Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Mark001 op 30 november 2016, 22:12:03
-
Ruim 2 jaar geleden is mijn nas met dubbele 3 terraschijf ook besmet geraakt met het synolocker virus.
Na de ontdekking direct de stekker eruit en tot vandaag niets meer mee gedaan.
Er staan best veel foto's op die ik graag terug zou willen.
Ben zelf een redelijke leek en snap eigenlijk de procedures niet goed die al in dit forum in 2014 zijn genoemd.
Is er iemand die tegen betaling me kan helpen door te kijken of en wat er nog te redden valt?
Bij voorbaat dank!
-
Weet niet of je al een keertje her en der je licht opgestoken hebt. Er is best veel over te vinden. Zoals:
https://nl.hardware.info/nieuws/40866/synology-geeft-statement-over-synolocker-ransomware---update
Snap dat het gaat over een verouderde versie, maar jouw NAS zal geen updates gekregen hebben in de tussentijd (#sarcasme).
-
De keys van Synolocker zijn nooit vrijgegeven/gevonden. En dat zal na twee jaar ook wel niet meer gebeuren. Dus het is nog steeds onmogelijk om de files op je NAS te decrypten.
-
De al versleutelde bestanden krijg je niet meer terug, maar misschien was nog niet alles versleuteld.
Als je dan je NAS weer opstart gaat die synolocker gewoon weer verder met encrypten.
Het best kun je een disk eruit halen en aan je pc hangen.
Een programmatje instaleren die ext4 files kan lezen en de bestanden die nog niet encrypted zijn veiligstellen.
Daarna de partities van die disk verwijderen.
Vervolgens de andere disk ook aan je pc en die partities ook verwijderen.
Daarna kun je ze weer in je NAS stoppen en DSM er opnieuw opzetten.
-
Als je de beruchte melding op je NAS al gehad hebt (Dus de webpagina waarin je verteld wordt dat je moet betalen) dan zijn alle bestanden al versleuteld. Want de makers waren wel zo slim om de melding pas te geven nadat alles versleuteld was.
-
Mosterd na de maaltijd, ik snap het, maar: het geeft aan hoe belangrijk het is om een goede backup-strategie te hebben en te blijven hanteren.
-
Nee, de échte les is dat het heel onverstandig is om de DSM management interface van je NAS (poort 5000/5001) open te zetten naar het internet. Dat is namelijk de manier waarop Synolocker binnenkwam.
En toch zie je dat heel veel mensen dat doen zonder er over na te denken. "Want het is makkelijk".
-
heel onverstandig is om de DSM management interface van je NAS (poort 5000/5001) open te zetten naar het internet.
Is dat onverstandig, of is de gebruikersnaam en wachtwoordmanagement dan gewoon slecht?
Mijn default admin account staat bij mij disabled...
-
Nee, onverstandig. In dit geval zat er een kwetsbaarheid in de inlogpagina waardoor je gewoon root access tot de NAS kon krijgen. Dus geen wachtwoord o.i.d. nodig. Daarbovenop was die kwetsbaarheid al enige tijd bekend, maar mensen hadden hun NAS niet up to date gemaakt.
Als je de DSM van je NAS op afstand wilt benaderen kun je het beste de VPN server van je NAS gebruiken. Dan kun je eerst via een beveiligde verbinding toegang krijgen tot je netwerk, en van daaruit weer naar DSM.
-
Mannen, bedankt voor de reacties.
Helemaal eens met de opmerkingen en terugkijkend zijn er een hoop lessen te leren.
Blijft mijn vraag staan of er iemand is die mij kan helpen om te checken of er bestanden zijn die niet zijn encrypted en de NAS opnieuw te installeren en weer in gebruik te nemen? Uiteraard ben ik bereid hiervoor te betalen.
Dank alvast!
-
Lijkt mij wel een interessante casus 8)
Je hebt een PB.