F-Secure helpt slachtoffers SynoLocker bestanden te ontsleutelen

Het Finse beveiligingsbedrijf F-Secure heeft software uitgebracht waarmee bestanden die door de SynoLocker-ransomware zijn versleuteld, kunnen worden teruggehaald. Daarvoor moet wel eerst losgeld worden betaald aan de cybercriminelen, omdat de ontsleutelcode nodig is.

SynoLocker versleutelt heimelijk bestanden op een Synology-nas. Vervolgens krijgt de gebruiker een waarschuwing te zien, waarin de criminelen vragen om losgeld. Ze maken daarbij een valse belofte. "In de meeste gevallen die wij hebben onderzocht, werkte het ontsleutelen niet of was de ontsleutelcode incorrect", zo stelt het Finse beveiligingsbedrijf.

Daarmee is de hoop op het terugkrijgen van de data overigens niet vervlogen, zegt F-Secure. "Met de juiste ontsleutelcode is het nog steeds mogelijk om de data te herstellen. Om dit mogelijk te maken, hebben wij een Pythonscript vrijgegeven dat kan worden gebruikt voor het ontsleutelen van de bestanden."

Volgens de Finnen maakt het script Synounlocker, dat is vrijgegeven op GitHub, geen gebruik van bruteforce en kraakt het ook niet de encryptie van de ransomware. "Het werkt alleen als de juiste ontsleutelcode bekend is", zo is er te lezen in de blogpost.

De eerste gevallen van SynoLocker werden begin deze maand ontdekt. Gebruikers klaagden dat hun nas was getroffen door de malware, waarbij ze honderden euro's moesten betalen om weer bij hun bestanden te komen. De werkwijze doet denken aan CryptoLocker, eveneens beruchte ransomware die veel gebruikers heeft getroffen.

Door Yoeri Nijs

Nieuwsposter

Feedback • 22-08-2014 17:56
94 • submitter: nanoChip

22-08-2014 • 17:56

94 Linkedin

Submitter: nanoChip

Lees meer

Synology DiskStation DS213j

geen prijs bekend

Score: 4.5

Synology DiskStation DS211

geen prijs bekend

Score: 4.5

Gemeente Lochem voor verkiezingen getroffen door ransomware Nieuws van 17 maart 2015
Vrije Universiteit Amsterdam getroffen door cryptolocker-virus Nieuws van 9 maart 2015
Microsoft waarschuwt voor nieuwe versie CryptoWall-ransomware Nieuws van 15 januari 2015
Nieuwe ransomware laat gebruiker één bestand 'gratis' ontsleutelen Nieuws van 16 november 2014
Synology biedt tot 48TB opslag met DiskStation DS1815+ Nieuws van 6 november 2014
Fox-IT waarschuwt voor verspreiding Torrentlocker-malware in Nederland Nieuws van 15 oktober 2014
Synology brengt bèta uit van DiskStation Manager 5.1 Nieuws van 23 september 2014
Specificaties van Synology DS415+nas komen online Nieuws van 17 september 2014
Synology komt met single-bay DS115j-nas Nieuws van 4 september 2014
SynoLocker-ransomware geeft 5500 slachtoffers deadline Nieuws van 14 augustus 2014
Synology: ransomware treft alleen ongepatchte systemen Nieuws van 6 augustus 2014
Ransomware richt zich op Synology-opslagsystemen Nieuws van 4 augustus 2014
Synology brengt DS415play op de markt Nieuws van 16 juli 2014
Gekaapte nas-systemen leveren half miljoen euro aan dogecoins op Nieuws van 18 juni 2014
Eset: 'Nieuwe Android-ransomware kan bestanden sd-kaart versleutelen' Nieuws van 6 juni 2014
Synology toont DS415play-mediacenter en DS215air-nas Nieuws van 5 juni 2014
Organisaties wereldwijd brengen botnet voor Cryptolocker-ransomware slag toe Nieuws van 3 juni 2014
Synology dicht lek dat stiekem minen van bitcoins op nas mogelijk maakte Nieuws van 18 februari 2014
Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins Nieuws van 11 februari 2014
Meer producten en artikelen
Beveiliging en antivirus Netwerkopslag Netwerk en systeembeheer F-Secure Synology DiskStation

Reacties (94)

-Moderatie-faq
94
93
82
14
0
4
Wijzig sortering
Bor
24 augustus 2014 10:59
Door te betalen houdt je deze vorm van malware alleen maar in stand. De beste manier om dit de nek om te draaien is wanneer mensen gewoonweg niet betalen maar hun bestanden zelf terughalen van een goede backup. Dan vervalt de lucrativiteit in een keer voor de makers en uitbuiters van dit soort malware.
thedjdoorn
22 augustus 2014 18:04
Misschien leuk als er ook een alternatief komt dat wél bruteforce gebruikt, aangezien mensen hun nas vaak toch al hebben aanstaan, dus dat is niet zo'n probleem. Ik denk dat mensen ook liever een paar dagen wachten ipv een paar 100 euro te dokken...
i7x
@thedjdoorn22 augustus 2014 18:10
Bruteforce is geen oplossing. Eigenlijk is er helemaal geen oplossing, behalve dan het betalen van het geld natuurlijk (als je geluk hebt).

En natuurlijk het in de toekomst beter beveiligen van deze nas systemen. Zeer amateuristisch dat Synology zo'n zooitje heeft gemaakt van de beveiliging.
jctjepkema
@i7x22 augustus 2014 18:17
Maar het lek was in december al gedicht, dit is eerder de fout van de gebruikers die nog verouderde software draaiden..
KeiFront
@i7x22 augustus 2014 18:27
Kuch kuch ik denk dat je bedoeld dat de amateuristische gebruikers er een zooitje van maken door een ongepatchte synology server met poorten open naar het internet te gebruiken. Security bug was al 6 maanden lang gefixed!

"This issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013."
stresstak
@i7x22 augustus 2014 21:38
Zeer amateuristisch dat Synology zo'n zooitje heeft gemaakt van de beveiliging.
En professioneel dat ze het reeds in december hadden opgelost. De kneus die dit is overkomen mag zich schamen en zn backup terugzetten.
Anoniem: 126717
@i7x22 augustus 2014 18:15
En natuurlijk het in de toekomst beter beveiligen van deze nas systemen. Zeer amateuristisch dat Synology zo'n zooitje heeft gemaakt van de beveiliging.
Je bedoeld te zeggen dat de gebruikers uitzonderlijk dom waren om niet te updaten? Je krijgt zelfs mail als een update beschikbaar is!
PhilipsFan
@Anoniem: 12671722 augustus 2014 22:57
Hier ben ik het niet mee eens. Zo'n bug had er nooit ofte nimmer in mogen zitten. Je verkoopt een produkt dat permanent met internet verbonden is, dan mogen je klanten verwachten dat het ook veilig is. En niet dat je om de haverklap moet updaten. Updaten mag voor Tweakers dan een vanzelfsprekendheid zijn, voor normale mensen is het dat beslist niet.

Ik beschouw mezelf als een doorgewinterde Tweaker maar ik begin er zo langzaamaan knettergek van de worden met 4 windows computers, een Linux bak en tablets, telefoons etc. En al die ellendige software die je maar moet blijven updaten. Adobe reader, Flash, webbrowsers. Echt, je hebt er bijna een dagtaak aan. En dan moet je dat ook gaan doen met apparaten als NAS, TV's, spelcomputers, mediaspelers... Normale mensen zouden daar toch helemaal geschift van worden.

Waar ik het wel mee eens ben is dat je je data moet backuppen. Ook als je een NAS hebt. Veel mensen gebruiken raid0 want dan heb je meer ruimte. Maar je bent wel alles kwijt als 1 van de schijven het begeeft. En wat te doen als niet je schijven, maar je NAS zelf kaduuk gaat? Kun je dan je schijven zo overzetten in een nieuwe NAS? Hoe kom je na een aantal jaar aan een NAS van precies hetzelfde type? Of kun je de losse schijven van een raid uitlezen op bv een Windows pc? Allemaal dingen die veel te weinig mensen zich afvragen en dus vroeg of laat met de gebakken peren zitten. Echt, een extra externe harddisk kost je misschien 50 euro. Koop er een paar, zet kopieen van je foto's erop en dump ze bij vrienden, familie etc. Dan ben je pas echt veilig. Weliswaar is dat ook een boel werk, maar dat doe je tenminste nog ergens voor.
Arfman
@PhilipsFan23 augustus 2014 08:10
Als iets aan het internet hangt, moet je het up to date houden. Enorm first world problem van ons nu bijna alles connected is met elkaar. Synology bracht afgelopen december (8 maand geleden!) al een patch uit hiervoor, je maakt mij niet wijs dat je in 8 maanden niet 5 minuten tijd hebt gehad om het update icoontje aan te klikken. Kwatsch.
PhilipsFan
@Arfman23 augustus 2014 12:28
Je begrijpt mijn punt niet. Je benadert het probleem vanuit het oogpunt van een Tweaker/software ontwikkelaar. Tuurlijk is het een illusie om 100% veilige software te schrijven, maar wij 'computerminded' mensen hebben blijkbaar geaccepteerd dat er halfbakken produkten verkocht mogen worden. Zo'n produkt is blijkbaar onvoldoende getest. En als de gevolgen zo groot kunnen zijn dat een gebruiker al z'n data kwijt kan raken, dan had zo'n produkt dus niet mogen worden verkocht.

Het gaat niet om de tijd die het kost om te updaten (nou ja, wel een beetje, als het zoveel apparaten en software betreft), het gaat erom dat normale mensen hier gewoon niet om denken. Moet ik m'n ouders gaan uitleggen dat ze af en toe hun NAS moeten 'updaten'? Ze hebben al moeite met een attachment aan een mail hangen. En wat als er dan een valse e-mail binnenkomt dat ergens een update voor is? Van mij hebben ze dus gehoord dat ze moeten updaten, maar ze weten ook dat ze niet zomaar elke e-mail moeten geloven...

Je zou het van een auto ook niet accepteren dat ie op een bepaald onbekend moment zomaar door derden kan worden overgenomen, waarbij alle inzittenden gedood worden. Dit is precies hetzelfde.

[Reactie gewijzigd door PhilipsFan op 23 augustus 2014 21:13]

Arfman
@PhilipsFan23 augustus 2014 13:30
Toen DSM 4.2 uitkwam (want dat is de versie waar we het over hebben) was de attack vector die SynoLocker gebruikte nog niet eens bekend. Niks halfbakken aan, ik wil wedden dat in DSM 5.x ook kwetsbaarheden zitten, net zoals in Apple iOS/Android/Windows Server 2012R2 en welk OS dan ook.

En je tweede alinea beschrijft precies het probleem m.i.
Je ouders kunnen niet een software patch installeren maar willen blijkbaar wel een NAS met al hun gegevens aan het internet hangen. Dat is een paradox. Dat kan niet. Als je iets aan het internet wilt hangen zul je er voor moeten zorgen, net zoals dat je in je auto olie moet gooien. Iets aan het internet hangen = onderhoud plegen. Kun/wil je dat niet, hang dan niks aan het internet.

Je derde alinea verwacht ik binnen nu en twee jaar. Er komen steeds meer keyless entry systemen en in tegenstelling tot een NAS kun je een auto niet zomaar zelf updaten. Het is wachten tot er een exploit bekend is en actief wordt misbruikt, en dan is dus inderdaad je auto zomaar overgenomen door derden.
McVirusS
@PhilipsFan23 augustus 2014 01:02
100% veilige software is een illusie. Wees blij dat er updates uitkomen zodra er gaten zijn ontdekt.

Je kan ook je NAS extern backuppen naar bijvoorbeeld Amazon of CrashPlan.
Argantonis
@thedjdoorn22 augustus 2014 18:08
Misschien leuk als er ook een alternatief komt dat wél bruteforce gebruikt, aangezien mensen hun nas vaak toch al hebben aanstaan, dus dat is niet zo'n probleem. Ik denk dat mensen ook liever een paar dagen wachten ipv een paar 100 euro te dokken...
Als ze ook maar enigszins fatsoenlijke encryptie doen dan ben je wel een paar miljard jaar verder met een enkele pc. Succes.
Jism
@Argantonis22 augustus 2014 19:09
Nas emulator op PC en met wat slimme truucs de rekenkracht van grafische kaarten inzetten. DIe kunnen dat honderd keren sneller dan een X86 CPU.
the-dark-force
@Jism22 augustus 2014 20:20
Of gewoon je hdd's op de pc aansluiten en een backup terugzetten ?
heb je die niet, dan vond je de data dus ook niets waard...

daarnaast wens ik je veel succes met ontsleutelen, waarschijnlijk ben je meer aan stroom kwijt dan ze aan losgeld vragen :p
zelfs als heel google z'n capaciteit zou inzetten om een echt random key van 8+karakters (hoofdletters, speciale tekens e.d.) te kraken zouden ze langer bezig zijn als dat wij leven... en wat was de keylength van dit encryptie grapje ?

Met een beetje geluk neemt microsoft/nsa binnenkort de c&c server over en zijn ze zo vriendelijk de keys vrij te geven maar een beetje tweaker heeft dan allang de data van z'n backup overgekopiëerd.

losgeld betalen is nooit een optie (levert t niets op ? dan stoppen ze er in no-time mee...)
kun je beter de versleutelde data opslaan en hopen dat er in de toekomst wat mee gedaan kan worden of weggooien en die 100,- besteden aan een extra backup hdd (is toch weer een 3tb wd red ;))
of je stuurt die 100,- naar mij dan wil ik ook wel een niet werkende key sturen :+
Forsakeneyes
@the-dark-force22 augustus 2014 22:28
Ik vind het zo makkelijk om te stellen dat je data je niks waard is, omdat je van de data op je NAS geen backup hebt. Afhankelijk van het gebruik is je NAS het backup-apparaat, in RAID-1 voor redundancy. Dan kun je wel zeggen dat die mensen ook maar een externe backup op bijvoorbeeld Amazon Glacier hadden moeten hebben, maar ja, waar houdt het op?
indigo79
@Forsakeneyes22 augustus 2014 22:51
Als je NAS je backup is, impliceert dat dat je nog een origineel hebt, en is er dus geen probleem. Als het de enige plaats is waar je data stond, was het geen backup. En een RAID-1 (of andere RAID) is ook geen backup. Het biedt een zeer snelle recovery bij bepaalde hardware-fouten, maar het biedt geen enkele bescherming tegen dit soort problemen (of fouten van gebruikers of overspanning of ...).

Dus ja, je moet nog ergens anders een backup hebben. En laten we eerlijk zijn, met een externe HDD van 1TB komen de meeste mensen al een heel eind wat betreft de echt belangrijke data (en ik vermoed dat de meeste anderen wel al een serieus backup-plan hebben).
Rolfie
@thedjdoorn22 augustus 2014 18:06
Volgens mij is het met de encryptie key vs CPU power op een NAS eerder maanden / jaren met een bruteforce.
i7x
@Rolfie22 augustus 2014 18:11
Ga er maar vanuit dat de aarde al is vergaan eer je daar mee klaarbent.
mrc4nl
@i7x22 augustus 2014 18:57
...Als je de pc niet upgraded, de proccesorkracht neemt nog altijd toe, en als de encryptiemethode met de tijd niet mee veranderd dan is het ontsleutelen vaak nog binnen "handbereik"

[Reactie gewijzigd door mrc4nl op 23 augustus 2014 01:22]

chopper88
@mrc4nl22 augustus 2014 19:48
Binnen handbereik??

http://crypto.stackexchan...brute-force-rsa/3044#3044

Eerder onmogelijk.
Aardwolf
@chopper8822 augustus 2014 22:12
Het wordt eens tijd dat ze die berekeningen mogelijk maken voor op de GPU, tig keer sneller. En ja, dan ga je me natuurlijk nog zeggen dat het veel te lang duurt. Nou ja, dan maken we er toch een GRID computing project van. Met een paar duizend PetaFLOPS moet je toch ergens kunnen komen op zichtbare termijn. :+

Kan vervolgens een losse gebouwde database met alle mogelijke sleutels die je op een handige manier niet simpelweg worden ingeladen, waar dan automagisch de goede decryptiesleutel uitrolt. Een soort van rainbow table maar dan anders?

Dit vond ik overigens wel een interessant stuk. Enige rare in dat stuk vond ik dan wel dat ze meten bij het decrypten. Stel dat het grootschalig kan EN bij het encrypten (wat lijkt me vergelijkbare geluidjes moet geven), dan moet het toch relatief simpel te benaderen zijn. Of toch niet? hmm
chopper88
@Aardwolf22 augustus 2014 23:41
Die uitleg gaat over het theoretische geval dat ieder atoom in het zichtbare universum een CPU voorstelt, en specifiek over brute force he. Dat gaat met alle GPU's ter wereld in een grid dus nog bij lange na niets worden ;)

Daarnaast is het gebruik van rainbow tables voor priemgetallen niet echt bruikbaar vanwege het gigantische aantal hashes. Voor 512bit is er al een groot veelvoud nodig van alle op dit moment beschikbare opslag in de hele wereld.

"For n = 512 the number of primes required for an exhaustive list is 1.885×10151. If we can store every prime in a 512-bit entry, that's 1.207×10153 bytes, which is 132 orders of magnitude more than we have disk storage capacity in the world."

http://security.stackexch...concept-for-prime-numbers

tevens gaan beide links uit van 512 bit, laat staan 2048 bit.

Als alle GPU's + CPU's + storage op de wereld dedicated aan deze taak gaan werken, is het nog zeer onwaarschijnlijk dat dit gaat lukken via brute force of rainbow tables in de nabije of zelfs verre toekomst.

Helaas is het voordeel dat men bijv. bij RSA dermate goed na heeft gedacht over dit soort zaken tevens het nadeel in dit soort situaties.

[Reactie gewijzigd door chopper88 op 22 augustus 2014 23:43]

Atomsk
@chopper8823 augustus 2014 10:35
Inderdaad. Denk dat velen hier zichzelf voor de gek houden door nieuwsberichten over beveiliging X van apparaat Y die is gekraakt. "Alles is te kraken" wordt er dan standaard bij de reacties opgemerkt, maar dat is dus gewoonweg niet zo. Althans niet binnen je eigen eigen levensduur.
Sendy
@mrc4nl22 augustus 2014 20:28
Inderdaad. Als je je geencrypte Syno aan het web laat hangen heb je vroeg of laat een tweede encryptielaag eroverheen. Maar wees niet bang, de orde van grootte van de tijd benodigd voor decryptie hoeft niet per se te stijgen. Het is sowieso niet haalbaar binnen een mensenleven.
CyBeRSPiN
@thedjdoorn22 augustus 2014 18:05
Brute-forcen van een 2048 bits key gaat wel even duren.. Zegmaar zeker een paar eeuwen op een nas..
TunefulDJ_Mike
@CyBeRSPiN22 augustus 2014 18:35
Gelukkig is een een variant van DSM voor x86 cpu's waardoor je DMS op je Desktop kan draaien met een stuk meer CPU power, dan alsnog gaat het nog even duren maar goed.
sjongenelen
@thedjdoorn22 augustus 2014 18:05
Ja maar dat kan wel even duren :Y)
mjl
22 augustus 2014 18:04
Ik dacht even dat ze de sleutels opgekocht hadden en een betaalde service/software aanbieden om de files te unlocken.
FreshMaker
@mjl22 augustus 2014 18:10
Sterker nog, ik dacht dat ze een algoritme hadden ontwikkeld om iedereen (gratis) te helpen.

Nu doen ze niet meer dan het handige neefje om de hoek, alleen omslachtiger.
De kop had net zo goed kunnen zijn "mjl helpt slachtoffers Synolocker" ..
mjl
@FreshMaker25 augustus 2014 09:28
Ja hoor, voor 15% extra regel ik de boel wel (geen garantie, als ik het zo lees kloppen niet alle codes...).
VortexD
22 augustus 2014 18:01
Hoe is dit een oplossing? Je moet nog steeds de unlock code afkopen door het losgeld te betalen. En zij zeggen er zelf bij dat ze vaak valse codes geven?!
downcom
@VortexD22 augustus 2014 18:48
Ik geloof er nog steeds helemaal niets van dat de bestanden echt gencrypt zijn, dat duurt op een gemiddelde nas van synology toch zeker 2 dagen (per terabyte). En een beetje gebruiker gaat dit merken naar verloop van tijd.

Een oplossing als je echt niet meer op je nas komt, is via een virtuele linux machine de hardeschijven uit te lezen (Synology Hybrid indeling), te back uppen en de nas opnieuw te installeren met DSM 5.0 (waardoor de nas niet meer vatbaar is).
Croga
@downcom22 augustus 2014 19:54
Of jij het gelooft of niet is niet zo heel interessant. Synology, F-Secure en de getroffen gebruikers stellen allemaal dat de bestanden encrypted zijn. Ik persoonlijk (en ik gok velen met mij) hechten daar meer waarde aan dan aan wat jij gelooft of niet.
MissileHugger
@downcom22 augustus 2014 18:55
Het is niet bekend hoelang de software al aanwezig was op de NAS systemen (voordat de melding in beeld kwam).
Hiernaast is niet alle data, maar slechts een gedeelte encrypted (in de gevallen die ik heb gezien in ieder geval).
Afhankelijk van het type, tikt de processor wel eens vaker de 100% aan. Het proces heette synosync, ook niet echt een gekke naam.

[Reactie gewijzigd door MissileHugger op 22 augustus 2014 18:56]

bbob
@VortexD22 augustus 2014 18:18
Kip en het ei verhaal:

"Het werkt alleen als de juiste ontsleutelcode bekend is", zo is er te lezen in de blogpost.

Je betaald en grabbelton, je hebt een kans van 1 op ? om misschien de juist code te krijgen. zo niet helaas pindakaas.

F-Secure doet dus eigenlijk niet echt iets.
mrc4nl
@bbob22 augustus 2014 18:53
Het is ransomware, dus gaat om losgeld. Maar om daarna als nog de code toch achter te houden lijkt mij stug. zo werkt ransomware niet. Als je dat toch doet heb je te maken met een ander geval van oplichting.
gassie123
@mrc4nl22 augustus 2014 19:12
De diefen geven niet om jouw data en meestal doen ze het via tor of iets dergelijks dus traceren is ook lastig.

Dus veel die hopen gewoon dat je betaald en ze gaan echt geen moeite in steken om jouw dan ook echt de decryptiesleutel te geven.

Ten minste zo begrijp ik het ransomware verhaal.
mrc4nl
@gassie12322 augustus 2014 19:28
Maar als je data je lief is wat moet je anders?
als de "service" achter synolocker niet meer actief is dan kom je ook niet meer zomaar aan de sleutel.

http://gathering.tweakers...message/42674781#42674781
zegt dat ie heeft betaald en dat het iig werkt
DeBierVampier
@mrc4nl22 augustus 2014 20:17
Nog niet zo heel lang geleden werd bekend dat de ontvoerders van de Amerikaanse journalist Foley losgeld hadden gevraagd. Weet je waarom dat losgeld niet is betaald? Weet je waarom er maar heel weinig landen zijn die losgeld betalen aan terroristen?

Omdat je daarmee een signaal afgeeft aan de terroristen dat mensen ontvoeren loont.

En dan hebben we het hier over een mensenleven
Maar als je data je lief is wat moet je anders?
Heel jammer voor je, ga klagen bij synology voor hun brakke software, koop een boksbal en uit daar je frustraties op, weet ik veel. Maar ga nou alsjeblieft niet losgeld betalen. Want dan heb jij je data wel terug, maar je verpest letterlijk (ja, letterlijk) de wereld voor de rest. Met dit soort acties komen er alleen maar meer van dit soort hufter-bendes.

Ik vind het overigens ook heel jammer dat ik iets wat zo voor de hand ligt alsnog in jip en janneke taal moet gaan uitleggen.

Schaam je, en iedereen die betaalt! :(

--- Anders verwoord ---
Overheden betalen geen losgeld aan terroristen omdat ze daarmee in feite onwillige financierders worden van terrosistische organisaties.

In het geval van Synology hebben we het 'slechts' over digitale informatie (ik ben me er zeker van op de hoogte dat persoonlijke dingen als familie foto's etc., ook in deze categorie vallen).

Waarom zijn er mensen die denken dat iets als digitale informatie, in vergelijking met een mensenleven opeens wel een goede reden is om high-tech crime te financieren?

[Reactie gewijzigd door DeBierVampier op 22 augustus 2014 21:20]

niki_lauda
@DeBierVampier22 augustus 2014 20:24
Synology had tijdig zijn software (in december gepatched). !
slow whoop
@DeBierVampier22 augustus 2014 20:45
Schaam je, en iedereen die betaalt! :(
Zeg je dat ook als je zelf ontvoerd wordt?
DeBierVampier
@slow whoop22 augustus 2014 21:04
Als je refereert naar mijn vergelijking met terroristen, dan vraag je nu in feite dus of mijn 'ontvoerde' data zou vertellen dat die 0,6 bc niet betaald moet worden.

--- edit ---
En denk je dat als Foley de Amerikaanse overheid of welke overheid dan ook, gesmeekt had het losgeld te betalen, ze dat ook werkelijk gedaan zouden hebben?

[Reactie gewijzigd door DeBierVampier op 22 augustus 2014 21:10]

Forsakeneyes
@DeBierVampier22 augustus 2014 22:21
Nee, maar de familie wel als zij het geld hadden, naar alle waarschijnlijkheid. En daar gaat je vergelijking de mist in. De overheid heeft geen persoonlijke band met het slachtoffer, maar de familie wel. Hetzelfde hier met je data. Daar heeft de eigenaar een band mee, en dus ligt het anders.

Ik snap je pleidooi maar dat is koude logica.
ATS
@Forsakeneyes23 augustus 2014 10:06
Het betalen van losgeld is zelfs strafbaar in de VS. De familie kan vervolgd worden als ze dat doen.
Forsakeneyes
@ATS23 augustus 2014 16:38
Dat wist ik niet, gaat wel erg ver.
bigbadbull
@Forsakeneyes25 augustus 2014 10:58
Misschien wel als het waar is , maar het is wel de juiste manier van handelen.
Het is inderdaad heel koud en ik denk dat weinig mensen dat ook in hun hebben als ze een hechte band hebben met het gegijzelde.
Maar het is inderdaad ter bescherming van je naasten op de lange duur.
het gezegde "eerlijk duurt het langst" gaat hier ook weer op, en vooral het 2e en vergeten deel "en doet het meeste pijn".
AHBdV
@Forsakeneyes23 augustus 2014 09:59
Die ijskoude logica is echter noodzakelijk.

In de '70 begonnen terroristen vliegtuigen te kapen. In eerste instantie kregen ze wat ze wilden, om zo de gegijzelde passagiers vrij te krijgen. Resultaat? Er kwamen meer en meer vliegtuig kapingen!
Daarna is men gestopt met aan de eisen te voldoen. En na verloop van tijd verdwenen de vliegtuigkapingen, omdat de terroristen gezien hadden dat ze daarmee hun doelstellingen niet konden bereiken.

Het is heel hard voor degene die slachtoffer zijn, maar je kunt simpelweg niet aan de eisen voldoen.
Pietervs
@DeBierVampier22 augustus 2014 22:24
Bijzonder gemakkelijke reactie.
Er wordt wel degelijk losgeld betaald, alleen komt dat vaker niet dan wel in de pers. Waarom denk je dat er zoveel schepen zijn overvallen door Somalische piraten?
Voor Foley werd niet betaald omdat de eis (100 miljoen dollar!) absurd was.

Dus "schaam je" roepen... Te gemakkelijk.
bbr
@DeBierVampier23 augustus 2014 08:14
In andere woorden, zodra je losgeld betaald, geef je een signaal aan criminelen dat er op die manier geld te verdienen is, en gaan ze het in de toekomst dus vele malen WEER doen.
En dan niet 1 crimineel, maar heel veel.

Zelfde met data.

De enige keer dat een overheid "als of doet" bij betaling, is omdat ze dan de ontvoerders kunnen traceren en in het gevang zetten.

[Reactie gewijzigd door bbr op 23 augustus 2014 08:15]

stresstak
@mrc4nl22 augustus 2014 21:32
Maar als je data je lief is wat moet je anders?
Backuppen. En niet met een NAS aan het internet gaan hangen. En updaten natuurlijk, dat kon al in december.
mrc4nl
@stresstak22 augustus 2014 21:42
Reeds geëncrypte data backuppen? als je slachtoffer bent geworden ben je te gewoon te laat om alsnog te backuppen. Zelfs captain hindsight kan daar niets meer aan doen.

Nee als je slachtoffer bent en je nas is je enige backup dat is het of betalen of hopen dat er een gratis fix uit komt. Beidde geven geen garantie.

[Reactie gewijzigd door mrc4nl op 23 augustus 2014 13:47]

stresstak
@mrc4nl22 augustus 2014 21:46
Reeds geëncrypte data backuppen?
Als je data je lief is maak je backups. Door stommiteiten en luiheid vesleutelde data is je eigen schuld. Uitvegen, uithuilen en je backup terugzetten. Simpel.
metalmania_666
@stresstak23 augustus 2014 12:19
Nu is het mij niet gebeurd, dus ik heb geen problemen maar jou uitleg is wel erg kort door de bocht.
Mensen hebben jjuist een NAS in raid-1 of raid 5 mode als backup

Toegegeven, het is hadig (en dat doe ik ook) van je nas weer een backup maakt en die op een andere locatie bewaard
stresstak
@metalmania_66623 augustus 2014 12:33
Nu is het mij niet gebeurd, dus ik heb geen problemen maar jou uitleg is wel erg kort door de bocht.
Niet alleen kort door de bocht, maar hard. De waarheid is hard. Besef dat je je backup niet aan het internet moet hangen als het je enige backup is.

Het grootste gevaar is juist dat internet. Had je de NAS (storage !) alleen als data-opslag gebruikt dan was er geen extra gevaar geweest. De extra mogelijkheden blijken een verleidelijk risico.

Voor de geëiste 260 euro had men ook een paar extra 3TiB´s kunnen hebben, voor die ontbrekende backup.
AlexKnight1978
@stresstak23 augustus 2014 10:45
Ik ben het volledig met je eens, stresstak.
Zelfs bij een NAS met mirror functie moet je toch regelmatig een backup maken. De mirror functie beschermt tenslotte alleen tegen een defecte HDD, maar als je dit soort dingen treft, dan ben je zuur. En dan heb ik het nog niet over mensen die een NAS in stripe hebben staan.

Ook als de NAS zelf kapot gaat heb je kans je data te verliezen.

De vuistregel: "Wat je niet wil verliezen moet je op twee apparaten hebben staan" komt daarbij kijken.
bigbadbull
@AlexKnight197825 augustus 2014 11:00
en liefst op een ander address bewaren.
THUIS heb ik GEEN backup , de data die ik daar heb mag ik allemaal verliezen.
Datgene dat ik niet kwijt wil, staat bij mijn ouders als backup.
ASS-Ware
@mrc4nl23 augustus 2014 14:43
Maar als je data je lief is wat moet je anders?
Zorgen dat je een backup hebt, die kun je dan terugzetten na herinstallatie van de nas.
Croga
@gassie12322 augustus 2014 19:52
Als algemeen bekend wordt dat degenen die betalen niet geholpen worden, droogt je stroom geld ook heel snel op.

In alle gevallen die ik gehoord heb, hebben degenen die betaald hebben ook daadwerkelijk hun spullen terug gekregen. De enige uitzonderingen daarop zijn mensen die de SynoLocker software verwijdert hadden voordat ze betaald hadden. Die zijn meestal wel gewoon het haasje. En die kunnen nu wél geholpen worden aangezien ze wel de key hebben kunnen "kopen".
Deralte
@Croga23 augustus 2014 10:52
Je geldstroom droogt heus niet op. Mensen en/of bedrijven die belangrijke data op hun synology bewaren zullen, ondanks vele waarschuwingen, alsnog betalen in de hoop dat zij toch bij de gelukkigen zijn...
bbob
@Croga23 augustus 2014 11:00
Dns we hebben te maken met eerlijke afpersers ? pff gelukkig zijn er nog eerlijke mensen op deze wereld die jou je geld afhandig willen maken.
AmbroosV
@gassie12322 augustus 2014 19:33
Als je juist weet dat de de sleutel wel geven ben je veel meer geneigd om toch te betalen. Als het bekend is dat ze toch geen geldige sleutel geven, waarom zou je het dan nog overwegen?
Deralte
@mrc4nl23 augustus 2014 10:49
/Sarcasm Klopt, want die ransomware ontwikkelaars zijn eerlijke, hardwerkende mensen die echt wel geven om hun "klanten". Als ze dit niet doen, zullen hun "klanten" nooit meer voor hun ransomware kiezen... /sarcasm

Feit blijft gewoon dat je meedoet aan een loterij...
mrc4nl
@Deralte23 augustus 2014 10:52
Dat geef ik ook aan in een andere post
Nee als je slachtoffer bent en je nas is je enige backup dat is het of betalen of hopen dat er een gratis fix uit komt. Beidde geven geen garantie.
Deralte
@mrc4nl23 augustus 2014 21:03
Tja, als je enige back-up van gevoelige data of zelfs familiefoto's enkel op synology stond, ben je imo fout bezig. Laksheid van gebruikers in backups en beveiliging (in dit geval updates) doet ze de das om...
bbob
@mrc4nl23 augustus 2014 10:59
8)7 : Als je dat toch doet heb je te maken met een ander geval van oplichting.

Uh je bent al afgeperst om te moeten betalen, dat je daarna opgelicht wordt is te verwachten he.
Beunhaas91
@VortexD22 augustus 2014 18:03
The tool works by first looking in a file for the magic string "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337" that is used by SynoLocker to identify files it has encrypted. Next, it will attempt to decrypt the file. During this process, it will also attempt to check that the encrypted file has not been corrupted. This is possible, because SynoLocker stores a HMAC of the encrypted data as part of the file.
mjl
@VortexD22 augustus 2014 18:06
Het helpt in het geval als het script van de hackers faalt of als de gebruiker het unlocken van de bestanden buiten een besmet os heen wil doen. Bijv door de disks aan een Linux os te hangen en zelf de decryptie wil uitvoeren.
nanoChip
@VortexD23 augustus 2014 00:19
Dit is geen (totaal)oplossing maar een hulpmiddel voor langer termijn.

Stel dat uit politieonderzoek een dader aangewezen kan worden. Men krijgt de optie voor straf ‘vermindering’ als de sleutels worden overhandigd of de sleutels lekken uit, etc. Dan kan deze tool er voor zorgen dat data zonder synolocker ontsleuteld kan worden (Al dan niet op een ander systeem mits deze maar python ondersteunt). Je NAS wordt dus weer bruikbaar omdat synolocker niet langer nodig is. Daarnaast kan je versleutelde data verhuizen naar een ander systeem wat sneller kan ontsleutelen.

Deze tool bereikt dus twee dingen.

1. NAS wordt weer bruikbaar.
2. Versleutelde back-up kan veilig worden opgeslagen op een NAS of externe HDD.

Dit is belangrijk voor bijvoorbeeld mensen die niet direct +/- 260 euro kunnen ophoesten of voor mensen die hun data niet waardig genoeg achten om deze te ontsleutelen (voor +/- 260).

Natuurlijk mis je het belangrijkste element en dat is de geheime sleutel, maar zolang je alle gegevens bewaard is er niets aan de hand. Ik kan me namelijk niet voorstellen dat de geheime sleutels vernietigd zijn. Deze zullen dus ooit nog wel eens opduiken.

[Reactie gewijzigd door nanoChip op 23 augustus 2014 00:20]

madmaxnl
22 augustus 2014 23:38
Leuk he, betaal je extra veel geld voor een NAS omdat je denkt kwaliteit te kopen. Blijkt dat je van een bijzonder populair merk een NAS hebt gekocht wat daardoor doelwit wordt van ransomeware :?

Zuur, maar zo werkt dat wel. Ze zullen niet snel zoiets maken voor een minder populaire NAS OS. Dit is iets dat bij de aankoop vaak niet in ogenschouw genomen wordt. Behalve dan als het een minder populair OS is, wat dan als negatief wordt gezien i.v.m. support in de vorm van veel apps etc. Deze extra support krijg je ook van minder goed gezinden mensen, want voor hun loont die populariteit ook, vergeet dat niet.
McVirusS
@madmaxnl23 augustus 2014 01:09
De enige lessen die je hieruit mag trekken zijn:
- Houdt software op je NAS up to date
- Zet je NAS niet/zo min mogelijk open naar buiten, zeker niet op standaard poorten
- Maak backups van je NAS data, liefst geautomatiseerd buiten de deur.

Syno maakt top spullen. En er waren heel wat minder slachtoffers geweest als gebruikers software up to date hadden gehouden. Laat dit een wijze les zijn.

Effectief backuppen is helaas niet zo simpel als het lijkt. En zeker niet gratis. Maat denk goed na wat je data je waard is.
madmaxnl
@McVirusS23 augustus 2014 18:15
Die laatste is wel erg overdreven. Mensen hebben juist een NAS als back-up. Dan zou je naast de bestanden op je PC staan, op je NAS staan ook nog eens op een derde gaan zetten. Vergeet hierbij niet dat een NAS dan vaak een RAID 1 oplossing hanteerd, m.a.w. vaak minimaal 3 schijven met je data (computer en dan nog de NAS met twee schijven).
McVirusS
@madmaxnl23 augustus 2014 22:18
Als het een back-up is van files die je op je computer hebt dan is zo'n aanval als met synolocker ook niet zo erg. Had het met name over als NAS enige plek is waar je bestanden staan. Wat mij met alle devices die tegenwoordig in een huishouden aanwezig zijn niet perse raar lijkt. Back-up in zelfde pand zie ik zelf trouwens niet echt als veilig, zelfs niet voor familiekiekjes.
Bor
@madmaxnl24 augustus 2014 12:30
Een copy op een online NAS is geen backup. Je kunt het hooguit een veiligheidscopy noemen. Dit soort malware bewijst maar weer eens dat je altijd zorg dient te dragen voor een betrouwbare backup die niet zo makkelijk geïnfecteerd kan worden
Deralte
@madmaxnl23 augustus 2014 11:04
Je koopt ook kwaliteit. De kwetsbaarheid waarvan gebruik gemaakt wordt is sinds december 2013 gedicht in een update... Domme gebruikers kan je echter niet updaten...
madmaxnl
@Deralte23 augustus 2014 18:17
Waarom update je NAS dan niet automatisch zoals my Zyxel NAS? Of heeft dit niks met kwaliteit te maken van de software?

Ik kan automatische updates ook uitzetten, maar standaard staat het aan en zo hoort het ook.

Domme software makers?
Deralte
@madmaxnl23 augustus 2014 20:58
Nee, synology presenteert je vrijheid. Bij elke kritieke update krijg ik netjes een mail... Dat is een keuze denk ik dan... Nu, je hoort me niet zeggen dat zyxel en nog anderen slecht zijn, zeker niet, maar synology zit op datzelfde niveau.
mjl
@Deralte25 augustus 2014 09:31
Laat het dan "by default" op autoupdate zetten met de keus het handmatig te doen ;)

Of bij de installatie dit als instel optie aan te geven.

Bij mijn QNAP krijg ik bij elke update een "warning" om eerst een backup te maken, aangezien bij een autoupdate het dus mis kan gaan willen ze die verantwoordelijkheid niet nemen om het standaard te automatiseren.
Xatom
22 augustus 2014 18:12
This tool will only work if the decryption key is already known.
You should never pay online criminals.
Hoe moet je dan aan die key komen? 8)7

Als ik ook even snel naar de source kijk is dit gewoon een heel simpel decrypt scriptje wat in bijna elke programmeertaal wel gemaakt kan worden. Het lijkt een beetje op een copy/paste van een tutorial met de "magic string" van SynoLocker toegevoegd.

[Reactie gewijzigd door Xatom op 22 augustus 2014 18:14]

Aardwolf
@Xatom22 augustus 2014 18:48
Het lijkt een beetje op een copy/paste van een tutorial met de "magic string" van SynoLocker toegevoegd.
Ach ja, alles voor een beetje naamsbekendheid he?! Gewoon gebruik maken van de aanwezige situatie is dat. Het Tweakers artikel liegt niet, maar zegt ook niet teveel. Wellicht hadden ze het wat zorgvuldiger kunnen uitwerken om het hele verhaal in het juiste perspectief te plaatsen.
harrytasker
22 augustus 2014 18:12
Wat doet het Python scriptje nu? Als ik het goed begrijp je er zonder sleutel nog niets aan, dus ik begrijp de titel van het artikel niet :?
Zenomyscus
@harrytasker22 augustus 2014 19:34
De titel is inderdaad erg verwarrend. Maar het Python script biedt de mogelijkheid de bestanden voor je te decrypten wanneer je de sleutel hebt. Niet iedereen zal weten hoe je dat zou moeten doen lijkt me, dus op die manier zal het script dergelijke slachtoffers 'helpen'. Ondersteunen was een beter woord geweest.
drvinnie
22 augustus 2014 18:46
Wat een verwarrend nieuwsbericht. Ik snap er helemaal niets van.
Mic2000
@drvinnie22 augustus 2014 18:53
Idem dito... Het is vrijdagmiddag zeker :)
CyBeRSPiN
22 augustus 2014 18:03
In de meeste gevallen die wij hebben onderzocht, (...) was de ontsleutelcode incorrect
en dan:
"Het werkt alleen als de juiste ontsleutelcode bekend is"
.

Dus nog steeds de onderzekerheid of je wel de juiste code krijgt.

Misselijkmakende praktijk dit trouwens, ben blij dat mn Syno up to date is en toen (toevallig) niet aan het internet hing.
jpsch
22 augustus 2014 18:42
Wat doet dit tooltje dan precies? Alle bekende codes proberen via een scriptje zou misschien wat toevoegen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee