Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 97886 keer)

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #135 Gepost op: 05 augustus 2019, 00:38:18 »
Birdy ... misschien pintje gaan drinken  ;) ;) ;)
Dat bedoel ik nu dat er soms geen logica inzit ... maakt het nog ingewikkelder voor "de gewone simpele mens".

Heb nu een volledige scan draaien ... duurt blikbaar uren ... morgen misschien meer nieuws.

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #136 Gepost op: 05 augustus 2019, 06:13:22 »
in dit geval kan ik dat wel begrijpen ::)
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #137 Gepost op: 05 augustus 2019, 09:19:42 »
Ik heb echt geen pintje nodig  ;)
Zeg nog steeds dat het niet kan en is ook niet te reproduceren.
Maar goed, als jij maar tevreden bent.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #138 Gepost op: 05 augustus 2019, 09:34:03 »
…en admin stond toen bij gebruikers  uitgeschakeld.

En eerder beweerde je dat je het woord admin verwijderd had. Ik begrijp ook dat anderen niets van je beweringen snappen omdat een deel ervan niet kan kloppen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #139 Gepost op: 05 augustus 2019, 09:40:57 »
Volgens mij snap ik wel wat er aan de hand is. Ik zie het soms ook gebeuren dat de browser in het email veld als het leeg is automatisch de in de browser opgeslagen gebruikersnaam invult. Dat is geen geldig email adres en dan kun je dus de wijzigingen niet opslaan. Dan moet je dus eerst het email veld weer leegmaken. Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.

45476-0


Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #140 Gepost op: 05 augustus 2019, 09:49:40 »
Citaat
Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.
Of een fout in de browser die veel te veel invult. De browser vult niet alleen accountvelden in, maar ook velden waarvan hij denkt dat het accountvelden zijn. Dit omdat de browser 'gebruikersvriendelijk' wil zijn door ook op slecht geschreven websites een accountveld te vinden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #141 Gepost op: 05 augustus 2019, 10:40:11 »
Resultaat van de scan: volledig veilig.
@Briolet: Begrijpend lezen gaat je blijkbaar moeilijker af dan kritiek / commentaar te geven.
Hofstede heeft het helemaal juist, zo is het gegaan.

Offline Lorence

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 7
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #142 Gepost op: 09 augustus 2019, 10:08:37 »
Héél veel tips om extra te beveiligen, waarvoor dank! Maar wat als je geraakt bent?

Ik kreeg in mei veel meldingen van vreemde inlogpogingen, waar ik actie op ondernam. Tot vandaag niets meer aan de hand, maar vanmorgen klapte ik mijn laptop open en kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt. Ik heb meteen mijn UTP kabel uit de nas getrokken en mijn drive verbindingen verwijderd om het proces stop te zetten. Zo heb ik enkele files kunnen redden op m'n PC, maar de belangrijkste files in bepaalde mappen zijn helaas wel encrypted. Ik heb daarnet ook mijn NAS uitgeschakeld.

Waarschijnlijk een domme vraag, maar ik ga ze toch stellen #durftevragen: wat nu? Hoe kan ik de aangetaste files op mijn NAS redden?
Een back-up maken stond al weken op mijn to-do lijstje, dus 'eigen schuld dikke bult' natuurlijk, i know! Ik ben ook echt een leek, dus probeer met eenvoudige handleidingen alles in orde te houden, wat de afgelopen 7 jaar wel degelijk gelukt is.

Ik durf mijn NAS ook niet meer opzetten nu, want geen idee wat het effect daarvan zal zijn. De ene schijf is ook een kopie van de andere, dus misschien kan ik zo nog iets redden als het kopiëren naar de andere schijf nog niet heeft plaatsgevonden?

Bedankt alvast voor de tips!
  • Mijn Synology: DS213j
  • HDD's: 2 x WD30EFRX 3TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #143 Gepost op: 09 augustus 2019, 11:57:56 »
Citaat
kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt.

Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline G-Boy

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 3
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #144 Gepost op: 09 augustus 2019, 13:47:37 »
Zoals Lorence, ben ik ook één van de veel Synology gebruikers die het slachtoffer is geworden van deze ransomware aanval.

Niettegenstaande dat mijn NAS achter een professionele firewall staat, ik dagelijks backups maak en nog eens een backup van mijn NAS naar een positie in de cloud zet elke nacht, zijn vele van mijn files nu versleuteld (zelfs in de cloud)!!! De encryptie is gebeurd 's nachts wanneer alle PC's duidelijk uit waren gezet.
Ik kan mezelf weinig verwijten, want met mijn kennis heb ik geprobeerd om mijn systeem zo goed mogelijk te laten beveiligen en de data zo goed als mogelijk te laten backuppen volgens scripts die tot op heden goed functioneerden. Maar toch zit ik hier met de gebakken peren....

Aangezien ik deze files in een thuiskantoor gebruik, zijn deze voor mij van levensbelang, en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd. VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden. Maar inderdaad de standaard 'Admin' was niet afgevinkt, en niettegenstaande er een paswoord van 28(!) digits werd toegepast op de NAS, er dagelijks een virusscan draait (ook malware checks) en ik heel nauwkeurig met mail bijlagen omga is men toch aan mijn data weten te komen. Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Maar zelfs het externe netwerk bedrijf is nu nog aan het uitvissen hoe men de firewall/vpn heeft kunnen omzeilen.... Natuurlijk ben ik mijn vertrouwen kwijt in dit bedrijf en hun toestellen die ik heb aangekocht, maar als ik zie dat er duizenden gebruikers hiervan het slachtoffer zijn, dan kan het niet zijn dat enkel mijn netwerk service provider dit probleem heeft. 

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  :'(). Tevens heb ik als gebruiker van Synology nooit een waarschuwing ontvangen om de standard admin user uit te vinken. Heel jammer want als gebruiker kan je toch niet alles weten van de grijze zones van de IT wereld.

Ik hoop dat ik op korte termijn mijn files opnieuw kan gebruiken want op dit ogenblik moet ik proberen om mijn bedrijfje met allerlei trukjes draaiende te houden. Eigenlijk weet ik nu ook niet meer hoe ik me nog meer moet beveiligen..... -> een beetje depri ben ik nu zoals je kan zien.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #145 Gepost op: 09 augustus 2019, 14:07:46 »
Citaat
VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden.

Dan is het niet waarschijnlijk dat de infectie via de nas gekomen is. Zeker als er een goed wachtwoord op het admin account zit. Als er met een regulier account ingelogd is, kun je dat ook in het log terug vinden.

Bij de meeste meldingen (alle?) hier op het forum van ransomeware is de data op de nas versleuteld omdat er een share aan een besmette PC hing en niet omdat er iets mis was op de nas.

Maar iedereen in de beveiligingswereld raad al jaren aan om factor-2 authenticatie te gebruiken. Dat is een goede aanvullende bescherming, want ook sterke wachtwoorden kunnen met b.v. een key-logger onderschept worden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #146 Gepost op: 09 augustus 2019, 14:08:35 »
Ik heb nog nergens gelezen dat er duizenden slachtoffers zijn.

De aanval is vooral gericht op mensen die geen enkel benul hebben van beveiligingen en alles open hebben staan. Dat is bij jou duidelijk niet het geval

Probleem is natuurlijk dat niets zo sterk is als de zwakste schakel. Je hoeft maar één verkeerde USB stick in je PC te steken en je bent de sigaar.

Ben wel benieuwd naar de uiteindelijke verklaring van die firma.

Offline Lorence

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 7
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #147 Gepost op: 09 augustus 2019, 14:11:05 »
Citaat
Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?

Het gaat hier inderdaad over het programma 'Synology Drive'. Files die ik in de cloudstation map bewaar op mijn laptop, worden gesynct naar mijn NAS en omgekeerd.
Omdat ik op mijn laptop de melding kreeg vanuit het programma, ben ik wel zeker dat het mijn NAS is die besmet is. De sync stopte vanaf het moment dat ik de UTP uit mijn NAS haalde. Voor de zekerheid verwijderde ik ook de 'sync taken'  uit het programma om zeker te zijn en zette ik mijn NAS uit. Het stoppen van de sync zorgde ervoor dat er enkele mappen untouched bleven op mijn laptop. Daar ga ik zo meteen ook een backup van maken op een externe harde schijf.
Als hij volgens jou gewiste files bewaard, waar zou ik die dan kunnen terugvinden? Alvast niet in m'n prullenbak.


Citaat
Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe,
Wat G-Boy aanhaalde over het niet communiceren van Synology en het uitsturen van deze waarschuwing wou ik ook nog aanhalen daarnet. Maar ik was niet zeker, misschien had ik wel een mailtje gemist of per ongeluk verwijderd? Aangezien hij hetzelfde verhaal heeft sluit ik me wel aan bij zijn ongenoegen en frustratie. Door het aanraden van het simpele uitvinken van een admin user hadden heel wat users problemen kunnen vermijden. Velen zitten niet elke dag dit forum af te schuimen als alles draait zoals het zou moeten.

Dus conclusie is dus wachten tot Synology komt met een decryptor? Of zijn er nog andere opties?
  • Mijn Synology: DS213j
  • HDD's: 2 x WD30EFRX 3TB

Offline G-Boy

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 3
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #148 Gepost op: 09 augustus 2019, 14:18:57 »
Beste,

Mijn netwerk service provider is in contact met verschillende gespecialiseerde bedrijven, en daaruit blijkt dat er inderdaad veel slachtoffers zijn van deze ransomware, alleen wordt hier zeer weinig over gecommuniceerd. Met mijn berichtje wil ik dit eigenlijk een beetje doorbreken want ik schaam me hier niet over dat ik dit nu voor heb.

Qua USB sticks worden deze ook gescand en ik heb nergens maar één melding van gekregen, niettegenstaande de aankoop van een goede virus & malware scanner. maar ik verdenk meer de connectie van een smartphone via de interne wifi (misschien zelfs mijn eigen smartphone?).

Ik moet wel zeggen dat die firma alles in het werk stelt om tot een oplossing te komen, maar zij zijn zelf ook afhankelijk van de ontwikkeling van een decryptor protocol. En god weet wanneer dat dit voorhanden zal zijn.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #149 Gepost op: 09 augustus 2019, 14:21:45 »
 @Lorence   Triest verhaal met grote impact.

....en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd.

Ik lees meer dan eens (en zelfs ook ervaring in mijn kennissenkring) dat veel van die bedrijven er gewoon met de pet naar gooien.
Kost veel geld, en als er dan iets aan de hand is, verschuilen ze zich achter kleine lettertjes in het contract.

....Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Dat had dat externe bedrijf wat je speciaal hebt aangetrokken, eigenlijk gewoon moeten weten.

Maar er zijn veel meer "weak spots" in een netwerkbeveiliging aan te merken.
Bij een kennis van mij heeft de attack helemaal niet plaats gevonden via connectie "rechtstreeks" met de NAS,
maar via ransomware op diens PC, welke van daaruit via de "open" SMB netwerk shares hun werk doet ook naar bestanden op de NAS.

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  :'().

Van die kennis weet ik dat Synology achter de schermen wel degelijk bezig is, via een ticket wat hij had ingelegd voor een oplossing.
Maar ook zij gaven aan nog geen ontsleutelingsalgoritmen te hebben gevonden.
Binnen de (beperkte) mogelijkheden worden via overheden, justitie e.d. toch geprobeerd lieden op te sporen die hier mee bezig zijn.
Vanuit dat soort acties (en mogelijke arrestaties) komen dan mogelijk ook sleutels vrij.
Maar omdat zich dit over internationale regio uitspreidt, is het meestal een verloren zaak.

Admin uitvinken wordt sinds jaar en dag hier op het forum reeds gepromoot.
Bij installatie van een NAS met huidige firmware wordt het zelfs door Synology afgedwongen om dat te doen.
Maar zoals aangehaald, daar hoeft in bepaalde situaties niet eens het probleem te hebben gelegen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

[verkocht] Synology 212J zonder HDD

Gestart door Cl@!mBoard Verkocht

Reacties: 13
Gelezen: 3912
Laatste bericht 19 augustus 2014, 19:24:23
door Ericbrouwer
Synology koppelen met Qnap

Gestart door GuidoGBoard Synology DSM 5.1 en eerder

Reacties: 7
Gelezen: 4341
Laatste bericht 16 oktober 2014, 07:56:37
door GuidoG
De account of het wachtwoord is ongeldig synology

Gestart door Lennart86Board Synology DSM 5.1 en eerder

Reacties: 34
Gelezen: 16097
Laatste bericht 10 december 2014, 21:41:19
door Birdy
Synology en Kyocera: Scan -> Map mogelijk?

Gestart door OSXtvBoard Externe harddisks en Printers

Reacties: 4
Gelezen: 3880
Laatste bericht 29 december 2014, 13:30:36
door Ben(V)
Synology als PVR

Gestart door bassie21Board Algemeen

Reacties: 46
Gelezen: 47827
Laatste bericht 22 november 2013, 22:08:50
door Stephan296