd door Anoniem: 524877 op 4 augustus 2014 22:58]

djunicron
@kane_sting • 4 augustus 2014 15:49

Potentiele fix:
http://forum.synology.com...&hilit=synolocker#p333751

Zou eigenlijk wel te gek zijn als dat zo al op te lossen was. Dikke bluf dus met de "strong encryption"...

Hoe dan ook, maar even m'n NAS routing uitgeschakeld, zodat ie dus niet op het internet te vinden is op het moment. De vraag is alleen nog maar helemaal of dat genoeg is... Tot nu toe lijkt niemand te weten hoe je nou precies getarget wordt.

hcQd
@djunicron • 4 augustus 2014 16:48

Je miste het “My files are still locked” gedeelte.

FreshMaker
@djunicron • 4 augustus 2014 16:25

Inderdaad, helemaal uit is ook niet nodig.

In eerste instantie waren er berichten dat het poort 5000 als target heeft, maar als iemand die poort één op één zou doorzetten, lijkt me wel héél onverstandig, maargoed ...

Vooralsnog hier ook alle inkomende routing uitgezet, en voor de zekerheid update3 ( DSM5 ) installed ( op een Xpenology build )

Het lijkt er inderdaad op dat het op hetmoment de oudere 4.3 en lager het meest kwetsbaar zijn, maar in het originele topic waren heel veel berichten, maar niemand met nuttige achtergrond ( versie / updates ) dus er is nog niet veel duidelijkheid.

Het zijn voornamelijk nieuwe leden, die NU hulp zoeken, wat begrijpelijk is, maar waar je weinig 'forum etiquette' van hoeft te verwachten helaas.

djunicron
@FreshMaker • 4 augustus 2014 16:59

Er waren ook screens te zien in de twitterstream waar DSM 5 getroffen was. Het ziet er inderdaad naar uit dat voornamelijk 4.3 installaties problemen hadden, maar Synolocker beperkt zich er zeker niet toe.

Toch neig ik er wel naar om m'n NASsen maar gewoon helemaal uit te zetten. Als er wel een geniale manier is gevonden om de NAS zelf van binnenuit een connectie op te laten zetten dan ben je wel de sjaak, ookal staan je poorten voor de buitenwereld dicht.

Ik vermoed overigens dat het om een LAMP issue gaat; m'n Syno zit dan wel dicht, maar ik krijg op m'n Linux database-dev VMs opeens erg veel requests van hosts als "trust.no.one.at" en dergelijke, waaronder voornamelijk poort 5000 / 5001 scans.

Qaatloz
@kane_sting • 4 augustus 2014 13:01

Mijn NAS staat nu ook uit. Ik loop liever het risico niet, al had ik services als ssh e.d. niet open staan. Moet binnenkort toch eens na gaan denken over vpn om mijn NAS vanaf extern te beheren. Na eerst het coin-miner geintje zit ik hier niet zo op te wachten eigenlijk.

Massiefje
@kane_sting • 4 augustus 2014 17:08

Ik heb een NAS bij een klant maar remote ontoegankelijk gemaakt....

Uitzetten gaat niet, omdat ze daar dagelijks mee werken, maar hoop dat dit voldoende is om het probleem te tackelen.

tiefschwarz
@CAPSLOCK2000 • 4 augustus 2014 13:04

Verder worden dit soort NASsen vaak niet gebackuped. Het is te veel data en mensen vertrouwen op RAID.

Het kiezen tussen een mirror RAID of striping vind ik tot op zekere hoogte nog te begrijpen: beide opties vullen ieder een ander gebruikswens in. Misschien wordt de kans dat er iets mis gaat onderschat en daarmee ook de waarde van mirroring. Striping heeft daarbij kenmerkende voordelen die je kunt afwegen. Goed, ik snap dat je als gebruiker de keuze tussen het ene of het andere maakt.

Maar inderdaad, het niet maken van back-ups voor bestanden die kennelijk belangrijk genoeg zijn dat ze je in problemen brengen zodra ze gegijzeld worden door ransomware is echt niet te begrijpen. Zeker niet als je bedenkt dat een Synology NAS eenvoudig overweg kan met opslagdiensten als Amazon Glacier. Ik heb pak 'm beet 50 GB van mijn belangrijkste bestanden weggestopt die ik niet wil verliezen en het kost me welgeteld $0.59 per maand. Een keer geïnstalleerd en geen omkijken naar.

Ik snap dat er mensen zijn die dat om hun moverende redenen niet zouden willen bij een bedrijf als Amazon. Maar toch, ik heb het gevoel dat het merendeel ophoudt met nadenken zodra het op de NAS staat en er op vertrouwt dat daar in ieder geval niets mis mee kan gaan.

[Reactie gewijzigd door tiefschwarz op 4 augustus 2014 13:05]

drvinnie
@tiefschwarz • 4 augustus 2014 13:39

Ik sla inderdaad ook op via Amazon Glacier, een ideale "Als het huis afbrand" oplossing. Ik backup de belangrijkste zaken naar zowel USB als Glacier. Er kan ook worden ingebroken, daar zit je dan met je raid-set. Of liever gezegd, de dief neemt je raid-set ook mee.

harrytasker
@drvinnie • 4 augustus 2014 14:04

Klinkt interessant is niet al te duur. Zijn er verder nog opties buiten onedrive en googledrive? Ik bedoel europese aanbieders met redelijke prijzen?

Anoniem: 19339
@harrytasker • 4 augustus 2014 15:10

Klinkt interessant is niet al te duur. Zijn er verder nog opties buiten onedrive en googledrive? Ik bedoel europese aanbieders met redelijke prijzen?

Synology heeft een package voor het backuppen naar symform.com.

Ik heb er geen ervaring mee, maar het idee is dat deelnemers storage voor elkaar ter beschikking stellen. Je krijgt 10GB gratis, verder krijg je 1GB "in de cloud" voor elke 2GB die je beschikbaar stelt. Backups worden encrypted bij andere deelnemers geparkeerd, dus je kunt niets met de data van andere gebruikers die op jouw nas komt (je weet volgens mij niet eens van welke gebruikers je data krijgt).

[Reactie gewijzigd door Anoniem: 19339 op 4 augustus 2014 15:11]

s441558
@harrytasker • 4 augustus 2014 21:42

Strato biedt ook online opslag aan. Staat in Duitsland gehost, dus Europees. En ze hebben een back-up app voor op de Synology.

drvinnie
@harrytasker • 4 augustus 2014 14:38

Moet het een Europese aanbieder zijn? Je kunt bij http://aws.amazon.com/glacier/ eens naar de prijzenstructuur kijken. (Het wordt pas duur als je een restore wilt, is dus echt noodopslag voor langere duur). Ik vond het wel een gedoe om op de NAS in te stellen, het is echt puur op ontwikkelaars gericht.

harrytasker
@drvinnie • 4 augustus 2014 14:49

Hoeft niet persé een Europese aanbieder te zijn, maar lijkt me wel handig als ze hier servers hebben staan i.v.m. up en download. Daarnaast ben nik nu niet heel erg begaan met privacy, maar sinds de laatste tijd heb ik wat meer vertrouwen in Europese opslag in plaats van bv in de USA....

Dreamvoid
@harrytasker • 4 augustus 2014 20:25

Het werk eerder omgekeerd. Binnen de VS hebben de diensten zich nog aan allerlei wetten te houden, buiten de VS mogen ze hacken wat ze willen.

En bovendien, 1 werknemer van zo'n 100% Europese provider die vatbaar is voor wat persoonlijke druk van zo'n geheime dienst, en je data is alsnog ingezien.

RGAT
@harrytasker • 4 augustus 2014 15:16

Ik neem aan dat een Europees datacenter waar vele petabytes aan Europese data staan al een tijdje doelwit zal zijn van de NSA, bij Belgacom pakten ze de complete provider bijvoorbeeld

Wat betreft snelheid zal Google meer dan genoeg capaciteit bieden zolang ze ieder datacenter vullen met tienduizenden servers.

drvinnie
@harrytasker • 4 augustus 2014 15:28

Glacier heeft ook een server in Ierland staan wat dat betreft, maar up- en download is niet snel. Het is echt een specifiek product.

MacD
@drvinnie • 4 augustus 2014 17:22

Server in Ierland maakt niets uit: net een amerikaanse rechtszaak geweest waar de rechter heeft besloten dat de NSA/CIA/USA gewoon die data mag vorderen van het amerikaanse bedrijf wat de data in Ierland op de servers had staan.

kidde

@harrytasker • 4 augustus 2014 14:35

Tencent geeft je 10Tb gratis maar niet Europees. Eerst encrypten dan uploaden lijkt me verstandig.

http://www.techinasia.com...free-cloud-storage-hands/

[Reactie gewijzigd door kidde op 4 augustus 2014 14:36]

OverSoft
@harrytasker • 4 augustus 2014 14:41

Ik gebruik Crashplan, maar dat is niet Europees. (Wel onbeperkt en met toestemming + apps om je NAS te backuppen, er zijn maar weinig backup aanbieders die dat goedkeuren).

Heb nu 8TB gebackupped over mijn 6 PC's + NAS.

BasZer
@drvinnie • 4 augustus 2014 17:21

super goede tip! Ik zie dat synology er zelfs een addon voor heeft. Lekker makkelijk dus!

Malarky
@drvinnie • 5 augustus 2014 00:41

Ik had redelijk wat klanten op Glacier ivm met Synology NAS. Tot ik een keertje data wilde terughalen. Wat blijkt, je kunt niet per map/file terughalen, maar moet de gehele root folder restoren

Geen glacier meer voor mij op deze manier, gewoon weer Amazon S3, dat is tenminste een fatsoenlijke back-up.

drvinnie
@Malarky • 5 augustus 2014 09:53

Ja het is echt voor archivering, niet om vlot /voordelig te restoren. Voor langdurige 2e (3e) backup is het echter verreweg de goedkoopste oplossing.

antiekeradio
@tiefschwarz • 4 augustus 2014 13:17

belangrijk om te onthouden is dat een mirror niet hetzelfde als een backup. Bijvoorbeeld, in het geval waar het in dit nieuwsbericht om gaat zouden beide mirrors vernacheld worden door de crypto ransomware, en heb je dus alsnog niks.

stresstak
@antiekeradio • 4 augustus 2014 14:39

belangrijk om te onthouden is dat een mirror niet hetzelfde als een backup.

Een mirror is dat wat het is: een exacte kopie, veelal in real-time. Dus een bestand uitgeveegd = op beide uitgeveegd; een virus = op beide schijven het virus. Je wilt exact, je krijgt exact.

Ik denk dat er veel mensen zijn die hun NAS niet goed backuppen en wel aan het internet hebben gehangen. Want handig, overal bereikbaar.

FreshMaker
@stresstak • 4 augustus 2014 16:39

Ik denk dat voor heel veel gebruikers de NAS niet meer is dan een externe harde schijf, die toevallig overal beriekbaar is.

Er worden films / series en andere dingen opgezet, die ze overal willen kunnen benaderen, en de Synology is zeker zo populair omdat het ook nog nzb en torrent kan behandelen.

Hier idem, er staat een HP-N40 die alleen maar dat doet, server van bereikbare data.
Ik via bittorrentsync een copy naar 2 collega's van de foto en documenten folders, en krijg van hun datzelfde terug.
Persoonlijk heb ik eens per maand een copy-dag waar ik de nieuwe foto's op een externe schijf zet, maar dat is omdat Opa en Oma die ookwillen hebben ( en dus tegelijk een backup is )

Er word op Tweakers krampachtig geroepen dat raid geen backup is, en dat klopt, alleen hebben de meeste 'basic' gebruikers daar gewoon geen boodschap aan, zeker nu niet, met dit bericht.
( te laat, het kwaad is al geschied, dan is "backup" roepen net zoals benzine gebruiken op een brandje )

Yggdrasil

@tiefschwarz • 5 augustus 2014 09:42

Precies. Maak altijd off-site backups, met versies! Als je huis afbrandt of de bliksem inslaat kunnen al de schijven op je NAS zomaar kapot zijn.

Crashplan heeft ingebouwde ondersteuning voor Amazon Glacier cloud-opslag, maar daarmee heb ik geen ervaring.

Ik gebruik hier zelf Crashplan voor op mijn Syno DS213+, waarmee ik zo'n 300GB backup. Er zijn onofficiële packages die ik al jaren gebruik en betrouwbaar zijn gebleken. De packages zijn 'headless' dus zonder GUI. Je bedient deze met de Crashplan client vanaf je PC of laptop door een eenvoudige aanpassing in een config-bestand. Recovery kan op diverse manieren. Versiebeheer, versleuteling, deduplicatie, etc., zijn standaard aanwezig. Volgens mij een nette en zeer betaalbare oplossing die automatisch zijn werk doet.

init6
@CAPSLOCK2000 • 4 augustus 2014 14:53

Op Synology software gebied bieden diverse partijen tal van backup mogelijkheden aan, zelf heb ik een dagelijkse backup draaien naar een 2T USB drive. Je zal maar een paar powerfailures hebben die net je disks kapot maken, en dan zit je. Voor een Raid5 wat synology over het algemeen aanbied ben je na 2? defecte disks al de sjaak.

Ik vraag mij af of de synology nog wel doorgaat het zijn dagelijkse taken, zou vervelend zijn om je synology te restoren met encrypte data vanuit je backup.

Als het probleem in de ssh hoek gezocht kan worden denk ik eerder aan bruteforce password attacks, het is verbazingwekkend hoeveel mensen nog 1q2w3e4r4t5y als wachtwoord hebben.

RGAT
@init6 • 4 augustus 2014 15:17

Die 2TB USB drive is neem ik aan ook niet bestand tegen stroompieken die je Synology om zeep helpen?

init6
@RGAT • 4 augustus 2014 20:25

Die 2TB disk word op 1 moment van de dag beschreven, voor de rest staat hij idle. Maar inderdaad ook die disk kan kapot door een stroom storing. De kans echter dat er niet 2 maar 3 disks kapot gaan is kleiner dan dat er 2 disks stuk gaan bij een stroomstoring. (Heb met een storagebak meegemaakt dat 2 disks in een raid6 setup stuk gingen bij een stroomstoring.)

Anoniem: 126717
@CAPSLOCK2000 • 4 augustus 2014 12:54

Volledig correct, ik ben daar ook schuldig aan. Althans, deels. Ik heb een externe schijf waar een groot deel van mijn bestanden op staan, maar niet alles. Nu moet ik dus een grotere kopen, rap, want die schijf is maar 2 TB en dat is te klein.

Gelukkig komt Synology erg snel met updates, ik zou niet graag een deel van mijn fotos kwijtraken.

@CMD-Snake: Ik heb het over 2.5 TB aan fotos.

[Reactie gewijzigd door Anoniem: 126717 op 4 augustus 2014 13:11]

CMD-Snake
@Anoniem: 126717 • 4 augustus 2014 13:06

Volledig correct, ik ben daar ook schuldig aan. Althans, deels. Ik heb een externe schijf waar een groot deel van mijn bestanden op staan, maar niet alles. Nu moet ik dus een grotere kopen, rap, want die schijf is maar 2 TB en dat is te klein.

Gelukkig komt Synology erg snel met updates, ik zou niet graag een deel van mijn fotos kwijtraken.

Ik zou gewoon een onderscheid hier maken. Zaken als foto's etc wil je op je USB schijf hebben staan. Maar moet je, bij wijze van spreken, ook al die afleveringen Game of Thrones op je externe schijf zetten? Ik zou daarin keuzes maken. Niet alles hoeft mee voor je off-line back-up. Enkel de dingen die echt tellen.

misterbennie
@CMD-Snake • 4 augustus 2014 15:16

Je hebt daar volgens mij wel gelijk in.
Ik heb zelf een NAS van 12 TB waarvan ik slechts (Max?) 50GB naar een backup systeem zet.
Aan lokale storage doe ik al tijden niet meer. Alles staat op de NAS.

Indien ik films of MP3tjes kwijtraak, baal ik even en ga weer vrolijk door.
Indien in al mijn persoonlijke data zoals foto's, brieven etc kwijtraak baal ik heel wat langer.

Edit: Tikfoutje

[Reactie gewijzigd door misterbennie op 4 augustus 2014 15:20]

Qualixo
4 augustus 2014 12:54

Yes ik lees ook dat probleem alleen op v4.3 word gemeld?
Er zit blijkbaar ook een timer op, niet binnen 7 dagen betaald is data gone..

eventuele bypass?:
http://forum.synology.com...c.php?f=3&t=88716#p333751

Ik heb wel mijn syno naar buiten openstaan maar alleen op https met certifcaat.
Ook bij 3x foute login ben je permanent blocked.
SSH en telnet standaard ook uit.
Ben toch wel geinterreseerd hoe de "hack" tot stand komt.

Wat ook handig is 2 step verification aan te zetten op admin account:
http://trantor.synology.m...-step-verification-login/

[Reactie gewijzigd door Qualixo op 4 augustus 2014 14:40]

arjankoole
@Qualixo • 4 augustus 2014 12:57

Yes ik lees ook dat probleem alleen op v4.3 word gemeld?

verklaart ook waarom ik vorige week een mail kreeg van Synology over kritieke updates in DSM 4.3.

Gelukkig draai ik al lang en breed 5.0, en update ik zodra er een update beschikbaar is.

roland83
@arjankoole • 4 augustus 2014 13:52

Ja, die mail kreeg ik ook. Ik snapte er niks van, ik draai al 5 sinds de eerste beta's (niet dat dat nou ultraveilig is, maar dat terzijde

).

Het viel mij ook al op dat vooral 4.3 wordt gemeld in de fora.
@Qualixo: waar heb je gevonden dat er een timer op zit?

Speedfightserv
@Qualixo • 4 augustus 2014 13:36

ik heb mensen voorbij zien komen met DSM 5.0 update 2 die getroffen waren. (op forums etc.)

Weliswaar is update 3 al uit maar het is dus niet zo dat mensen onder de versie 5 alleen getroffen kunnen worden.

Qualixo
@Speedfightserv • 4 augustus 2014 13:40

Tja blijft ook giswerk nu zolang niet de manier van infectie boven tafel is

FreshMaker
@Qualixo • 4 augustus 2014 21:33

Yes ik lees ook dat probleem alleen op v4.3 word gemeld?
Er zit blijkbaar ook een timer op, niet binnen 7 dagen betaald is data gone..

Niet "gone" ...
De prijs wordt verdubbelt ...

nanoChip
4 augustus 2014 12:58

Het zou gaan om verouderde systemen die nog draaien op 4.x. Zover bekend zijn 5.x versies nog niet besmet.

edit: Toegang zou via poort 21 (FTP) en poort 23 (Telnet) verkregen zijn. Andere geven aan dat deze poorten juist weer dicht stonden. Wat opvalt is dat bij ieder slachtoffer poort 5000 open stond.
Het is dus raadzaam om deze tijdelijk even te sluiten.

edit II: Hier een fix zodat je weer bij DSM kan komen (je bestanden blijven wel versleuteld!)

Here is how you do it:
1. Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.

[Reactie gewijzigd door nanoChip op 4 augustus 2014 13:18]

Saeverix
@nanoChip • 4 augustus 2014 13:11

Sowieso dom om die services op de standaard poort naar buiten open te zetten. Met Port-forwarding van mijn router maak ik er altijd een Random poort van. Je moet het ze niet te makkelijk maken...

afterburn
@Saeverix • 4 augustus 2014 13:25

Een portscan over alle 65k poorten duurt maar een paar minuten en dan weet je precies wat open staat, en belangrijker, wat er achter draait. Volkomen nutteloos dus, zo'n random poort.

Zaken als FTP en Telnet die al jaren bewezen onveilig en kwetsbaar zijn, horen tegenwoordig gewoon niet aan te staan op systemen, laat staan exposed naar het internet. Punt. Net als alle andere services die je niet perse bewust aan wilt hebben staan.

Als je dan al remote toegang nodig hebt, gebruik dan ssh.

Saeverix
@afterburn • 4 augustus 2014 13:41

Had het beter kunnen verwoorden als: "Indien je zonodig die ouderwetse services wilt gebruiken doe het dan op z'n minst op andere poort dan de standaard." Ik weet dat het je niet veilig stelt tegen gevaar, maar je doet net even iets meer moeite. Zoiets als "In plaats van de deur open te zetten doe je er een goedkoop Action slotje op", het haalt niet veel uit maar het beter als niets.

KeiFront
@afterburn • 4 augustus 2014 15:40

Two factor authentication helpt maar is niet de holy grail, als je admin interface een exploit bevat gaat two factor authentication niet helpen. Bijvoorbeeld een man in the middle attack of een exploit in de two factor authentication implementation maken je nas ook al kwetsbaar.

Two factor biedt enkel een extra security layer (helpt vooral tegen brute force attacks, etc). Voeg gewoon extra layers toe om je te wapenen, bijvoorbeeld geen default username (root, admin) of je admininterface op een non-default poort draaien, two factor auth, etc.

Mijn nas is bijvoorbeeld enkel via VPN te benaderen (beveiligd met certificaten) en dan nog via https op een non-default poort met een non-default username. Never trust the dirty internet

borft
@Saeverix • 4 augustus 2014 13:26

maar dat is natuurlijk iets dat met een simpele portscan te vinden is. Het lijkt me dat je nooit ftp en telnet naar internet openzet, zonder encryptie is het super onveilig. Verder vraag ik me af waarom je ssh access op je NAS vanaf het internet nodig zou hebben, lijkt me dat die porten dus ook wel dicht kunnen!

Als je dan per se vanaf buiten je eigen netwerk erbij wil kunnen, gebruik dan een VPN tunnel.

Jasper Janssen
@borft • 4 augustus 2014 17:07

An sich is het open hebben staan van telnet en ftp niet onveilig, wat onveilig is is die diensten daadwerkelijk gebruiken (omdat je user/pass plaintext over the wire gaat en kan worden afgeluisterd). Maar puur de user/pass prompt is geen gigantisch grotere attack vector alleen omdat ie zonder crypto aan het net hangt.

borft
@Jasper Janssen • 4 augustus 2014 19:52

nja, je hebt gelijk dat ftp en telnet niet per se onveilig zijn. Echter, het hebben openstaan van porten van services die je niet gebruikt, is wel een security risico, er zijn namelijk meer manieren om binnen tekomen, behalve username/password sniffen. Er zijn in het verleden genoeg incidenten geweest met ftp servers die niet helemaal goed in elkaar bleken te zitten.

Mat mij betreft is het een best practice om alleen services bereikbaar te maken die je echt nodig hebt en ook daadwerkelijk gebruikt.

Triblade_8472
@Saeverix • 4 augustus 2014 13:19

Security by obscurity werkt ook niet hoor. Portscanner en gaan. Ook al blok je portscans, dan worden er gewoon meerdere IPs tegenaan gegooit.

Je moet de two-factor authentication gebruiken, dát werkt. Of anders van binnenuit je netwerk (bijvoorbeeld via een thuiscomputer/mstsc of een linux machine/putty) FTP en Telnetten naar de NAS.

plizz
@Saeverix • 4 augustus 2014 13:28

Het is dom om telnet te gebruiken i.p.v. ssh. Je username en password is dan makkelijk te sniffen.

donny007
@Saeverix • 4 augustus 2014 18:33

Beter is om niets van buitenaf toegankelijk te maken, als je er bij moet kun je een VPN-verbinding opzetten.

Ook met random poorten is het een kwestie van seconden om erachter te komen welke er open staan.

NiGeLaToR

4 augustus 2014 13:05

Check hier het forum-topic over dit onderwerp met voorstellen hoe je je minder vatbaar kunt maken voor zo'n gijzeling:

http://gathering.tweakers.net/forum/list_message/42658343

Iets doet me vermoeden dat als je kwetsbaar was, je dit al had geweten c.q. slachtoffer was geworden. Geen kleine actie gezien de hoeveelheid meldingen.

Opties:
- externe bereikbaarheid uitzetten
- backup maken, die niet online benaderbaar is c.q. vanaf de syno bereikbaar is
- userrechten scheiden, admin niet overal voor gebruiken / 2 factor authenticatie aanzetten
- onnodige dienten uitzetten
- <vul zelf aan .. >

En in het ergste geval, je syno even uitzetten tot duidelijk is waar de hackers binnen komen.

X-Kiwi
@NiGeLaToR • 4 augustus 2014 14:10

Heb dat laatste maar gedaan: uit.

Zit op kantoor en hoor opeens iets van de problemen.

Ben zo'n typische gebruiker denk ik: hardwarematig aansluiten geen probleem, maar zodra termen als DNS, FTP etc voorbij komen heb ik geen flauw idee.

Mijn maand oude Synology staat vrolijk aan, quickconnect staat aan, poorten 80 en 5000 staan open (geen idee of ik dat zelf via EZ-internet heb gedaan, want heb er flink in gerommeld toen het niet werkte), gebruik enkelvoudige login met de Admin user en....ben niet bij qua updates (5.0 #2).

ShadowShape
4 augustus 2014 13:50

Er zijn een aantal dingen die je zelf kunt doen om je NAS veiliger te maken: https://www.synology.com/en-global/support/tutorials/478

Ireyon
4 augustus 2014 14:18

Eenvoudige tips om je NAS te beschermen:
- Zet, net als je bij Windows zou moeten doen, het standaard administrator account uit. Maak je eigen user aan, geef hem admin rechten en log in met dit account. Nu kan je met dit account het ingebouwde admin account uitschakelen. Mocht je ooit het wachtwoord vergeten zijn kan je de Synology resetten met een paperclip. Je data blijft bewaard, het admin account wordt gereset en aangezet en DHCP wordt ingeschakeld. Ben je hem kwijt in het netwerk heb je Synology Web Assistant nodig om hem weer te vinden, of download Synology Assistant.
- Je kan tweevoudige authenticatie aanzetten door gebruik te maken van Google Authenticator (of voor iOS) of van Windows Authenticator. Je moet naast je wachtwoord een tokencode gebruiken om in te loggen. In DSM kan je tweezijdige authenticatie als volgt aanzetten: http://trantor.synology.m...-step-verification-login/
- Zet auto-IP blokkade aan om brute force in te dammen: https://www.synology.com/en-global/support/tutorials/478#t4

Nog lang niet waterdicht, maar je moet behoorlijk wat moeite doen.

Dunnus
4 augustus 2014 19:56

Er is inmiddels een officiële eerste reactie op het Synology forum:

http://forum.synology.com...ewtopic.php?f=108&t=88770.

De boodschap voor mensen bij wie het systeem geïnfecteerd is:
1) Zet je DiskStation uit zodat er niet meer bestanden worden versleuteld.
2) Neem contact op met het Support Team.

Er is helaas nog geen officiële mededeling geweest voor mensen die nog 'schoon' zijn, dus tot die tijd blijft mijn NAS uit.

Dunnus
5 augustus 2014 11:57

Via de support page van Synology wordt er voor gebruikers die niet geïnfecteerd zijn het volgende aangeraden:

quote: Synology Support
SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable.

Bron: https://myds.synology.com/support/support_form.php?lang=us

1 2 3 ... 7 Volgende

Op dit item kan niet meer gereageerd worden.

Ransomware richt zich op Synology-opslagsystemen

Lees meer

IT Banen

Reacties (267)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden