Auteur Topic: LET OP: NAS HACK: Synolocker actief.  (gelezen 192152 keer)

Offline m4v3r1ck

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 3031
  • -Ontvangen: 325
  • Berichten: 2.641
  • $ sudo -i
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #285 Gepost op: 07 augustus 2014, 11:06:03 »
Maar wie weet, duiken over een half jaar ook nog ergens Synolocker sleutels op. En dan maar hopen dat je de schijf inmiddels al niet geformatteerd hebt.

Laten we het hopen. Wat je dan als gebruiker kan doen (als er tenminste belangrijke data voor je opstaat) is de schijf vervangen en de versleutelde schijf ergens wegleggen. 'N schijfje kost tegenwoordig niet heel veel meer. En later, mochten de sleutels bekend raken kun je hem altijd nog unlocken.

Super goede tip! In ieder geval een goed alternatief!
Commander: DS1821+ | DSM 7.2.1-69057 Update 6
SightWinder: DS1821+ | DSM 7.2.1-69057 Update 6 VMM
Wingman:     DS1812+ | DSM 6.2.4-25556 U8
UPS:             APC Back UPS BE850G2-GR (2x)
________________________________________________________________________________
Cheers! - ! I am an advocate of the "if it ain't broke, you didn't fix it enough" modus operandi !

Offline Jazz

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 5
  • Berichten: 29
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #286 Gepost op: 07 augustus 2014, 11:08:04 »
Dus even 19 pagina's concreet samenvattend:

- de hackers zijn hartloze en onbetrouwbare eikels;
- hun server is mogelijk uit de lucht;
- betaling van het losgeld geeft geen enkele garanties;
- er zijn tools, maar niemand heeft daar echt ervaring mee, uit de eerste hand;
- het raakt alleen DSM versies 4.xx, hoewel er ook geruchten zijn dat 5.xx versie ook niet helemaal veilig zijn;
- als je geraakt bent, zou je kunnen 'experimenteren' met voorgenoemde tools, maar een format en herinstallatie
  is eigenlijk op dit moment de enige optie;
- Synology kan helaas niets voor je doen en ze werken aan een patch.
- we houden niet van off-topic posts en al helemaal niet van reclame

Is dat het zo'n beetje?

Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000) Iemand daar wellicht een idee over? Ik heb alles dichtgezet, ssh had ik al over een andere poort laten lopen en toegang is alleen via public-private key mogelijk, dus wachtwoorden kraken heeft dan geen zin. Root toegang uiteraard uitgezet.
De accounts admin en guest staan sowieso uit. Dit lijkt me redelijk afdoende. Iemand daar een idee over?

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #287 Gepost op: 07 augustus 2014, 11:20:27 »
Hoe ze binnen komen? Volgens Synology via een van de twee bugs de in december 2013 gepatched zijn:

CVE-2013-6955 en CVE-2013-6987. Dit zijn beide bugs in de webpaginas. Dus via poorten waar je deze ziet. Dat is in elk geval 5000 en 5001. Of dat ook via inlogpaginas zoals filestation of de webserver (poort 80) geldt weet ik niet maar ik denk het wel. Wie?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Björn

Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #288 Gepost op: 07 augustus 2014, 11:26:10 »
Ik heb net een mail van Synology onder ogen gekregen die ik jullie niet zal onthouden. In de basis kunnen ze helpen de NAS weer werkend te krijgen en de encrypted data veilig te stellen incl. de gegevens die nodig zijn om op een later moment eventueel te decrypten als de benodigde sleutel kan worden bemachtigd. Ze kunnen de data op dit moment dus niet decrypten (wat niet verbazend is gezien het encryptieniveau).

Synology heeft overigens inmiddels contact met o.a. de FBI en gaat ook in Nederland aangifte doen. Als de daders gepakt worden is er nog een kans dat de sleutels boven water komen en dat er een tool gemaakt kan worden zoals de tool die hierboven genoemd wordt (decryptcryptolocker.com). Zonder deze sleutels is het (nagenoeg) onmogelijk om de data te herstellen.

De mail:

Citaat
Thank you for contacting us. We appreciate your continued patience and support during this time.
As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
 
#1 Reset your DiskStation and restore backup data
 
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re-install DSM:
 
1. Follow the steps in this tutorial to reset your DiskStation: http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here: http://www.synology.com/download
3. Once DSM has been re-installed, log in and restore your backup data.
 
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. As resetting the DiskStation would remove the information required for decryption, we can back up the encryption information on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about retrieving the encryption information, or 2) delete the encrypted files entirely.
If you would like us to preserve the encryption information, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
 
1.Power off DS and take out all hard drive.
2.Power on DS without hard drives.
3.Run Synology Assistant and perform the installation using the following DSM patch below: ftp://on-line:online_user@ftp.synology.com/on-line/Tools/fake_pat/a.pat
4.Using this method, the installation will appear to fail, but Telnet service shall be open.
5.Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6.Please re-insert the hard drives into your DiskStation without rebooting and provide us the following information:
 
(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet       
    application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
    23 is open)
 
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.

Offline hoogerbeets

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 3
  • Berichten: 5
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #289 Gepost op: 07 augustus 2014, 11:30:49 »
Je kan je zelf enigszins beschermen omdat SynoLocker niet alle bestanden encrypt.

Je moet dat lezen dat als er .mp staat dat alle *.mp* bestanden encrypt worden.

Zo te zien zijn b.v. .mkv en .m4v en belangrijk *.png bestanden niet geencrypted.

Dus al je *.mp4 hernoemen naar *m4v en *mp3 bestanden omzetten naar *.ogg en afbeeldingen naar *.png

Dan heb je zeker minder last als je toch een infectie krijgt van SynoLocker.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #290 Gepost op: 07 augustus 2014, 11:31:06 »
Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000)

Nou ja, eerder in de draad had ik er ook al een idee over, maar dan m.b.t. poort 22
Kreeg dagelijks een heel rijtje inlog-pogingen met IP's vanuit China. Na afblokken van poort 22 en uitschakelen van de service die gebruik maakt van poort 22 geen enkele meer.

Als ik de NAS niet benader is die nu in slaapmode, dus het is kennelijk echt rustig, want wordt niet door externe IP's opgestart.

Zie eerdere berichten   < HIER >,   < HIER >   en  < HIER >
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #291 Gepost op: 07 augustus 2014, 12:16:18 »
Als je de twee CVE's doorleest zijn beiden kwetsbaar voor HTTP aanvallen door ongeauthoriseerde gebruikers.
Dus ze komen binnen via de webman interface.
Toont weer eens aan dat het onverstandig is om webman vanaf het internet toe te staan.

Verder zijn het kwetsbaarheden die elke "user" de mogelijkheid geeft file's te uploaden naar je NAS. Dus ook gebruikers die geen admin authorisatie hebben om bijvoorbeeld iets in de systeem partitie te zetten.
Dus naast een webman interface die naar het internet openstaat hadden ze ook nog een username/password nodig al hoefde die geen privileges te hebben.
Ik vermoed dat ze het account "guest" hebben gebruikt dat standaard geen wachtwoord heeft.
Veel mensen zetten dat open voor bepaalde shares voor het gemak(geen username/password nodig).


Het lek is gedicht als je de juiste DSM updates hebt gedaan en het positieve van het verhaal is dat iedereen ineens weer voorzichtiger is geworden en dat de afweging gebruikersgemak versus security er een is die je in ieder geval moet maken.

Zoals ik al vaker heb betoogt, wil je je NAS beheren vanuit het internet gebruik dan een VPN.
Verder is het gebruik van een guest account altijd al af te raden, maar dat hoeft volgens mij geen betoog meer.
Een volgend lek is gewoon nog niet ontdekt maar is gegarandeerd aanwezig.

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 427
  • Arms are made for hugging
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #292 Gepost op: 07 augustus 2014, 19:30:43 »
Citaat
(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet       
    application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
    23 is open)
WAN access via zoiets gammels als Telnet? Een certificate-only SSH zou heel wat veiliger zijn.
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #293 Gepost op: 07 augustus 2014, 20:01:18 »
Dit is dus als de NAS is opgestart terwijl de schijven er uit zijn. Dan kan de NAS op dat ogenblik alleen nog maar een simpele telnet server draaien.

Offline sciurius

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 38
  • Berichten: 427
  • Arms are made for hugging
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #294 Gepost op: 07 augustus 2014, 20:14:00 »
Ah!
  • Mijn Synology: DS418
  • HDD's: 2 x WD8003FFBX
DS418 / DSM 6.2.4-25556 Update 7 / 2 x WD8003FFBX (SHR) / Dovecot / Nextcloud / Transmission / ResilioSync / SynchThing / Spotweb / Logitech Media Server + Spotify
DS413 / DSM 6.2.4-25556 Update 7 / 2 x ST3000DM001-1CH166 (SHR) 2 x WD40EFRX-68WT0N0 (SHR) / Testing
RaspberryPi 4 4GB / SSD 256GB / Nextcloud / Logitech Media Server + Spotify / PostgreSQL / DAViCal / Domoticz / Custom services
HP tn520 / HomeAssistant

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #295 Gepost op: 07 augustus 2014, 21:03:20 »
Dat schrijft Synology ook, in het kort:

Je installeert in feite de fake DSM (.pat), daarna kun je met Telnet (poort 23) op de NAS komen, dan komen de schijven er weer in en kun je die mounten, kijken, files aanpassen enz.
Volgens mij zit er n.l. wat standaard DSM software in de rom waaronder busybox.
Ik heb het even getest op m'n DS111 zonder HD.
Dus de procedure gevolgd en ik kreeg verbinding middels PuTTY, weet alleen niet hoe je moet inloggen  :lol:
Zal wel geheim zijn.   


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline JSSL

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 9
  • Berichten: 172
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #296 Gepost op: 07 augustus 2014, 23:12:28 »
  • Mijn Synology: Ds1618+
  • HDD's: 6x WD 8tb

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #297 Gepost op: 07 augustus 2014, 23:33:24 »
Ha...leuk,  morgen eens proberen  ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline JSSL

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 9
  • Berichten: 172
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #298 Gepost op: 07 augustus 2014, 23:37:05 »
Geen idee of het werkt. Maar het kost niks om is uit te proberen.  ;)
  • Mijn Synology: Ds1618+
  • HDD's: 6x WD 8tb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #299 Gepost op: 08 augustus 2014, 09:08:31 »
Volgens mij wil Synology altijd toegang over poort 23, niet alleen in situaties waar er geen disken in zitten. Ik heb in februari 2014 de volgende instructie gekregen:

Remote Access Instructions
===============================================================
1. Standard Ports we need you to open: 23, 5000
(Please see this link on how to forward your ports, and then select the TELNET application:
http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)

2. Please enable the TELNET and SSH function in Web Management of your Synology NAS. ([Network Service] > [Terminal] )

3. WAN IP Address of your Synology NAS:
[Please go to http://www.yougetsignal.com/tools/open-ports/ and check if the port is open or not]

4. A temporary password for the 'admin' account of your Synology NAS (DSM user with administrator access will NOT be sufficient):

===============================================================

Note: our static external IPs are from 118.163.30.16 and 125.227.152.103 in case you would like to set up a firewall rule to allow only our IPs to access the system.

Daar staat dus geen poort 22 tussen, hoewel in de tekst wel SSH genoemd wordt. Ik heb later dit jaar nog eens deze mail gekregen en toen stond er wel
Standard Ports we need you to open: 22, 23, 5000De rest van de tekst was gelijk, maar nu zonder de voetnoot met de IP adressen aan hun kant.

Of ze hebben bijgeleerd, of ze hebben verschillende versies van de instructie. In elk geval is het netjes dat ze ook een bron IP vermelden zodat je expliciet alleen Synology toegang kunt geven.

@JSSL: De truck met het steeds veranderende wachtwoord, werkt niet meer. (Dat heb ik 1 jaar geleden al getest) Dat dagelijks veranderende wachtwoord was handig voor klantondersteuning door Synology, maar sinds de berekening van het wachtwoord 'op straat' ligt, moeten ze het uit DSM gehaald hebben. Nu moet je ook elke keer een tijdelijk wachtwoord maken als je ondersteuning wilt hebben. ( En als het er stiekem toch nog in zit, zullen ze het aan hun twee IP adressen gekoppeld hebben)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

NAS blijft actief in netwerk

Gestart door FransentomBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 39
Gelezen: 11203
Laatste bericht 30 november 2016, 16:01:21
door Hutje
Drive mapping niet actief na start pc

Gestart door SamzBoard Windows

Reacties: 3
Gelezen: 2668
Laatste bericht 02 januari 2018, 14:01:50
door Robbedoes
Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 4013
Laatste bericht 22 februari 2007, 21:04:10
door Frank
Mail-verificatie ingeschakeld maar niet actief?

Gestart door CreatoXBoard Mail Server

Reacties: 0
Gelezen: 728
Laatste bericht 14 februari 2019, 09:03:06
door CreatoX
Download Station actief maar niet zichtbaar

Gestart door jemoetwatBoard Download Station

Reacties: 3
Gelezen: 4045
Laatste bericht 16 augustus 2012, 09:45:44
door zandhaas