Synology-Forum.nl

Firmware => Synology DSM algemeen => Topic gestart door: patrik op 12 augustus 2019, 16:49:49

Titel: All files locked encrypted - hacked?
Bericht door: patrik op 12 augustus 2019, 16:49:49

After using my Synology NAS already years without issues, today I noticed that all my files on the NAS are locked/encrypted so I cannot access them anymore. All documents, pictures, music etc. On my NAS I find many of below README_FOR_DECRYPT.txt files with the following content:


"All your data has been locked(crypted).

How to unclock(decrypt) instruction located in this TOR website: http://qkqkro6buaqoocv4.onion/order/15wWLtHWziG7RcjjfgqW45H3NdDaQUQFRf
Use TOR browser for access .onion websites.
https://duckduckgo.com/html?q=tor+browser+how+to

Do NOT remove this file and NOT remove last line in this file!
YsXwiooRDWadDdBvGHJxv2FN+RfUrDo+zoexxfoTyja3vttdBsdvXhOMIOSiazQMHKtaAKHBLF/QZAjzxLaaWz8yrO/v7R3Hajh6+XoaGutvD/flTlr0Gk1O5dgENiqSHr0UBkLDpF5mLP48A/xZQXLyTbSYSubduXrmy97ukEs="

Since I donot trust this, so far I didnot do anything except changing passwords again.

Does anyone know how this could happen with the protection software from Synology active and the latest firmware installed and how I can solve this so I can access the files again?

Titel: Re: All files locked encrypted - hacked?
Bericht door: DSGebruiker op 12 augustus 2019, 16:54:50

Most probably your PC was infected, not directly the NAS device itself.
Your PC has a "shared" drive right ? Or a "mapped" drive on the NAS ? This means that malware that infected your PC can very easily access these files also and encrypt them.

The NAS will not protect you against this, as it is basically "legitimate" file-access from a LAN-computer ...

It does not look good, consider all these files lost.
I hope you have some sort of backup...

Titel: Re: All files locked encrypted - hacked?
Bericht door: Birdy op 12 augustus 2019, 17:12:04

Dit is wel een Nederlands Forum, hoor.

En lees dit Sticky en Forumbreed Topic (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271089/#msg271089).

Titel: Re: All files locked encrypted - hacked?
Bericht door: patrik op 12 augustus 2019, 17:24:48

Nee, mijn pc is gelukkig niet geïnfecteerd/geraakt. Heb geen "shared of mapped drive" op de NAS. Probleem is duidelijk alleen op de NAS. 

Titel: Re: All files locked encrypted - hacked?
Bericht door: Briolet op 12 augustus 2019, 17:36:59

Er worden de laatste 2 maand versterkt nas systemen van verschillende merken aangevallen. Steeds via standaard poorten en het standaard administrator account. Ze proberen echter niet via zwakheden binnen te komen, maar via een 'woordenboek aanval'.

Hoe goed die encryptie is, heb ik nog nergens gelezen, maar ga er vanuit dat deze goed is en de enige remedie het terugzetten uit een backup is.

Zie ook: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology

Dit is een melding van dezelfde besmetting. https://www.synology-forum.nl/firmware-algemeen/ech0raix-ransomware/  (In elk geval hetzelfde tor adres voor een instriktie)

Titel: Re: All files locked encrypted - hacked?
Bericht door: Hofstede op 12 augustus 2019, 17:39:40

Ik zou ook de NAS schijven wissen, dan herinstalleren en een backup terugzetten.

Titel: Re: All files locked encrypted - hacked?
Bericht door: Briolet op 12 augustus 2019, 17:53:24

Zoek b.v op de term "eCh0raix" om meer hierover te vinden.

b.v.

https://www.bleepingcomputer.com/forums/t/701267/nas-synology-ds214-ransomware-encrypt/

https://brica.de/alerts/alert/public/1270159/threat-actors-utilizing-ech0raix-ransomware-change-nas-targeting/

Hoewel ik er zo snel niets in vind wat bruikbaar is.