Auteur Topic: 0xxx virus/ransomware on Synology  (gelezen 3681 keer)

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 3
  • Berichten: 78
0xxx virus/ransomware on Synology
« Gepost op: 02 oktober 2022, 14:22:13 »
OK, ik had dus blijkbaar SMB-poort open staan  :o

En jawel.... bezoek gehad en een deel van mijn NAS encrypted. Gelukkig een deel wat ik kan missen met wat films e.d. er op, dus ik zie het maar als een hele duidelijke waarschuwing!

1) Backup strategie opnieuw tegen het licht houden en updaten
2) Veiligheid van netwerk controleren, welke poorten staan open en waarom
3) Ga naar punt 1 en zorg dat dit op orde is!

 ;)
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline synfan

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 5
  • Berichten: 108
Re: 0xxx virus/ransomware on Synology
« Reactie #1 Gepost op: 17 oktober 2022, 09:18:10 »
@Maurice_69 : Hoe kwam je er achter dat er ingebroken was en welke files encrypted waren?
  • Mijn Synology: DS218+
  • HDD's: WD20EFRX-68AX9NO

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 612
  • -Ontvangen: 1173
  • Berichten: 6.642
Re: 0xxx virus/ransomware on Synology
« Reactie #2 Gepost op: 17 oktober 2022, 10:25:46 »
OK, ik had dus blijkbaar wel die poort open staan  :o

Ik heb het wel eens vaker gezien dat mensen in een router DMZ toewijzen aan de NAS.
Om zodoende het iets meer tijd kostende klusje van handmatig instellen van "port forwarding" te kunnen omzeilen.
Zonder te beseffen dat ze daarmee toegang geven voor "alle poorten".

Niet dat achter elke poort een actieve service zit.
Maar voor een NAS zijn doorgaans al snel Windows en Apple bestand services geactiveerd om op LAN niveau daarmee toegang te hebben.
Daarnaast mogelijk ook weing aandacht besteed aan een goede opzet van firewall-regels.
Via DMZ is een NAS dan "automatisch" ook geopend voor externe toegang.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600axRT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.0
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 3
  • Berichten: 78
Re: 0xxx virus/ransomware on Synology
« Reactie #3 Gepost op: 17 oktober 2022, 14:57:05 »
@synfan Dat viel meteen op door de textbestandjes die geplaatst zijn en de bestandsnamen die aangepast waren:


Ik heb helaas nog geen decrypter kunnen vinden, dus een aantal bestanden zullen voorlopig nog versleuteld blijven.

Textbestand:
57974-1

Altijd weer die Russen hè!  :silent:
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 167
  • -Ontvangen: 2456
  • Berichten: 15.585
Re: 0xxx virus/ransomware on Synology
« Reactie #4 Gepost op: 17 oktober 2022, 15:08:46 »
Citaat
Altijd weer die Russen hè! 

Bij sommige mallware helpt het al om je keybord op Russisch te zetten. Dan schakelt de mallware zichzelf uit.

---

Hyperbackup kan dit ook detecteren. b.v. door dagelijks te backuppen en een waarschuwing in te stellen als de backup te snel groeit.  Veer gewijzigde bestanden in een korte tijd is vaak een teken dat er iets mis is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1220
  • -Ontvangen: 7171
  • Berichten: 41.002
  • Synology is awesome.
    • RAID = BACKUP?
Re: 0xxx virus/ransomware on Synology
« Reactie #5 Gepost op: 17 oktober 2022, 15:39:44 »


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1.1-42962-3
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42962-3
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-7
MR2200ac  SRM 1.2.5-8227-7

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 3
  • Berichten: 78
Re: 0xxx virus/ransomware on Synology
« Reactie #6 Gepost op: 17 oktober 2022, 16:40:04 »
Heb al verschillende topics op forums gevonden maar nog geen decrypter helaas. Maar goed, het is gelukkig niets spannends, slechts wat docu's e.d. die ik ooit gedownload heb dus ik hoop dat er nog een keer een decrypter komt, dan kan ik ze weer ontsleutelen. ;-)
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 167
  • -Ontvangen: 2456
  • Berichten: 15.585
Re: 0xxx virus/ransomware on Synology
« Reactie #7 Gepost op: 17 oktober 2022, 17:27:15 »
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.

Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen.  Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen:  link

Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline m4v3r1ck

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 2635
  • -Ontvangen: 281
  • Berichten: 2.469
  • $ sudo -i
Re: 0xxx virus/ransomware on Synology
« Reactie #8 Gepost op: 17 oktober 2022, 17:44:48 »
Het lijkt mij een nachtmerrie om dit mee te maken. Belangrijke documenten of niet. Toch altijd een naar gevoel deze vorm van zinloos mentaal geweld. :x

Sterkte en succes met je toekomstige decrypt!
Commander: DS1821+ | DSM Versie: 7.1.1-42962 U3
SightWinder: DS1821+ | DSM Versie: 7.1.1-42962 U3 VM
Wingman:     DS1812+ | DSM 6.2.4-25556 U6
UPS:             APC Back UPS BE850G2-GR
________________________________________________________________________________
Cheers! - ! I am an advocate of the "if it ain't broke, you didn't fix it enough" modus operandi !

Offline Vuurvreter

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 106
  • -Ontvangen: 56
  • Berichten: 964
    • vuurvreter
Re: 0xxx virus/ransomware on Synology
« Reactie #9 Gepost op: 17 oktober 2022, 18:51:34 »
Misschien heb je hier wat aan?
Via de 1e link van de politie wordt doorverwezen naar de 2e link.

https://www.politie.nl/informatie/dit-kunt-u-doen-tegen-ransomware.html
https://www.nomoreransom.org/nl/index.html
  • Mijn Synology: DS218+
  • HDD's: 2 x 8TB Toshiba N300
Ik ben aan het werk, niet op de vlucht.

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 3
  • Berichten: 78
Re: 0xxx virus/ransomware on Synology
« Reactie #10 Gepost op: 17 oktober 2022, 19:24:41 »
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.

Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen.  Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen:  link

Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.

Dat klopt wel, maar vaak is ook maar een deel van het bestand encrypted, en je leest vaker dat er decrypters gebouwd kunnen worden uit de sleutels die er vrij komen van de mensen die betaald hebben. Het was voor mij in ieder geval een wijze les om te zorgen dat je backup in orde moet zijn, dat was niet maar nu dus wel. Backup is denk ik het enige middel (naast voorkomen)  (:
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 167
  • -Ontvangen: 2456
  • Berichten: 15.585
Re: 0xxx virus/ransomware on Synology
« Reactie #11 Gepost op: 17 oktober 2022, 21:50:33 »
Een backup is sowieso nodig. Ik denk dat er meer bestanden verloren gaan door een gecrashte HDD dan door ransomware.

Bij dit type ransomware is het hebben van een backup genoeg om de schade te herstellen.  Erger wordt het bij ransomware die eerst probeert een aangesloten backup te wissen en dan pas aan de encryptie begint.  Maar dan moet de mallware al dieper in het OS van de nas doorgedrongen zijn, dan alleen de toegang tot een share.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 55
  • -Ontvangen: 92
  • Berichten: 1.415
Re: 0xxx virus/ransomware on Synology
« Reactie #12 Gepost op: 18 oktober 2022, 08:07:11 »
smb open staan?
Ik weet dat het een protocol is, maar hoe zie je dat of dat wel of niet open staat?
Is er dan een poort voor smb geforward op de router, of is dat een instelling op de nas?
Mijn Synology: ds920+
HDD's: 2*4TB, 1*8TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR

Life is like a box of chocolates......

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 3
  • Berichten: 78
Re: 0xxx virus/ransomware on Synology
« Reactie #13 Gepost op: 18 oktober 2022, 09:00:28 »
@stapper Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht. De issue zat hem in het aan hebben staan van uPNP in de router waardoor de NAS zelf poorten open kon zetten.
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1220
  • -Ontvangen: 7171
  • Berichten: 41.002
  • Synology is awesome.
    • RAID = BACKUP?
Re: 0xxx virus/ransomware on Synology
« Reactie #14 Gepost op: 18 oktober 2022, 09:23:17 »
Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht.
Dat kon je ook niet lezen in dat Topic. ;)
Maar wel hier.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 5.2-5967-9
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-6
DS413J    DSM 6.2.3-25426-2
DS213J    DSM 6.2.3-25426-2
DS115J    DSM 7.1.1-42962-3
DS1515+   DSM 6.2.4-25556-6
DS716+II  DSM 6.2.4-25556-6
-----VMM  DSM 7.0.1-42218-5
DS918+    DSM 6.2.4-25556-6
DS220+    DSM 7.1.1-42962-3
-----VMM  DSM 6.2.4-25556-6
RT2600ac  SRM 1.2.5-8227-7
MR2200ac  SRM 1.2.5-8227-7