LET OP: NAS HACK: Synolocker actief.

[Tien]

Spammer TonVH

LOL: Jij drukt nooit per ongeluk op de verkeerde knop?

Heb ik nou altijd met die bedankt-knop ;-)

[sciurius]

Tot op heden is de oorzaak van deze "besmetting" onbekend dacht ik.

Volgens de informatie uit http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 vindt de besmetting plaatst via opengestelde (dus via internet toegankelijke) poorten 5000 en 5001 (voor de DSM management UI) in 4.x systemen die niet de security updates van vorig jaar december hebben aangebracht.

[Birdy]

Spammer TonVH

LOL: Jij drukt nooit per ongeluk op de verkeerde knop?

Die "spam" heb ik al verwijderd 

[Birdy]

Ik weet niet of dit artikel al getoond en op waarheid gebaseerd is.

Wat ik wel weet is dat CryptoLocker (Windows) vorig jaar september actief was

stop ze in een usb behuizing of een quick port.
Hang ze dat aan je PC en zoek een windows programmaatje dat ext4 (of ext3 als je dat hebt) kan lezen.
Die synolocker is voor linux gemaakt en kan je windows PC niet besmetten.
Je kun ook een mac nemen natuurlijk.

Dus wel oppassen met bovenstaande, je weet maar nooit als je zo'n besmette HD gaat uitlezen op een PC....

Ben geen Virus/Hackers kenner maar, wilde dit toch even kwijt.

[Ben(V)]

Je hebt gelijk om voorzichtig te zijn, maar een usb disk aan je pc koppelen die uit een linux omgeving komt zal echt je pc niet kunnen infecteren.
Er wordt niet vanaf geboot en er zit geen executable op die onder windows zou kunnen draaien en al was ie er wel dan ben je vast wel zo slim hem niet op te starten.

Ps ik blijf op dit moment het meeste geloof hechten aan synology die aangeeft dat het via het gat in DSM ging dat eind vorig jaar gedicht is en waarbij een bestand op je NAS gezet kon worden via de weman interface zonder root authorisatie.

[Hofstede]

Het stuk dat de NAS besmet wordt door een geïnfecteerde file die je download op je computer lijkt me complete onzin. Dat is de manier waarop CryptoLocker werkt, niet SynoLock.
Volgens mij heeft iemand hier een stuk over CryptoLocker gekopieerd en hier en daar iets aangepast.

[Briolet]

De volgende zin geeft al aan dat het verhaal kolder is:

The infection might come from various sources – infected files from various P2P networks, torrents or other file sharing applications, bogus flash player, Silverlight updates or fake video software for viewing online content, email attachments etc.

Alle infecties vonden binnen een paar dagen plaats. Dat maakt het heel onlogisch dat er dan in één keer de 7 verschillende vectoren gebruikt worden uit die zin. De echte clue zit in het woord "might". Daarmee zegt hij eigenlijk dat hij de ballen verstand van heeft van de Synolocker en alleen een lijst opsomt van methodes die in het verleden gebruikt zijn door andere locker malware. Maar om en PC te besmetten moet je vaak truckjes uithalen omdat die niet standaard vanuit het internet benaderbaar is. De nas staat gewoon open naar het internet, met een bekend lek. Dus waarom moeilijk doen via een PC als je hem rechtstreeks kunt besmetten?

In de laatste alinea staat ook dat de private key op de nas staat, terwijl in de alinea ervoor het tegengestelde staat.  Als de private key op de nas staat kun je alle files ook zelf de-crypten. Maar op die lokatie had Synology hem ook gevonden en al lang wereldkundig gemaakt.

[nielsvo]

Mijn NAS was ook gehackt. Dacht met regelmatig checken op nieuwe DSM versies wel voldoende veilig te zijn. Heb zelf nu betaald (vanwege geen volledige backup, gemakzucht, nieuwsgierigheid). Nog een heel gedoe om Tor, Bitmessage en bitcoins te installeren/aanschaffen 
Alle files zijn inmiddels automatisch decrypted (op 1 na, script hangt?). Heb de "support afdeling" daarover een Bitmessage berichtje gestuurd 

Overigens staat er nu het volgende op de Tor site:

6 days, 14 hours, 25 mins, 50 secs

This website is closing soon...

If you lost your identifier, it is still possible to retrieve the required information from your NAS MAC address.
If the DSM software was updated then a custom decryption tool will be provided.
Please contact support via Bitmessage at this address: BM-NC3f9qUMWo54Aik8L2qrtsc9Nxj8Ub4L

There is still over 5500 unclaimed private keys. The database is available for sale at 200 bitcoins. Purchase can be completed in 5 separate transactions. When this site close then all related databases will be permanently deleted.

For purchase inquiry please contact support via Bitmessage at this address: BM-NBzSiJzLAVcXCrhQaQ6PxvNuKheE2htd

Misschien dat Synology de database kan kopen en op die manier de getroffen gebruikers een echte laagdrempelige oplossing kan bieden?

[Hofstede]

Waarom zouden ze? Dan zouden ze toegeven aan die hackers en toekomstige acties uitlokken. Het is niet de schuld van Synology dat mensen niet de moeite nemen hun NAS up-to-date te houden en niet voldoende afschermen van het internet.
Tenslotte had Synology het lek al in december 2013  gepatcht en ook mails rondgestuurd dat mensen hun NAS moesten updaten, naar mijn mening treft Synology in deze geen schuld.

[nielsvo]

Er zit m.i. toch een grijs gebied in, er zijn mensen bij die zelfs met DSM versie 5 dachten veilig te zijn, maar dus toch al besmet waren voordat deze nieuwe patch uit was. Ik weet niet of dit risico ook door Synology onderkend was en of dit ook duidelijk is gecommuniceerd door Synology? (was zelf niet geregistreerd dus heb nooit een mail ontvangen, zal vast de enige niet zijn).
Verder kan het mij eerlijk gezegd niet schelen wat Synology doet, mijn probleem is inmiddels vanuit de bron opgelost.

[Hofstede]

Ja, maar die mensen met DSM 5.0 die besmet waren bleken pas onlangs hun NAS ge-update te hebben naar de laatste versie, toen het kwaad al was geschied. Ze hadden al veel eerder kunnen patchen. Voor alle kwetsbare DSM versies was de patch al in december 2013 beschikbaar.
Synology heeft zelf patches uitgebracht voor DSM versies die eigenlijk al niet meer door hen gesupport werden.

[Briolet]

Bugs zoals in 'webman', zit/zat in veel meer apparatuur als je de diverse updates van de laatste 2 jaar bekijkt. Mijn IP cameras hadden dat ook en daar heeft de fabrikant gelukkig ook een update voor uitgebracht, ondanks dat deze modellen al een tijdje uit de roulatie zijn. Diverse routers hadden soortgelijke bugs.

Dus als je inlogpaginas hebt die vanaf het internet bereikbaar zijn, kun je er op wachten dat er verborgen bugs in zitten en ooit gevonden worden. Het beste is om dergelijke producten altijd te registreren zodat een serieuze fabrikant je op de hoogte kan houden van updates.

Gelukkig heeft DSM 5 nu een nieuwe feature dat hij automatisch op updates checkt en deze zelfstandig download. Je kunt nog instellen of hij achter elke update aan moet, of alleen achter kritieke updates. Hierna krijg je een mailtje dat er een update klaar staat. Je hoeft dan alleen handmatig de update te starten op een tijd die je uitkomt. Hopelijk scheelt dat in de toekomst problemen zoals met de coin-miner en de SynoLocker.

[Björn]

Even voor het juiste perspectief: de vraagprijs voor de niet geclaimde keys van 200 bitcoins is op het moment grofweg 83,000 euro.

Er valt natuurlijk altijd vanuit meerdere invalshoeken te beargumenteren, maar Synology heeft na ontdekking van het lek (dat in heel veel apparatuur van veel merken heeft gezeten of zelfs nog zit) enorm snel een patch aangeboden. Als mensen deze patch niet installeren (om welke reden dan ook) dan nemen ze zelf het risico voor de gevolgen. Zeggen 'dat je het niet wist' vind ik daarin persoonlijk niet echt een argument. Dat is een kwestie van onderhoud plegen aan een product waaraan je al je belangrijke gegevens toevertrouwt.

Synology heeft niet echt meer kunnen doen dan ze nu gedaan hebben. Zij kunnen de software patchen, maar uiteindelijk is er ook nog een stukje inspanning van de gebruiker nodig.

[damonnk]

Ik ben het helemaal met je eens Björn maar het zou hun naam wel een boost kunnen geven die je normaal voor 83k euro nooit voor elkaar kan krijgen door iedereen te helpen die hierdoor getroffen is.
Je houd hier ook klanten mee vast en krijgt er nieuwe bij.
Voor een bedrijf als Synology lijkt me 83k ook niet zoveel geld.

[Handige Harry]

@ damonnk Misschien is voor jouw 83k ook niet veel geld, wil jij dan in het vervolg alle sleutels opkopen? Dan zijn veel mensen je ook wel dankbaar denk ik.

@ synology Ik heb nog nooit 1 mail gehad van synology over dit 'hack' gebeuren.  Misschien toch maar eens een ticket sturen.