LET OP: NAS HACK: Synolocker actief.

[Briolet]

Het zijn niet alleen kleine amateurtjes die hun nas niet bijhouden. Op 6 augustus stond er in een Hong Kongse krant dat een Chinees ziekenhuis de gegevens van 10000 patiënten kwijt was aan deze mallware.

Ze hadden daar blijkbaar 2 Synology Nassen die beide besmet geraakt zijn. Uit het verhaal blijkt niet duidelijk of ze de data echt kwijt zijn, of dat ze toch nog backups hadden.

[Storm]

Ik heb vorige week de update gedaan naar DSM 5.0 update 3.
Is deze veilig of moet ik nog andere dingen doen?

alvast bedankt.

Gr,
Storm

[Handige Harry]

Volgens alle verhalen wat volgens mij bekend is. 

Is dat als je inlogt op je synology en je geen melding krijgt dat je systeem besmet is met SynoLocker, dan mag je ervan uitgaan dat je 'gespaard' bent gebleven.

En je kunt eventueel zoeken naar het proces 'synosync', dat kan ook duiden op besmetting.

[Remy89]

Ik heb vorige week de update gedaan naar DSM 5.0 update 3.
Is deze veilig of moet ik nog andere dingen doen?

Ligt er een beetje aan. Van welke versie kom je af?

[JB_Walton]

Hoi,

Ik ben ook slachtoffer van Synolocker.
Direct volgens één van de procedures ge-update naar 5.0. Gelukt, data was er nog gelukkig, maar het meeste wel encrypted.
Geen backup helaas (Ja, ik weet het: heel dom).

Aangezien de data veel waard is overwoog ik de 0.6 bitcoin te betalen.
Echter geen identification code meer te achterhalen, aangezien ik de update had uitgevoerd.
Daarom geen Synolocker pagina meer via de admin.

Uiteindelijk via de tor browser de melding gezien dat ik via bitmessage contact op kon nemen.
Allemaal gedaan en keurig de identificatie code ontvangen, betaald (helaas 1.2 bitcoin) en vervolgens de private key ontvangen.

Nu mijn probleem:
Aangezien ik de update heb uitgevoerd werkt Synolocker niet meer zoals beschreven (pagina is gewoon weg).
Nu moet ik de decryption software dus op enige wijze activeren. Er is ook een Expert mode (command line) mogelijkheid staat beschreven (/etc/synolock/synolock).
Maar: Die staat niet meer op de NAS. Wel nog de /etc/synolock map, maar deze is niet volledig lijkt het.

Van de Synolocker mensen na herhaaldelijk een mail sturen via bitmessage nog geen reactie mogen ontvangen.

Kan iemand mij verder helpen?

Alvast dank,
Jan

[blackgoku]

Hier nog wat nieuws dat ik net las op Tweakers


De criminelen achter de SynoLocker-ransomware, waarmee data op een Synology-nas heimelijk wordt versleuteld, hebben aan 5500 slachtoffers een tijdslimiet gesteld. Zij krijgen nog enkele dagen om bitcoins over te maken in ruil voor de decryptiesleutel.

Op de website waarop een sleutel 'gekocht' kan worden door 0,6 bitcoin, omgerekend circa 260 euro, over te maken, wordt momenteel een aftellende klok getoond. Slachtoffers van de ransomware zouden nog maar enkele dagen de tijd hebben om te betalen, zo meldt het Finse F-Secure.

De SynoLocker-makers stellen dat er nog 5500 sleutels niet zijn gekocht door slachtoffers van de malware. Ook dreigen ze de resterende sleutels te verkopen. Daarvoor vragen de criminelen 200 bitcoin, omgerekend bijna 77.100 euro. Na het verstrijken van de tijd zou de website verdwijnen. Verder claimen de criminelen dat alle databases met rsa-encryptiesleutels gewist zullen worden.

Onduidelijk is nog steeds hoe de ransomware, die sterk lijkt op het oudere CryptoLocker, nas-systemen van Synology heeft kunnen besmetten. Wel is bekend dat DSM 5.0 en DSM 3.x niet kwetsbaar zijn, en diverse DSM 4.x-versies wel een lek bevatten als een DSM-update van december 2013 niet is geïnstalleerd. Synology heeft inmiddels diverse updates voor DSM 4.x uitgebracht om het gat te dichten.

[Hofstede]

Dit was al eerder in dit topic gemeld. Maar dit topic is nu al zo lang dat het moeilijk wordt om het terug te vinden.

[blackgoku]

Volgens mij is dat weer een andere van uit tweakers, deze is van vandaag 14:45

[Briolet]

Denk je echt dat Tweekers deze info verzint? Zij praten ook andere onderzoekers na. Op dit forum zijn ze gewoon sneller dan Tweekers
Het gaat wel om een bericht uit dezelfde bron.

f-secure.com gaf nog wel nadere info over de inside van de code, maar ook zij kunnen niet met zekerheid zeggen via welk lek de malware binnenkwam.

[Martijn85]

Er is gister ook een mail verstuurd door Synology met meer informatie over welke versies wel of niet geïnfecteerd kunnen raken.

[Handige Harry]

@martijn85 bedoel je de mail die gisteren gepost is?

[baco1963]

en door dat gezeik zitten er een hele hoop met gebakken peren waaronder ondergetekende.

die zijn nas heeft verkocht omdat ik niks meer kreeg geregeld geen rechten meer geen sanzb geen download station en geen nzbget niks meer kunnen doen, ook niet na het formateren van de schijven en updaten naar dsm 5.0 update 3 helemaal niks meer.

[TonVH]

Jouw NAS doet niets meer en dus verkoop je hem oftewel je verkoopt een defect apparaat.

Onzin natuurlijk want met een full reset had je gewoon je backup (die je uiteraard hebt ..... of niet soms) terug kunnen zetten en was er niets meer aan de hand geweest.


Dus het enige "gezeik" (jouw woordkeus) komt van jou.

[nielsvo]

"Vriendelijke groeten van" iets te simpel vertaald naar "Kind regards from the "SynoLocker Trojan crime gang".?
Puur speculeren, maar zou mij niet verbazen als het een Nederlandse hackgroep is die hier achter zit.
Heeft er al iemand aangifte gedaan bij de politie? Ik zelf overigens niet, al mijn data is gered na betalen van 0.6 bitcoin en ik ben bang dat als ik oom agent moet gaan uitleggen dat mijn NAS is gekraakt en daarvoor als losgeld bitcoins moet betalen dat ie me eerst glazig staat aan te kijken en vervolgens ook niet weet wat daarvoor nou het bijbehorende aangifteformulier is en in welke lade dat verdwijnt
Was nog wel even spannend, het decrypt script bleef hangen op het laatste bestand (had ik een kopie van i.t.t. sommige andere data). Geen reactie gehad op mijn bitmessage, dus toch maar met enige gezonde twijfel de uninstall knop ingedrukt die de boel zou moeten deinstalleren en de NAS vrijgeven.... en hopelijk niet alsnog de data opnieuw encrypt of delete. Vervolgens kreeg iki eerst een blanco scherm en vervolgens opnieuw de pagina om de private key in te vullen, ik dacht meteen: dit is waarschijnlijk niet helemaal zoals het hoorde te gaan 
Aanmeldscherrm kreeg ik nog wel, maar er bleef een service draaien waardoor ik niet kon inloggen. Invullen van de private key deed niks meer, kreeg elke keer dit scherm terug. NAS gereset, service bleef draaien 
Na een paar keer resetten is het toch gelukt, kon eindelijk DSM versie 5 installeren, meteen step 3 geüpdatet. Al mijn data terug 

[TonVH]

Je hebt wel alles volledig vanaf scratch geïnstalleerd (liefst extern formatteren HD's) zodat er niets achter is gebleven?