LET OP: NAS HACK: Synolocker actief.

[Robert Koopman]

We zijn vele berichten verder maar zijn er hier op het forum nu veel slachtoffers?
Dat lees ik eigenlijk niet.

[Handige Harry]

Ik gelukkig niet

Verstuurd van mijn GT-I9300

[Dokman]

Ik ook niet, maar alles staat nu uit en van mijn echt belangrijke data heb ik een dubbele backup.
en heb de backup disk al een Linux computer gehand en alles staat er netjes op.

Zal alleen wat MP3 en Video films krijt raken maar das niet zo erg.

[pcraenme]

Wat ik nog nergens gelezen heb... als je DS besmet is... zie je dat dan ook meteen of kan het ook 'sluimeren op de achtergrond' en zo dadelijk ineens boven komen?

Ik zie namelijk meldingen voorbij komen van mensen die al op versie 5 zaten en nu toch besmet zijn. De besmetting moet dan al voor de update naar versie 5 gebeurd zijn. Hoe lang is dit dan al aan de gang?

[Briolet]

....In het hoofdmenu bij Configuratiescherm ---> Beveiliging onder de tweede tab "Firewall" heb je onderaan daar echter ook nog een regel staan: "Indien niet voldaan wordt aan de regels", wat er dan gedaan moet worden, toegang toestaan of weigeren. Afhankelijk van wat je wilt en welke voorwaarden je hebt ingesteld, kunnen die twee instellingen tegenovergesteld zijn om optimaal te werken.

Die laatste optie is een overbodige optie die Synology beter weg had kunnen laten om de boel consistent te houden. Je kunt net zo goed een laatste firewall regel toevoegen waar je als poort en IP "alles" invult en als actie weigeren. Als dan aan geen van bovenliggende regels is voldaan komt hij bij die laatste regel die alles ook weigert. 

[Birdy]

We zijn vele berichten verder maar zijn er hier op het forum nu veel slachtoffers?

Gelukkig niet 

[Babylonia]

Die laatste optie is een overbodige optie die Synology beter weg had kunnen laten om de boel consistent te houden. Je kunt net zo goed een laatste firewall regel toevoegen waar je als poort en IP "alles" invult en als actie weigeren. Als dan aan geen van bovenliggende regels is voldaan komt hij bij die laatste regel die alles ook weigert. 

Of dat wel of niet consistent is, handig of niet daar kun je van mening over verschillen.
Bijv. eerder in de draad m.b.t. het filteren op regio melden diverse reacties wel over een extra in te stellen regel m.b.t. het toestaan van IP's in het eigen netwerk. Met een vinkje bij "Toegang toestaan" (dat is dan bijv. alles buiten de eerder ingestelde regio blokkade ), hoef je die extra regel voor het toestaan voor het eigen interne netwerk er dan niet bij te voegen. Misschien zijn er zo nog wel een paar opties, waar je anders extra Firewall regels voor moet instellen, die nu achterwege kunnen blijven.

[Don Ivo]

Weet iemand wat de symptomen zijn? Ik heb één Ds412+ welke ik vanaf mijn vakantie adres gewoon kon benaderen en dus uit heb gezet. Deze draait op de laatste versie.
Ik heb één Ds409+ welke ik niet kon benaderen.  Heb drie inlog pogingen gedaan en nu is het ip adres geblocked. Heb een vriend het apparaat fysiek uit laten zetten.
Betekent dit dat mijn 409 besmet is?

[Babylonia]

Nee hoeft niet. Er kunnen ook andere oorzaken zijn waarom je bij die NAS niet kon inloggen. Het forum staat vol met vergelijkbare berichten wat niets met een hack of besmetting te maken heeft. Als je terug bent van vakantie dan maar eens rustig gaan bekijken. Hij staat nu uit, dus meer kun je er nu toch niet aan doen.

[Erwin1]

Zojuist een nieuw bericht via Facebook gelanceerd

Thank you for your patience as we continue to investigate the ransomware "SynoLocker" which is currently affecting certain Synology NAS users.

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.

Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.

Please take a look at our official statement with more information here: http://bit.ly/1oypNfE

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we continue to address this issue.

[Dokman]

http://www.synology.com/en-us/company/news/article/470

[Babylonia]

Ter aanvulling m.b.t. eerder typisch geblokte IP-adressen op de door mij gebruikte NAS waar IMO nogal een dreiging vanuit gaat omdat het hele reeksen IP's zijn uit dezelfde "groep". Hier een aantal van die IP's die je misschien ook zou kunnen vergelijken met de achterliggende IP's als mensen wel gehackt zijn, of waar je misschien ook aan "ontsnapt bent".

Buiten een aantal enkelvoudig genummerde IP-adressen (die één keer voorkomen), de volgende IP-reeksen.

xxx staat voor variabel nummer

Bij elkaar   2 adressen met:      1.93.29.xxx
Bij elkaar   7 adressen met:    61.167.50.xxx
Bij elkaar 29 adressen met:    61.167.51.xxx
Bij elkaar 46 adressen met:  116.10.191.xxx
Bij elkaar   2 adressen met:  122.225.103.xxx

Dan komen er nog IP-adressen voor die net naast de voornoemde groepen nog één keer voorkomen.
Het gaat hierbij allemaal om Chinese IP-adressen.
http://en.utrace.de/

Als je een wat uitgebreidere router hebt, kun je die groepen mogelijk reeds in de router als blok instellen om ze buiten de deur te houden nog voordat het bij de NAS aankomt. (Dubbele veiligheid).

Babylonia@

[Erwin1]

furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.

Wat bedoelen ze hier nu mee?

[Babylonia]

Wat ik uit dat bericht haal is dat men QuickConnect en DDNS service dan heeft uitgeschakeld voor alle gebruikers in het account waarbij een oudere DSM versie geregistreerd staat. Alleen voor DSM 5.0 en "secure" versies heeft men de service als actief laten staan.

[Hofstede]

Ze hebben QuickConnect op hun servers uitgeschakeld voor NASsen die nog niet volledig gepatcht zijn.