All files locked encrypted - hacked?

[patrik]

After using my Synology NAS already years without issues, today I noticed that all my files on the NAS are locked/encrypted so I cannot access them anymore. All documents, pictures, music etc. On my NAS I find many of below README_FOR_DECRYPT.txt files with the following content:


"All your data has been locked(crypted).

How to unclock(decrypt) instruction located in this TOR website: http://qkqkro6buaqoocv4.onion/order/15wWLtHWziG7RcjjfgqW45H3NdDaQUQFRf
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Do NOT remove this file and NOT remove last line in this file!
YsXwiooRDWadDdBvGHJxv2FN+RfUrDo+zoexxfoTyja3vttdBsdvXhOMIOSiazQMHKtaAKHBLF/QZAjzxLaaWz8yrO/v7R3Hajh6+XoaGutvD/flTlr0Gk1O5dgENiqSHr0UBkLDpF5mLP48A/xZQXLyTbSYSubduXrmy97ukEs="

Since I donot trust this, so far I didnot do anything except changing passwords again.

Does anyone know how this could happen with the protection software from Synology active and the latest firmware installed and how I can solve this so I can access the files again?

[DSGebruiker]

Most probably your PC was infected, not directly the NAS device itself.
Your PC has a "shared" drive right ? Or a "mapped" drive on the NAS ? This means that malware that infected your PC can very easily access these files also and encrypt them.

The NAS will not protect you against this, as it is basically "legitimate" file-access from a LAN-computer ...

It does not look good, consider all these files lost.
I hope you have some sort of backup...

[Birdy]

Dit is wel een Nederlands Forum, hoor.

En lees dit Sticky en Forumbreed Topic.

[patrik]

Nee, mijn pc is gelukkig niet geïnfecteerd/geraakt. Heb geen "shared of mapped drive" op de NAS. Probleem is duidelijk alleen op de NAS. 

[Briolet]

Er worden de laatste 2 maand versterkt nas systemen van verschillende merken aangevallen. Steeds via standaard poorten en het standaard administrator account. Ze proberen echter niet via zwakheden binnen te komen, maar via een 'woordenboek aanval'.

Hoe goed die encryptie is, heb ik nog nergens gelezen, maar ga er vanuit dat deze goed is en de enige remedie het terugzetten uit een backup is.

Zie ook: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology

Dit is een melding van dezelfde besmetting. https://www.synology-forum.nl/firmware-algemeen/ech0raix-ransomware/  (In elk geval hetzelfde tor adres voor een instriktie)

[Hofstede]

Ik zou ook de NAS schijven wissen, dan herinstalleren en een backup terugzetten.

[Briolet]

Zoek b.v op de term "eCh0raix" om meer hierover te vinden.

b.v.

https://www.bleepingcomputer.com/forums/t/701267/nas-synology-ds214-ransomware-encrypt/

https://brica.de/alerts/alert/public/1270159/threat-actors-utilizing-ech0raix-ransomware-change-nas-targeting/

Hoewel ik er zo snel niets in vind wat bruikbaar is.