Auteur Topic: 0xxx virus/ransomware on Synology  (gelezen 36527 keer)

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
0xxx virus/ransomware on Synology
« Gepost op: 02 oktober 2022, 14:22:13 »
OK, ik had dus blijkbaar SMB-poort open staan  :o

En jawel.... bezoek gehad en een deel van mijn NAS encrypted. Gelukkig een deel wat ik kan missen met wat films e.d. er op, dus ik zie het maar als een hele duidelijke waarschuwing!

1) Backup strategie opnieuw tegen het licht houden en updaten
2) Veiligheid van netwerk controleren, welke poorten staan open en waarom
3) Ga naar punt 1 en zorg dat dit op orde is!

 ;)
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline synfan

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 5
  • Berichten: 108
Re: 0xxx virus/ransomware on Synology
« Reactie #1 Gepost op: 17 oktober 2022, 09:18:10 »
@Maurice_69 : Hoe kwam je er achter dat er ingebroken was en welke files encrypted waren?
  • Mijn Synology: DS218+
  • HDD's: WD20EFRX-68AX9NO

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: 0xxx virus/ransomware on Synology
« Reactie #2 Gepost op: 17 oktober 2022, 10:25:46 »
OK, ik had dus blijkbaar wel die poort open staan  :o

Ik heb het wel eens vaker gezien dat mensen in een router DMZ toewijzen aan de NAS.
Om zodoende het iets meer tijd kostende klusje van handmatig instellen van "port forwarding" te kunnen omzeilen.
Zonder te beseffen dat ze daarmee toegang geven voor "alle poorten".

Niet dat achter elke poort een actieve service zit.
Maar voor een NAS zijn doorgaans al snel Windows en Apple bestand services geactiveerd om op LAN niveau daarmee toegang te hebben.
Daarnaast mogelijk ook weing aandacht besteed aan een goede opzet van firewall-regels.
Via DMZ is een NAS dan "automatisch" ook geopend voor externe toegang.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: 0xxx virus/ransomware on Synology
« Reactie #3 Gepost op: 17 oktober 2022, 14:57:05 »
@synfan Dat viel meteen op door de textbestandjes die geplaatst zijn en de bestandsnamen die aangepast waren:


Ik heb helaas nog geen decrypter kunnen vinden, dus een aantal bestanden zullen voorlopig nog versleuteld blijven.

Textbestand:
57974-1

Altijd weer die Russen hè!  :silent:
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: 0xxx virus/ransomware on Synology
« Reactie #4 Gepost op: 17 oktober 2022, 15:08:46 »
Citaat
Altijd weer die Russen hè! 

Bij sommige mallware helpt het al om je keybord op Russisch te zetten. Dan schakelt de mallware zichzelf uit.

---

Hyperbackup kan dit ook detecteren. b.v. door dagelijks te backuppen en een waarschuwing in te stellen als de backup te snel groeit.  Veer gewijzigde bestanden in een korte tijd is vaak een teken dat er iets mis is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.183
  • Fijne feestdagen.......
    • Truebase
Re: 0xxx virus/ransomware on Synology
« Reactie #5 Gepost op: 17 oktober 2022, 15:39:44 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: 0xxx virus/ransomware on Synology
« Reactie #6 Gepost op: 17 oktober 2022, 16:40:04 »
Heb al verschillende topics op forums gevonden maar nog geen decrypter helaas. Maar goed, het is gelukkig niets spannends, slechts wat docu's e.d. die ik ooit gedownload heb dus ik hoop dat er nog een keer een decrypter komt, dan kan ik ze weer ontsleutelen. ;-)
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: 0xxx virus/ransomware on Synology
« Reactie #7 Gepost op: 17 oktober 2022, 17:27:15 »
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.

Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen.  Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen:  link

Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline m4v3r1ck

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 3031
  • -Ontvangen: 326
  • Berichten: 2.641
  • $ sudo -i
Re: 0xxx virus/ransomware on Synology
« Reactie #8 Gepost op: 17 oktober 2022, 17:44:48 »
Het lijkt mij een nachtmerrie om dit mee te maken. Belangrijke documenten of niet. Toch altijd een naar gevoel deze vorm van zinloos mentaal geweld. :x

Sterkte en succes met je toekomstige decrypt!
Commander: DS1821+ | DSM 7.2.1-69057 Update 6
SightWinder: DS1821+ | DSM 7.2.1-69057 Update 6 VMM
Wingman:     DS1812+ | DSM 6.2.4-25556 U8
UPS:             APC Back UPS BE850G2-GR (2x)
________________________________________________________________________________
Cheers! - ! I am an advocate of the "if it ain't broke, you didn't fix it enough" modus operandi !

Offline Vuurvreter

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 158
  • -Ontvangen: 87
  • Berichten: 1.136
    • vuurvreter
Re: 0xxx virus/ransomware on Synology
« Reactie #9 Gepost op: 17 oktober 2022, 18:51:34 »
Misschien heb je hier wat aan?
Via de 1e link van de politie wordt doorverwezen naar de 2e link.

https://www.politie.nl/informatie/dit-kunt-u-doen-tegen-ransomware.html
https://www.nomoreransom.org/nl/index.html
  • Mijn Synology: DS218+
  • HDD's: 2 x 8TB Toshiba N300
Ik ben aan het werk, niet op de vlucht.

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: 0xxx virus/ransomware on Synology
« Reactie #10 Gepost op: 17 oktober 2022, 19:24:41 »
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.

Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen.  Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen:  link

Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.

Dat klopt wel, maar vaak is ook maar een deel van het bestand encrypted, en je leest vaker dat er decrypters gebouwd kunnen worden uit de sleutels die er vrij komen van de mensen die betaald hebben. Het was voor mij in ieder geval een wijze les om te zorgen dat je backup in orde moet zijn, dat was niet maar nu dus wel. Backup is denk ik het enige middel (naast voorkomen)  (:
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.586
Re: 0xxx virus/ransomware on Synology
« Reactie #11 Gepost op: 17 oktober 2022, 21:50:33 »
Een backup is sowieso nodig. Ik denk dat er meer bestanden verloren gaan door een gecrashte HDD dan door ransomware.

Bij dit type ransomware is het hebben van een backup genoeg om de schade te herstellen.  Erger wordt het bij ransomware die eerst probeert een aangesloten backup te wissen en dan pas aan de encryptie begint.  Maar dan moet de mallware al dieper in het OS van de nas doorgedrongen zijn, dan alleen de toegang tot een share.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: 0xxx virus/ransomware on Synology
« Reactie #12 Gepost op: 18 oktober 2022, 08:07:11 »
smb open staan?
Ik weet dat het een protocol is, maar hoe zie je dat of dat wel of niet open staat?
Is er dan een poort voor smb geforward op de router, of is dat een instelling op de nas?
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: 0xxx virus/ransomware on Synology
« Reactie #13 Gepost op: 18 oktober 2022, 09:00:28 »
@stapper Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht. De issue zat hem in het aan hebben staan van uPNP in de router waardoor de NAS zelf poorten open kon zetten.
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.183
  • Fijne feestdagen.......
    • Truebase
Re: 0xxx virus/ransomware on Synology
« Reactie #14 Gepost op: 18 oktober 2022, 09:23:17 »
Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht.
Dat kon je ook niet lezen in dat Topic. ;)
Maar wel hier.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12