Synology geeft waarschuwing voor ransomware aanval.

[Menneke]

Birdy ... misschien pintje gaan drinken 
Dat bedoel ik nu dat er soms geen logica inzit ... maakt het nog ingewikkelder voor "de gewone simpele mens".

Heb nu een volledige scan draaien ... duurt blikbaar uren ... morgen misschien meer nieuws.

[stapper]

in dit geval kan ik dat wel begrijpen

[Birdy]

Ik heb echt geen pintje nodig 
Zeg nog steeds dat het niet kan en is ook niet te reproduceren.
Maar goed, als jij maar tevreden bent.

[Briolet]

…en admin stond toen bij gebruikers  uitgeschakeld.

En eerder beweerde je dat je het woord admin verwijderd had. Ik begrijp ook dat anderen niets van je beweringen snappen omdat een deel ervan niet kan kloppen.

[Hofstede]

Volgens mij snap ik wel wat er aan de hand is. Ik zie het soms ook gebeuren dat de browser in het email veld als het leeg is automatisch de in de browser opgeslagen gebruikersnaam invult. Dat is geen geldig email adres en dan kun je dus de wijzigingen niet opslaan. Dan moet je dus eerst het email veld weer leegmaken. Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.

[Briolet]

Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.

Of een fout in de browser die veel te veel invult. De browser vult niet alleen accountvelden in, maar ook velden waarvan hij denkt dat het accountvelden zijn. Dit omdat de browser 'gebruikersvriendelijk' wil zijn door ook op slecht geschreven websites een accountveld te vinden.

[Menneke]

Resultaat van de scan: volledig veilig.
@Briolet: Begrijpend lezen gaat je blijkbaar moeilijker af dan kritiek / commentaar te geven.
Hofstede heeft het helemaal juist, zo is het gegaan.

[Lorence]

Héél veel tips om extra te beveiligen, waarvoor dank! Maar wat als je geraakt bent?

Ik kreeg in mei veel meldingen van vreemde inlogpogingen, waar ik actie op ondernam. Tot vandaag niets meer aan de hand, maar vanmorgen klapte ik mijn laptop open en kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt. Ik heb meteen mijn UTP kabel uit de nas getrokken en mijn drive verbindingen verwijderd om het proces stop te zetten. Zo heb ik enkele files kunnen redden op m'n PC, maar de belangrijkste files in bepaalde mappen zijn helaas wel encrypted. Ik heb daarnet ook mijn NAS uitgeschakeld.

Waarschijnlijk een domme vraag, maar ik ga ze toch stellen #durftevragen: wat nu? Hoe kan ik de aangetaste files op mijn NAS redden?
Een back-up maken stond al weken op mijn to-do lijstje, dus 'eigen schuld dikke bult' natuurlijk, i know! Ik ben ook echt een leek, dus probeer met eenvoudige handleidingen alles in orde te houden, wat de afgelopen 7 jaar wel degelijk gelukt is.

Ik durf mijn NAS ook niet meer opzetten nu, want geen idee wat het effect daarvan zal zijn. De ene schijf is ook een kopie van de andere, dus misschien kan ik zo nog iets redden als het kopiëren naar de andere schijf nog niet heeft plaatsgevonden?

Bedankt alvast voor de tips!

[Briolet]

kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt.

Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?

[G-Boy]

Zoals Lorence, ben ik ook één van de veel Synology gebruikers die het slachtoffer is geworden van deze ransomware aanval.

Niettegenstaande dat mijn NAS achter een professionele firewall staat, ik dagelijks backups maak en nog eens een backup van mijn NAS naar een positie in de cloud zet elke nacht, zijn vele van mijn files nu versleuteld (zelfs in de cloud)!!! De encryptie is gebeurd 's nachts wanneer alle PC's duidelijk uit waren gezet.
Ik kan mezelf weinig verwijten, want met mijn kennis heb ik geprobeerd om mijn systeem zo goed mogelijk te laten beveiligen en de data zo goed als mogelijk te laten backuppen volgens scripts die tot op heden goed functioneerden. Maar toch zit ik hier met de gebakken peren....

Aangezien ik deze files in een thuiskantoor gebruik, zijn deze voor mij van levensbelang, en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd. VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden. Maar inderdaad de standaard 'Admin' was niet afgevinkt, en niettegenstaande er een paswoord van 28(!) digits werd toegepast op de NAS, er dagelijks een virusscan draait (ook malware checks) en ik heel nauwkeurig met mail bijlagen omga is men toch aan mijn data weten te komen. Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Maar zelfs het externe netwerk bedrijf is nu nog aan het uitvissen hoe men de firewall/vpn heeft kunnen omzeilen.... Natuurlijk ben ik mijn vertrouwen kwijt in dit bedrijf en hun toestellen die ik heb aangekocht, maar als ik zie dat er duizenden gebruikers hiervan het slachtoffer zijn, dan kan het niet zijn dat enkel mijn netwerk service provider dit probleem heeft. 

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  ). Tevens heb ik als gebruiker van Synology nooit een waarschuwing ontvangen om de standard admin user uit te vinken. Heel jammer want als gebruiker kan je toch niet alles weten van de grijze zones van de IT wereld.

Ik hoop dat ik op korte termijn mijn files opnieuw kan gebruiken want op dit ogenblik moet ik proberen om mijn bedrijfje met allerlei trukjes draaiende te houden. Eigenlijk weet ik nu ook niet meer hoe ik me nog meer moet beveiligen..... -> een beetje depri ben ik nu zoals je kan zien.

[Briolet]

VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden.

Dan is het niet waarschijnlijk dat de infectie via de nas gekomen is. Zeker als er een goed wachtwoord op het admin account zit. Als er met een regulier account ingelogd is, kun je dat ook in het log terug vinden.

Bij de meeste meldingen (alle?) hier op het forum van ransomeware is de data op de nas versleuteld omdat er een share aan een besmette PC hing en niet omdat er iets mis was op de nas.

Maar iedereen in de beveiligingswereld raad al jaren aan om factor-2 authenticatie te gebruiken. Dat is een goede aanvullende bescherming, want ook sterke wachtwoorden kunnen met b.v. een key-logger onderschept worden.

[Hofstede]

Ik heb nog nergens gelezen dat er duizenden slachtoffers zijn.

De aanval is vooral gericht op mensen die geen enkel benul hebben van beveiligingen en alles open hebben staan. Dat is bij jou duidelijk niet het geval

Probleem is natuurlijk dat niets zo sterk is als de zwakste schakel. Je hoeft maar één verkeerde USB stick in je PC te steken en je bent de sigaar.

Ben wel benieuwd naar de uiteindelijke verklaring van die firma.

[Lorence]

Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?

Het gaat hier inderdaad over het programma 'Synology Drive'. Files die ik in de cloudstation map bewaar op mijn laptop, worden gesynct naar mijn NAS en omgekeerd.
Omdat ik op mijn laptop de melding kreeg vanuit het programma, ben ik wel zeker dat het mijn NAS is die besmet is. De sync stopte vanaf het moment dat ik de UTP uit mijn NAS haalde. Voor de zekerheid verwijderde ik ook de 'sync taken'  uit het programma om zeker te zijn en zette ik mijn NAS uit. Het stoppen van de sync zorgde ervoor dat er enkele mappen untouched bleven op mijn laptop. Daar ga ik zo meteen ook een backup van maken op een externe harde schijf.
Als hij volgens jou gewiste files bewaard, waar zou ik die dan kunnen terugvinden? Alvast niet in m'n prullenbak.

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe,

Wat G-Boy aanhaalde over het niet communiceren van Synology en het uitsturen van deze waarschuwing wou ik ook nog aanhalen daarnet. Maar ik was niet zeker, misschien had ik wel een mailtje gemist of per ongeluk verwijderd? Aangezien hij hetzelfde verhaal heeft sluit ik me wel aan bij zijn ongenoegen en frustratie. Door het aanraden van het simpele uitvinken van een admin user hadden heel wat users problemen kunnen vermijden. Velen zitten niet elke dag dit forum af te schuimen als alles draait zoals het zou moeten.

Dus conclusie is dus wachten tot Synology komt met een decryptor? Of zijn er nog andere opties?

[G-Boy]

Beste,

Mijn netwerk service provider is in contact met verschillende gespecialiseerde bedrijven, en daaruit blijkt dat er inderdaad veel slachtoffers zijn van deze ransomware, alleen wordt hier zeer weinig over gecommuniceerd. Met mijn berichtje wil ik dit eigenlijk een beetje doorbreken want ik schaam me hier niet over dat ik dit nu voor heb.

Qua USB sticks worden deze ook gescand en ik heb nergens maar één melding van gekregen, niettegenstaande de aankoop van een goede virus & malware scanner. maar ik verdenk meer de connectie van een smartphone via de interne wifi (misschien zelfs mijn eigen smartphone?).

Ik moet wel zeggen dat die firma alles in het werk stelt om tot een oplossing te komen, maar zij zijn zelf ook afhankelijk van de ontwikkeling van een decryptor protocol. En god weet wanneer dat dit voorhanden zal zijn.

[Babylonia]

 @Lorence   Triest verhaal met grote impact.

....en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd.

Ik lees meer dan eens (en zelfs ook ervaring in mijn kennissenkring) dat veel van die bedrijven er gewoon met de pet naar gooien.
Kost veel geld, en als er dan iets aan de hand is, verschuilen ze zich achter kleine lettertjes in het contract.

....Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Dat had dat externe bedrijf wat je speciaal hebt aangetrokken, eigenlijk gewoon moeten weten.

Maar er zijn veel meer "weak spots" in een netwerkbeveiliging aan te merken.
Bij een kennis van mij heeft de attack helemaal niet plaats gevonden via connectie "rechtstreeks" met de NAS,
maar via ransomware op diens PC, welke van daaruit via de "open" SMB netwerk shares hun werk doet ook naar bestanden op de NAS.

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  ).

Van die kennis weet ik dat Synology achter de schermen wel degelijk bezig is, via een ticket wat hij had ingelegd voor een oplossing.
Maar ook zij gaven aan nog geen ontsleutelingsalgoritmen te hebben gevonden.
Binnen de (beperkte) mogelijkheden worden via overheden, justitie e.d. toch geprobeerd lieden op te sporen die hier mee bezig zijn.
Vanuit dat soort acties (en mogelijke arrestaties) komen dan mogelijk ook sleutels vrij.
Maar omdat zich dit over internationale regio uitspreidt, is het meestal een verloren zaak.

Admin uitvinken wordt sinds jaar en dag hier op het forum reeds gepromoot.
Bij installatie van een NAS met huidige firmware wordt het zelfs door Synology afgedwongen om dat te doen.
Maar zoals aangehaald, daar hoeft in bepaalde situaties niet eens het probleem te hebben gelegen.