Synology-Forum.nl
Overige software => File Station => Topic gestart door: tinuz1978 op 15 augustus 2018, 05:04:04
-
Hello!
Sinds gister kan ik geen content meer afspelen!? videos,fotos etc.
Ik kom er net achter dat al mijn bestanden zijn vernoemd naar een dubbel bestanstype!?
Ik snap niet hoe dit heeft kunnen gebeuren en waar het mee te maken kan hebben. Zie hieronder wat ik bedoel
Alvast bedankt
-
Bestandstype qweuirtksd is totaal onbekend en DSM zal dit er niet van gemaakt hebben.
Mijn vermoeden is, dat iemand "grappig" geweest.
Die iemand kan iemand zijn geweest binnen je eigen netwerk (dus een bekende) of, erger nog, een hacker van buiten af.
De vraag is, als je .qweuirtksd verwijderd, zijn de files dan nog wel afspeelbaar ?
-
ReadmeToDecrypt bestand ???
Ben je slachtoffer van een locker virus ?
-
Hoogst waarschijnlijk wel.
-
Dat google deze naam "qweuirtksd" niet eens vind is vreemd. Als dat een locker is, zullen er toch meer mensen vragen over deze naam gesteld hebben.
Hoewel ik verwacht dat Google binnenkort wel naar dit forum gaat wijzen als je er op zoekt.
En ik zou inderdaad proberen dat "ReadMe" bestand te openen met een tekstverwerker. Misschien dat je daar wijzer wordt.
-
IDD, ik had ook Google gebruikt, niets te vinden.
Maar, zoals aangegeven:
Mijn vermoeden is, dat iemand "grappig" geweest.
Die iemand kan iemand zijn geweest binnen je eigen netwerk (dus een bekende) of, erger nog, een hacker van buiten af.
De vraag is, als je .qweuirtksd verwijderd, zijn de files dan nog wel afspeelbaar ?
En de vraag staat nog uit over de afspeelbaarheid, indien encrypted, dan......... :wtf:
-
allemaal bedankt voot jullie opmerkingen....
- virus zou kunnen, hopelijk is dan niet mijn gehele netwerk besmet maar alleen de synolygy!?
- als ik een nieuwe directory aanmaak en hier files in zet worden deze niet hernoemd/besmet dat is opvallend...
- lolbroek binnen mijn eigen netwerk is niet mogelijk dus zou dan van buitenaf komen al heb ik wel aardig firewall aanstaan
- de files kunnen na rename niet geopend worden
- en die readme file bevat niet echt veel txt wel toevallig dat die file in elke dir is geplaatst wat lijkt op een attack
- kan iemand die readme filet ontcijferen?
-
kan iemand die readme filet ontcijferen
Dat is niet te ontcijferen, is encrypted !
de files kunnen na rename niet geopend worden
Dus wel degelijk een hackers aanval.
Maar goed, als die txt wel leesbaar zou zijn, dan zou het je veel geld kosten om je files weer terug te krijgen.
Heb je geen backup ?
-
staan voornamlijk films op en nas diende als backup schijf.... :(
kan ik erachter komen hoe deze persoon is binnen gekomen?!
-
Welke poorten heb je forwarded naar je NAS, zo kunnen ze binnenkomen, samen met een heel eenvoudig password.
Het kan ook via je PC die dan weer een share heeft naar je NAS.
Echt erachter komen zal wel heel lastig zijn, denk dat ze sporen ook wissen.
-
vrijwel niks volgensmij....
Networked Computer / Device Applications & Ports Forwarded Status Delete
localhost
127.0.0.1
Verizon Fios Service
TCP Any -> 4567
Active
Synology_NAS
10.0.1.11
ftp
Protocol Any
Active
alleen ftp maar die is uiteraard alleen met l/p te bereiken
-
ik zie wel dat er door synology "aanvallen" op ssh geblockt zijn...
-
Je gebruikt EZ om je router te configureren echter, dat betekent dat je UPnP aan hebt staan op de Router en dat betekent een potentieel gevaar, zie hier (https://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/).
Mogelijk dat men hiervan gebruik hebben gemaakt.
Poorten forwarden kan je beter zelf doen op de Router en UPnP direct uitzetten, nadat je instellingen via EZ hebt verwijderd.
-
ik zie wel dat er door synology "aanvallen" op ssh geblockt zijn...
Dan hebben ze eerst SSH geprobeerd maar die poort staat toch niet forwarded naar je NAS ?
-
EZ op mijn router of op mijn synology uitzetten?!
En nee heb geen SSH ffwd maar krijg wel de melding op synology
IP-adres [112.85.42.151] van synologyDS216 is geblokkeerd door SSH
er is toch ook een website waar ik online kan kijken welke poorten er open staan naar mijn IP adres?
wat kan ik nu het beste doen? hele nas opnieuw configgen?! neem aan dat dat wel een mogelijkheid is?
klote dat ik dan alles kwijt ben maar dat is terug te halen wat wel klote is is dat er ook hoop prive bestanden op mijn nas stonden die dan wsl ook in handen zijn van de kwaadwillende persoon :(
-
O wacht, je gebruikt niet: "Configuratiescherm > Externe toegang > Routerconfiguratie" op je NAS, of wel ?
er is toch ook een website waar ik online kan kijken welke poorten er open staan naar mijn IP adres?
Ja, die zijn er maar, dat werkt niet echt.
wat kan ik nu het beste doen? hele nas opnieuw configgen?!
Ik zou zeker terug gaan naar fabrieksinstellingen (https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/system_restoredefaults).
Je systeem is immers niet meer te vertrouwen.
-
112.85.42.151 is china. Blokkeren door SSH zou niet mogen voorkomen omdat je dat protocol nooit naar buiten moet open zetten. Dat is het eerste protocol wat men probeert om iets over te nemen.
Dat is ook aan ander gevaar met UPnP. Je bent je niet bewust wat er allemaal default open gezet wordt. En poort 22 is zelden nodig op open te zetten vanaf het internet.
Maar wel vreemd als een readme ook encrypted wordt. Lijkt me een slecht ontworpen versleutelingssoftware als hij zijn eigen readme ook versleutelt.
-
Kan ook zomaar dat het op een PC draait en dus na het plaatsen gewoon alles wat hij kan bereiken encrypt.
Het is al heel vaak gezegd, maar nog maar eens geen Upnp en eigenlijk ook geen poorten forwards.
Gebruik een VPN als je perse van buiten ergens bij moet.
Overigens is dat zelden het geval (buiten dingen als een mailserver) en wordt het meestal gedaan voor een nice to have gevoel.
-
Kan ook zomaar dat het op een PC draait en dus na het plaatsen gewoon alles wat hij kan bereiken encrypt.
Het is al heel vaak gezegd, maar nog maar eens geen Upnp en eigenlijk ook geen poorten forwards.
Gebruik een VPN als je perse van buiten ergens bij moet.
Overigens is dat zelden het geval (buiten dingen als een mailserver) en wordt het meestal gedaan voor een nice to have gevoel.
Upnp stond aan op mijn router staat nu uit, verder staat niks meer open aan poorten...
heb niet het idee dat er een script draait om de files gelijk te encrypten want nieuwe files worden niet 'besmet' en zijn wel te openen
Ik heb hier geen pc's draaien alleen maar Macs en een synology dat vermindert misschien het gevaar een beetje
ik denk dat ik maar terug ga naar gabrieksinstellingen en al mijn ww wijzigd en mijn HD's formateer en als verloren beschouw :(
er zit niks anders op ben ik bang..... :(
-
Het kan zelfs op een smart TV, router o.i.d. draaien en alle shares die via DLNA gebupliceerd worden bewerken. (Of geeft dat protocol geen schrijfrechten?)
SSH open is gevaarlijk, maar als je een redelijk wachtwoord ingesteld hebt, zal het nog lastig zijn omdat je maar een paar pogingen hebt per IP adres. En volgens mij is het geen hele lange lijst met SSH blokkeringen. Dus redelijke kans dat ze op een andere manier binnen gekomen zijn op de share van de nas.
-
en mijn HD's formateerDat is niet nodig, dat wordt gedaan als je teruggaat naar de fabrieksinstellingen en DSM opnieuw geïnstalleerd word.
-
pffff ja idd dat kan ook nog!
ik heb een android smart box hangen aan mijn synlolgy met schrijfrechten etc.... die ook maar terug naar fabrieksinstellingen en rechten alleen geven op read
-
Ik zou ook kijken welke shares besmet zijn en of er buiten de shares ook dingen encrypted zijn. (Moet je wel met SSH inloggen).
Als er alleen shares besmet zijn, is het waarschijnlijker dat ze via de route van gemounte shares besmet zijn. Maar dan kan de bron op een ander apparaat in je lan zitten en moet je die eerst lokaliseren en uitschakelen.
-
Maar wel vreemd als een readme ook encrypted wordt. Lijkt me een slecht ontworpen versleutelingssoftware als hij zijn eigen readme ook versleutelt.
Je hebt denk ik 2 soorten hackers, de echte criminelen en amateurs (die natuurlijk ook veel schade kunnen aanrichten).
Ik zeg, het is een amateur en het is geen bekende (tot nu toe) methode.
Maar goed, er is wel schade.
-
Maar wel vreemd als een readme ook encrypted wordt. Lijkt me een slecht ontworpen versleutelingssoftware als hij zijn eigen readme ook versleutelt.
Je hebt denk ik 2 soorten hackers, de echte criminelen en amateurs (die natuurlijk ook veel schade kunnen aanrichten).
Ik zeg, het is een amateur en het is geen bekende (tot nu toe) methode.
Maar goed, er is wel schade.
tja... schade is er zeker.... en de vraag blijft hoe kwam die hopelijk scriptkiddie binnen.... anyway ik ben terug naar fabrieksinstellingen en nu begint de horrible job alles weer terug te zetten en configgen.... :(
thx voor jullie hulp!
zijn er nog dingen die ik NU gelijk moet aanpassen op mijn NAS qua veiligheid etc? ik begin nu op een schone lij ;)
-
zijn er nog dingen die ik NU gelijk moet aanpassen op mijn NAS qua veiligheid etc? ik begin nu op een schone lij
Hiervoor graag even een nieuw Topic starten.
-
oke ik ben terug naar fabrieksinstellingen
en er hing nog een USB drive aan mijn NAS waarvan ook de files besmet waren.
Ik kan nu wel die files openen dus de files zijn (denk) ik niet zelf besmet maar er zal iets draaien wat ze encrypt (ik ben ook maar een leek) Ik heb ook niet het idee dat de persoon nog mijn computer op wilt want het kwaad is al geschiet!
anyway nu kon ik dus wel die txt file lezen en zoals velen al riepen.....
Attention, all your files are encrypted with the AES cbc-128 algorithm!
It's not a virus like WannaCry and others, I hacked your computer,
The encryption key and bitcoin wallet are unique to your computer,
so you are guaranteed to be able to return your files.
But before you pay, you can make sure that I can really decrypt any of your files.
To do this, send me several encrypted files to oUcPyWKigdYUWL@yandex.com, a maximum of 5 megabytes each, I will decrypt them
and I will send you back. No more than 5 files, one file per letter.
After that, pay the decryption in the amount of 1000$ to the bitcoin address: 1MLyWq198cidyrZ4rVi5oUcPyWKigdYUWL
After payment, send me a letter to oUcPyWKigdYUWL@yandex.com with payment notification.
Once payment is confirmed, I will send you a decryption program.
You can pay bitcoins online in many ways:
https://buy.blockexplorer.com/ - payment by bank card
https://www.buybitcoinworldwide.com/
https://localbitcoins.net
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin
If you have any questions, write to me at oUcPyWKigdYUWL@yandex.com
As a bonus, I will tell you how hacked your computer is and how to protect it in the future.
-
Ik zou DIRECT YANDEX (https://yandex.com/company/contacts/moscow/) een e-mail sturen over dit e-mail adres: oUcPyWKigdYUWL@yandex.com
Kick his ass.
-
E-mail naar pr@yandex-team.ru (Public relations)
-
E-mail naar pr@yandex-team.ru (Public relations)
thx
Ga ik gelijk doen!