LET OP: NAS HACK: Synolocker actief.

[ReneBel]

Ik heb het via deze stappen gedaan en kon zo overal weer bij. Enige wat ik recht heb moeten zetten waren de rechten op de shares.

1. Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.

[Birdy]

Deze werkt ook:
http://www.synology.com/nl-nl/support/tutorials/493
Punt 3.

[nielsvo]

Ik ben nog naarstig op zoek naar twee dingen:
1 - is er een manier om te vinden welke files wel/niet encrypt zijn?

Je kunt er ruwweg vanuit gaan dat alle files die een timestamp hebben gekregen rondom het tijdstip van andere encrypted files geraakt zijn door Synolocker.

[ReneBel]

Hoe simpel kan het zijn ... het was me nog niet opgevallen dat de timestamps idd zijn aangepast. 2-8-2014 om 22:50 is de ellende begonnen. 

Edit: ik snap er geen bal meer van. Heel veel hebben een nieuwe time stamp maar ook heel veel bestanden niet. Dacht eerst dat foto's (CR2, RAW, JPG) de oude datum nog hadden maar ik heb ook JPG bestanden met veranderde timestamp. Voor de duidelijkheid: ook heel erg veel bestanden met oude timestamp die encrypted zijn.

[sciurius]

Het is vrij eenvoudig om bestanden te encrypten en dan de oorspronkelijke timestamp weer terug te zetten. gzip gebruikt dat bv. voor gecompresste bestanden.

[roald]

Ben helaas ook getroffen. Constateer dat pas na vakantie :-(
Heb lokale backup, timebackup en offsite netbackup.
De eerste twee zijn ook gedeeltelijk aangetast omdat de schijf nog wel gekoppeld was.
De timebackup lijkt nog redelijk. mogelijk is de encrypter gestrand in de grote hoeveelheid bestanden.
De netbackup heeft maar 1350 aangetaste bestanden omdat de internetverbinding verbroken was.
Met de combinatie van de netbackup en de timebackup moet ik meeste wel weer kunnen herstellen maar OS moet natuurlijk eerst teruggezet.
Heb in forum de instructie al gevonden (via resetknop lijkt me beste). Maar heb gehoord dat je een backup alleen maar kunt terugzetten in gelijke OS-versie?

• Kan je bij de installatie vanuit de assistant zelf de juiste .pat aanleveren (die staat in de downloads van synology)?).
• Hoe kom ik achter de juiste versie (hoe nauw luistert het).
• Zal ik 1 schijf uit de syno halen voor dit proces zodat die altijd nog als (gehackte) versie terug te zetten is (ze staan in mirror op mijn 213+) ?

Alvast bedankt voor jullie tips.

[Michel5]

Probeer nu Diskstaion te resetten volgens de instructies van Synology:
twee keer reset knopje indrukken, geel lampje, double klikken in Assistent op server - indicating 'configuratie verloren',  maar krijg op dat moment weer de pagina van " Synlocker actief". NIets installatie scherm dus.
Wat te doen, m.a.w. hoe kan ik nu op nieuw DSM installeren (volgens deze methode?!

Dank

[Birdy]

Dan doe je toch iets niet goed.
Had je deze tut goed gevolgd ? Punt 3 ?

[ReneBel]

Ik zou de time backup gebruiken, dan kun je terug naar de datum voor de 'attack' toch? Dan weet je zeker dat je clean terug komt.

Voor het herstel heb ik de procedure bovenaan deze pagina gevolgd. Ging in no-time, fluitje van een cent. Geen reset knoppen indrukken gedurende x-seconden maar gewoon korte stapjes. Moet je echter wel losse disc hebben btw. Ik heb meteen de laatste versie DSM 5.0 version 3 gedownload en geïnstalleerd.

Succes!

[Michel5]

Dank voor reacties.
Na paar keer klikken op Diskstation in Assistent, verdween opeens de Synlocker pagina en kon ik DSM opnieuw installeren incl. update DSM 5.0 versie 3.
Klaar.
Dacht ik.
Verscheen opeens in plaats van mijn DSM home page weer de Synlocker page....
Die vervolgens na een tiental seconden weer verdween.
M.a.w e.e.a doet het nu dus, vraag me niet hoe en vertrouw het voor geen zier meer...

Moet ik nog iets met mijn schijven doen?
Hoe kan bijv. ik deze checken om te zien welke bruikbare files er nog op staan en wat niet betrouwbaar is

Ik weet het, beginners vragen, maar toen ik diskstation uitzette toen ik synlocker er op zag staan, heb ik kunnen zien dat al mijn files er nog op stonden en benaderbaar waren -via map-structuur iMAc-.
Nu na Herinstallatie volgens methode 3 -dus met behoud van bestanden- staan alleen *.jpg-files er nog op: verder zie ik helemaal niets...)

Nogmaals dank
m.

[ReneBel]

Ik zou dit inderdaad niet vertrouwen. Of het met wijze van installatie te maken heeft weet ik niet, ik ben opnieuw begonnen met losse disc en heb vervolgens oude discs laten migreren. Dat geeft DSM zelf aan (zie bovenstaande stappen). Ik ben niet geconfronteerd met missende files.

Via

grep -r -H "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337" .  | cut -d: -f1 > /volume1/download/result2014.txt

heb ik alle besmette bestanden getraceerd en kon ik gericht restores doen van deze bestanden. Ik kon niet massaal terug, omdat het Cloudstation files betreft. Gelukkig zijn door deze Synolocker niet de oude versies overschreven maar kun je dus een vorige versie terugzetten. File voor file ... !

Als je via de Resource Monitor het proces met de naam 'synosync' nog ziet draait de ellende nog steeds. Of dit proces onder DSM 5 schade aan kan richten weet ik niet, DSM 5 is veilig zegt men bij Synology. Of dat tegen nieuwe installatie van (besmetting met) deze software is of tegen het draaien en uitvoeren van encryptie door de software is weet ik niet.

[sciurius]

Of dit proces onder DSM 5 schade aan kan richten weet ik niet, DSM 5 is veilig zegt men bij Synology. Of dat tegen nieuwe installatie van (besmetting met) deze software is of tegen het draaien en uitvoeren van encryptie door de software is weet ik niet.

DSM 5 (en recente versies van 4.x) zijn veilig voor besmetting. Maar als de besmetting al 'aan boord' is gaat het gewoon verder.
Vandaar het steeds terugkerende advies om, als je je gegevens kunt restoren van backup, eerst de disks volledig te formatteren en DSM ook geheel opnieuw te installeren.

[Kwazie]

Dank voor reacties.
Na paar keer klikken op Diskstation in Assistent, verdween opeens de Synlocker pagina en kon ik DSM opnieuw installeren incl. update DSM 5.0 versie 3.
Klaar.
Dacht ik.
Verscheen opeens in plaats van mijn DSM home page weer de Synlocker page....
Die vervolgens na een tiental seconden weer verdween.
M.a.w e.e.a doet het nu dus, vraag me niet hoe en vertrouw het voor geen zier meer...

Komt waarschijnlijk nog uit de cache van je browser

[nielsvo]

Ik weet het, beginners vragen, maar toen ik diskstation uitzette toen ik synlocker er op zag staan, heb ik kunnen zien dat al mijn files er nog op stonden en benaderbaar waren -via map-structuur iMAc-.

Dat ze er nog op staan zegt niet zoveel: als ze encrypted zijn staan ze er ook nog steeds op, aan de file zelf zie je het niet. Heb je ze daadwerkelijk kunnen openen? Bij mij kon ik het aan de timestamp zien: als die veranderd was naar de datum vanaf dat synolocker actief was, waren ze encrypted.

[nielsvo]

10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.

Ik heb het iets anders gedaan volgens mij (weet het eigenlijk niet meer precies). Wel via Synology Assistant na reset, maar bij mij werd de system partitition wel geformatteerd. Was even bang dat daarna de data partition zou volgen want dat stond op het scherm als volgende stap maar die werd vervolgens overgeslagen (gelukkig, heb je net 0.6 bitcoin betaald om alles terug te krijgen en zou alles vervolgens alsnog geformatteerd worden  ).

Maar was eigenlijk wel blij dat de system partitition WEL geformatteerd werd, daar stond immers ook die synolocker.