LET OP: NAS HACK: Synolocker actief.

[kuba]

Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???

is niet uit geweest...... 

[Hofstede]

Deze decrypt tool werkt alleen voor de "oude" Cryptolocker besmettingen. Niet voor Synolocker. Is al uitgetest.

[iwan073]

Heb 'm ook niet uitgehad. Wel alle poorten dichtgezet en quickconnect e.d. uitgeschakeld

[Dokman]

heb hem ook maar weer aan gezet.
wel even mijn externe harddisk opgehaald even backup maken en dan nog een backup.

1 Harddisk hier en 1 ergens anders en die wissel ik om de zoveel tijd om.

heb wel mijn poort naar buiten verandert. was altijd 6000 heb er maar wat anders van gemaakt.

hoop alleen niet dat ze via de laptop er op komen

[Ben(V)]

Als ik me het goed herinner werd cryptolocker verspreid via een windows botnet.
De FBI heeft die bende die daar mee bezig was wel opgejaagd, maar dat botnet is natuurlijk gewoon blijven bestaan.
Het zou dus goed kunnen dat de verspreiding van deze synolocker via datzelfde botnet gaat en dus afkomstig is van een PC binnen het LAN.
Een extra scan van je virusscanner op je PC zou dus ook geen kwaad kunnen.

[whoopi]

Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???

Sinds gisteravond draait ie van mij weer. Na het bericht van Synology dat de versie + 5.0 beschermd moest zijn, heb ik de aan knop maar weer ingedrukt.

[sciurius]

Wat ik mis in de berichtgeving is of er een relatie bestaat met de toegepaste hardware. Het lijkt me dat de crypto-programma's binaries zijn en dus voor alle door Synology gevoerde architecturen aangemaakt moeten worden.

[Handige Harry]

Interessant artikel op tweakers: 'Synology: ransomware treft alleen ongepatchte systemen' http://twk.rs/nnSd
 

Lijkt goed nieuws

[SPiET]

Update van SYNOLOGY zelf over een NL die besmet was met het virus (ie zei dat er 5.0 zonder updates op stond, blijkbaar zegt Synology zelf dat het 4.3.3810 is! Dus die ene die zogezegd besmet was met 5.0 klopt dus niet meer.

Dear customer,

Thank you for contacting us. We appreciate your continued patience and support during this time.

According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.

#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:

1. Follow the steps in this tutorial to reset your DiskStation:
http://www.synology.com/support/tutorials/493#t3

2. The latest version of DSM can be downloaded from our Download Center here:
http://www.synology.com/download

3. Once DSM has been re‐installed, we would recommend you to backup your data to other location as soon as you can first. Then remove and create the new volume.

4. Log in and restore your backup data.


#2 Stop the ransomware from encrypting more files
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.

Once your DiskStation has returned to normal status, you can
1) contact us for information about the already encrypted data, or
2) delete the volume and the encrypted files stored on it.

Please confirm if you would like us to stop the ransomware from encrypting more files, and we’ll have your DiskStation working again as soon as possible.

According to our investigation, the ransomware only affects outdated versions of DSM (your DSM is 4.3.3810). No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.


Weet er iemand of in de laatste DSM 5.0 4993 , deze die je afhaalt van de site van Synology of de updates daar ook in zitten of moet je ze allemaal afzonderlijk dl? (manueel of auto)?

 

[Handige Harry]

Waarschijnlijk hebben mensen met dsm4.3 die besmet waren een update gedaan tot dsm 5.0
En dan is dsm 5.0 ook besmet, dus het kan wel. Maar als je al 5.0 draait ben je er schijnbaar niet gevoelig voor.

Verstuurd van mijn GT-I9300

[RAT]

Hier snap ik niks van....NAS gister uit gezet, nu wil ik hem net weer aan gaan zetten, en zie ik dat hij vanmorgen vanzelf is opgestart....hoe kan dat

Gelukkig geen melding van de Hack 

Ik had een tijd geleden in Task Schedular aangegeven dat de NAS om 1 uur s nachts uit moest gaan, en s morgens om 6 uur weer aan, maar dat had ik maanden terug al uitgezet, en sindsdien stond hij dag en nacht aan.
zie screenshot...zou dit na de update naar 5.0 update3  vorige week weer kunnen zijn aan gegaan

[Erwin1]

Power on staat nu toch aangevinkt? Dus is het toch gebruikelijk dat hij opstart?

[RAT]

Power on staat nu toch aangevinkt? Dus is het toch gebruikelijk dat hij opstart?

Maar dat heb ik uitgezet maanden terug...vreemd...
Maar ik snap nu dus wel waarom hij is opgestart :-)

Omdat hij sinds die tijd niet meer is uit geweest, heb ik er denk ik niks van gemerkt :-)

[RAT]

Kan ik aan nemen dat ik nu veilig ben ?

Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!

Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ?  ja...Ik ben een leek op dit gebied 

[Goner]

Kan ik aan nemen dat ik nu veilig ben ?

Als je op DSM 5.0 4493 zit en niet recent pas hebt ge-upgrade van 4.3 zit je redelijk veilig (voor zover je op Internet veilig kunt zijn)

Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.

Ik heb die poorten gewoon open gehouden, kan me niet voorstellen dat ze daar wat me kunnen (totdat natuurlijk iets soortgelijks voor Transmission of zo gevonden wordt)

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?

Als je van buiten op je NAS wilt via DSM of FileStation moet je die poorten openhouden. Voor de veiligheid kun je aan de 'buitenkant' (router) een ander nummer verzinnen en dat forwarden naar ej NAS, kans dat je gescand wordt is dan een stuk kleiner.