Firmware > Synology DSM algemeen
0xxx virus/ransomware on Synology
Maurice_69:
OK, ik had dus blijkbaar SMB-poort open staan :o
En jawel.... bezoek gehad en een deel van mijn NAS encrypted. Gelukkig een deel wat ik kan missen met wat films e.d. er op, dus ik zie het maar als een hele duidelijke waarschuwing!
1) Backup strategie opnieuw tegen het licht houden en updaten
2) Veiligheid van netwerk controleren, welke poorten staan open en waarom
3) Ga naar punt 1 en zorg dat dit op orde is!
;)
synfan:
@Maurice_69 : Hoe kwam je er achter dat er ingebroken was en welke files encrypted waren?
Babylonia:
--- Citaat van: Maurice_69 op 02 oktober 2022, 14:22:13 ---OK, ik had dus blijkbaar wel die poort open staan :o
--- Einde van citaat ---
Ik heb het wel eens vaker gezien dat mensen in een router DMZ toewijzen aan de NAS.
Om zodoende het iets meer tijd kostende klusje van handmatig instellen van "port forwarding" te kunnen omzeilen.
Zonder te beseffen dat ze daarmee toegang geven voor "alle poorten".
Niet dat achter elke poort een actieve service zit.
Maar voor een NAS zijn doorgaans al snel Windows en Apple bestand services geactiveerd om op LAN niveau daarmee toegang te hebben.
Daarnaast mogelijk ook weing aandacht besteed aan een goede opzet van firewall-regels.
Via DMZ is een NAS dan "automatisch" ook geopend voor externe toegang.
Maurice_69:
@synfan Dat viel meteen op door de textbestandjes die geplaatst zijn en de bestandsnamen die aangepast waren:
Ik heb helaas nog geen decrypter kunnen vinden, dus een aantal bestanden zullen voorlopig nog versleuteld blijven.
Textbestand:
Altijd weer die Russen hè! :silent:
Briolet:
--- Citaat ---Altijd weer die Russen hè!
--- Einde van citaat ---
Bij sommige mallware helpt het al om je keybord op Russisch te zetten. Dan schakelt de mallware zichzelf uit.
---
Hyperbackup kan dit ook detecteren. b.v. door dagelijks te backuppen en een waarschuwing in te stellen als de backup te snel groeit. Veer gewijzigde bestanden in een korte tijd is vaak een teken dat er iets mis is.
Navigatie
[0] Berichtenindex
[#] Volgende pagina
Naar de volledige versie