LET OP: NAS HACK: Synolocker actief.

[Hofstede]

Sorry, dat lijkt allemaal heel mooi. Maar volgend jaar komt een andere hacker langs die op een andere manier je NAS weet te kapen en die vraagt dan aan Synology bijvoorbeeld een miljoen. Zoals ik al eerder aangaf kun je dit alleen stoppen door er voor te zorgen dat men er niks aan verdiend.
Ik zou liever hebben dat Synology dit geld besteed aan het nog verder verbeteren van de security en er ook voor zorgt dat mensen zich beter gaan realiseren dat al je data op een NAS zetten zonder enige vorm van backup een slecht idee is.

[Ben(V)]

Je kunt als bedrijf toch geen zaken gaan doen met criminelen.
Kun je net zo goed meteen je bedrijf opdoeken.

[Irene]

Ik heb wel een ticket naar Synology gestuurd en keurig de mogelijke oplossingen gekregen

[Robert Koopman]

En zijn die oplossingen al voorbij gekomen op het forum?

[Irene]

Ja, iemand had de mail al geplubliceerd, als je m niet kan vinden wil ik m wel inkopieren

[Irene]

Dear User,

Thank you for contacting us. We appreciate your continued patience and support during this time.

According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.   

#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:

1. Follow the steps in this tutorial to reset your DiskStation:
    http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here:
    http://www.synology.com/download
3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume.
4. Restore your backup data to the new volume.

#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.

Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it.   

If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:

1. Power off DS and take out all hard drive.
2. Power on DS without hard drives.
3. Run Synology Assistant and perform the installation using the following DSM patch below:
    ftp://on‐line:online_user@ftp.synology.com/on‐line/Tools/fake_pat/a.pat
4. Using this method, the installation will appear to fail, but Telnet service shall be open.
5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information:

    ＊Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application: http://www.portforward.com/english/routers/port_forwarding/routerindex.htm )

    ＊The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port 23 is open)

According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.

We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.


Sincerely,
Kirby Liu

Technical Support



...........

Ik heb de eerste optie uitgevoerd

[TonVH]

Ik zie geen enkele reden voor Synology om die sleutels op te kopen.

Niet alleen omdat het een ijzersterk argument is voor hackers op zich volop Synology te storten (soort van MS effect) maar ook omdat Synology maar beperkte blaam treft.

Het is wellicht in de oren van sommigen hard maar laten we eerlijk zijn: iemand die echt belangrijke data alleen op een NAS heeft staan vraagt om ooit eens in de problemen te komen. de data is nu onbereikbaar net als wanneer er of een hardwarefout was opgetreden of een grove gebruikersfout (iemand verwijderd een Share, helaas dus ook op Raid-x).

Een basisles is om altijd te zorgen voor een volledige backup (en liefst 2 alternerende). Doet men dat niet dan zit men op de blaren en het gaat dan niet aan om de schuldige elders te zoeken.


Bovenstaand zal zeker niet in dank afgenomen worden en kan natuurlijk met hele lieve woordjes verpakt worden maar het is een goede les die iedereen wel 1 keer zal meemaken. (Over ezels (3 maal) praten we niet eens).

[Nelesss]

Zoals Ben(V) en TonVH al prima verwoorden. Zaken doen met criminelen is op zich zelf al compleet fout en geeft alleen maar redenen voor andere hackers om hetzelfde te doen. Op het moment dat je een NAS koopt en deze verbind met internet is het je eigen verantwoordelijkheid om alles up to date te houden en al helemaal als er belangrijke data op komt te staan!

[damonnk]

@jurgen : Voor mij is dat ook veel geld voor een bedrijf als synology niet

Geen zaken doen met criminelen klinkt leuk maar zo werkt de wereld helaas niet.
Kijk maar naar de mensen die al zelf betaald hebben.
Je moet altijd uitdragen dat je geen zaken doet met criminelen maar "onderwater" kan je misschien alsnog zaken doen.
Overheden roepen het ook altijd, wij onderhandelen niet met criminelen, maar ondertussen doen ze dat wel met goede reden.

Vind het mooi dat andere mensen er anders over denken, maar ik had van deze "crisis" een kans gemaakt om als Synology iets uit te dragen.
Gelukkig mogen we allemaal een mening hebben , toch? :-)

[Tien]

@jurgen : Voor mij is dat ook veel geld voor een bedrijf als synology niet

en daarmee nog geen steekhoudend argument

[Handige Harry]

Ik heb ook mail van synology !!!

 

 
Beste Synology-gebruikers,

Graag willen wij u informeren dat een ransomware genaamd "SynoLocker" momenteel enkele Synology NAS-gebruikers beïnvloedt. Deze ransomware vergrendelt getroffen servers, versleutelt bestanden van gebruikers en eist een vergoeding om toegang tot de versleutelde bestanden te krijgen.
We hebben bevestigd dat de ransomware alleen van invloed is op de Synology NAS-servers met oudere versies van DiskStation Manager door het uitbuiten van een beveiligingsprobleem, dat in december 2013 werd opgelost.

Getroffen gebruikers kunnen de volgende symptomen ervaren:

Als men zich aanmeldt bij DSM verschijnt er een scherm dat de gebruikers op de hoogte brengt dat de gegevens zijn gecodeerd en een vergoeding is vereist om toegangte krijgen tot deze gegevens.
Abnormaal hoog CPU-gebruik of een lopend proces genaamd "synosync" (kan worden gecontroleerd in Hoofdmenu> Broncontrole).
DSM 4.3-3810 of eerder; DSM 4.2-3236 of eerder; DSM 4.1-2851 of eerder; DSM 4.0-2257 of eerder is geïnstalleerd, maar het systeem zegt dat er geen updates beschikbaar zijn op Configuratiescherm > DSM bijwerken.
Als u de bovenstaande symptomen ervaart, sluit dan onmiddellijk het systeem af en neem contact op met onze technische support: https://myds.synology.com/support/support_form.php

Als u de bovenstaande symptomen niet bent tegengekomen, dan raden we aan om DSM 5.0, of onderstaande versie te installeren:

DSM 4.3-3827 of later
DSM 4.2-3243 of later
DSM 4.0-2259 of later
DSM 3.x of vroeger wordt niet beïnvloed
U kunt handmatig de laatste versie vanDownload Center downloaden en deze installeren op Configuratiescherm > DSM bijwerken > Handmatig DSM bijwerken.
Als u een vreemd gedrag opmerkt of vermoedt dat uw Synology NAS-server is getroffen door het bovenstaande probleem, neem dan contact met ons op security@synology.com.

Onze oprechte excuses voor de eventuele problemen of ongemakken dat dit probleem heeft veroorzaakt. We houden jullie op de hoogte over de laatste informatie bij het aanpakken van dit probleem.
Bedankt voor jullie begrip en geduld.

Met vriendelijke groet,
het Synology Development Team
 

[GerardR]

Ook ik heb zojuist de email ontvangen. Systeem is altijd up to date.
Kennelijk zit ik in de groep die zijn mail van synology per postkoets  ontvang

[Hofstede]

Ik ontving de mail in Engels, jullie zo te zien in het Nederlands. Mogelijk ligt daar de oorzaak.

Edit: Ik heb hem zojuist ook in het Nederlandse versie ontvangen, nadat ik een aantal dagen terug hem al in het Engels kreeg.

[Briolet]

Inderdaad heeft Synology deze mail nu twee maal verstuurd. Vorige week de Engelstalige versie en vandaag kreeg ik de naar het Nederland vertaalde versie.

[blackgoku]

Ik kwam van de week ook weer iemand tegen die versie 4.3 draaide hij snapte niet precies waar hij nou op moet letten bij zon nas en heeft hem nog nooit geüpdatet.
Hier had hij op zich best wel wat meer tijd in mogen steker.
Ik vind ook niet  Synology hiervoor moet op draaien om de bestanden zo gezegd vrij te kopen als de gebruiker niet eens echt de tijd en de moeite neemt om in ieder geval te snappen hoe je de nas moet updaten.
Verder moet synology hier natuurlijk ook geen gehoor aan geven ook al is het voor zon bedrijf een klein bedrag, als Synology dit moet vergoeden voor meer klanten kunnen de kosten hoog oplopen en ook voor Synology duur uitpakken

Verder vind ik dat Synology best veel doet om de gebruiker op de hoogte te houden als er een belangrijke update is.