Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: reindu op 06 oktober 2023, 22:04:33
-
Vanavond ontdekt dat alles versleuteld is.
Een txt file:
Hello.
This is DiskStation Security.
What happened?
- Your Network was not secure.
- Your Network-Attached Storage was compromised.
What does this mean? Where are my files?
- All your data has been encrypted and moved to a special volume.
- All your important documents have been downloaded.
What can I do to recover my data?
- If you want to recover your data, you have to send 0.02 Bitcoin to this wallet address:
Het komt neer op €500. Ik vrees dat ik er aan moet geloven. Inderdaad alles is gecomprimeerd en kan alleen met een wachtwoord open.
De synology was gisteren wel opeens aan het ratelen, maar op de synologypagina stond de mededeling dat hij aan het comprimeren was, ik dacht iets van het Synology OS. Ook mijn backup HD zat nog nalatig in de usb. Stom, stom, maar het is gebeurd.
Wat zijn mijn opties nog?
-
Tja, er is maar 1 optie: betalen en maar hopen dat je de key krijgt.
Tenzij je er nog achter kan komen welke ransomware het is.
Misschien kan je de extenties zien?
Misschien heeft het weer iets te maken met Wordpress, zoals vorig jaar februari ?
Overigens, was die USB HD je enige backup of wisselde je de HD regelmatig.
-
Het zijn zip files, winrar ziet ze gewoon. extensie .7z of .zip, en dan vraagt hij wachtwoord.
-
Weet je zeker dat je usb disk ook encrypted is?
Bij een Hyperback zou ik verwachten dat alleen de NAS zelf daarbij kan. Dus als het toch encrypted is dan heeft de ransomware op de NAS zelf gedraaid (niet op je PC)?
-
Ik zal nooit betalen. Wordt in bijna in alle landen ook gezegd door justitie!
Heb je een back-up? Ja==> alles her installeren beter wachtwoord kiezen en back-up terug; nee ==> groot probleem
-
Basalt:Weet je zeker dat je usb disk ook encrypted is?
Nee. Het begon ermee, dat ik de NAS niet op het netwerk meer zag. Ik heb eerst panisch met ethernetkabeltjes zitten hannesen. Toen met windowsnetwerk kwam ik op iets waarvan ik dacht dat het de usbshar was, maar nu weet ik het niet meer zeker.
Ik kan wel via de webinterface op de NAS komen en in file station zie ik dan een aantal zip files met namen van mijn vroegere stations, met extensie .7z of .zip.
Hyper Backup was niet meer geinstalleerd. Ik heb hem nu geinstalleerd, maar ik moet nu alles opnieuw instellen en hij ziet geen taken meer.
Ik zal morgen daarmee verder gaan als ik weer wat rustiger ben. Eerst het usb diskje op mijn gewone pc bekijken. Kan je met je windows pc iets met die bestanden van Hyper Backup?
Het lijkt me, dat de ransomsoftware op de NAS staat, want de NAS heeft alles gecomprimeerd.
In het briefje staat:
Can I still use my nas?
- Do not delete any files you find on your nas.
- Do not try to recover your data using any software as it will not work.
- Do not modify any volumes or storage pools on your nas.
- Do not write large amounts of data to your disk.
- Do not restart or power on/off your synology multiple times. It will result in archive corruption!
Why have my files been downloaded?
- We reserve the right to leak or sell all your important documents, if you don't contact us.
-
Eerst het usb diskje op mijn gewone pc bekijken. Kan je met je windows pc iets met die bestanden van Hyper Backup?
Het ligt eraan welke Backup methode je hebt gebruikt.
Of de backap is gewoon leesbaar (tenzij het een Linux file systeem is (bv EXT4) of is niet leesbaar en is een container.
Voor die laatse is er PC software: Synology Hyper Backup Explorer, hier te downloaden (https://www.synology.com/nl-nl/support/download/DS213+?version=6.2#utilities).
-
Mijn PC heeft nog een multiboot en ik heb met Linux op de backup-HD gekeken. Er staan wat lege directories op: @eadir, @tmp met daarin ook weer lege dirs @tmp en @pplepriv@te.
-
...of is niet leesbaar en is een container. Voor die laatse is er PC software: Synology Hyper Backup Explorer.
In geval van een container: die heeft als file name extensie .hbk
Als dat .7z (oid) is geworden dan hebben ze die ook te pakken genomen, en hoef je Synology Hyper Backup Explorer niet te proberen.
-
Ik heb de Hyper Explorer geinstalleerd, maar mijn Windows ziet de Usb-HD niet.
-
Je hebt ook Hyper Explorer voor Ubuntu & Fedora (64 bits, bz2)
-
Het lijkt me, dat de ransomsoftware op de NAS staat, want de NAS heeft alles gecomprimeerd.
Tenzij de data op je PC niet is versleuteld, is de kans groot dat het alleen de NAS betreft.
Heb dat bij een kennis namelijk ook eens meegemaakt, waarbij de ransomsoftware op de PC stond,
en via de "open" thuisnetwerk verbinding van zijn PC met de NAS, zowel data op PC als data op de NAS werden versleuteld.
-
Deze lijken erop, alleen de aanhef is anders:
https://www.bleepingcomputer.com/forums/t/780850/synology-hacked/
https://www.bleepingcomputer.com/forums/t/769484/seven7even-security-nas-ransomware-please-read-me-txt-support-topic/
Zou ook zeker even hier kijken: https://www.nomoreransom.org/nl/index.html
-
Gezien de tekst en de links van Birdy lijkt dit me inderdaad ransomeware die op de nas draait. Dus een nieuwere variant van de "Seven/7even Security (NAS)" en de "Umbrella Security Ransomware".
En gezien de aanhef "This is DiskStation Security." lijkt me deze versie specifiek voor de Synology nas gemaakt. Want daar is "DiskStation" de default naam voor de nas.
Dan lijkt het me waarschijnlijk dat ze ook de externe USB schijf meegenomen hebben. Voor software op de nas is het schrijven op de USB schijf geen extra belemmering.
-
Ik heb een tijdje niet gereageerd want ik ben op mijn pc bezig en behoorlijk paranoïde voor internet thuis. Ik ben heel erg dankbaar voor jullie reacties, het heeft me weer aan de gang gebracht. Ik heb bedacht, dat de ransomer misschien de usb disk alleen maar gewist heeft.
Ik heb EaseUS Data Recovery gedownload en ben begonnen. De gratis versie mag 24 uur draaien, dat leek mooi. Maar hij is nu al twee dagen bezig met de 1,5 terra, nu met de betaalde versie. Ik was heel blij om de extensie .hbk te zien!! Hij is nu op 50 % op een andere usb disk. Dan kan ik met Hyper Explorer aan de gang op de pc. Nogmaals, door jullie hulp gloort er wat hoop. Ik heb ook wat bedrijven gebeld om hulp maar die waren erg somber., ze konden niet veel doen Een van hen stelde, dat als je betaalde, de kans groot is dat je niks krijgt en alleen maar een verzoek om meer.
-
Vergeet niet om ook te kijken hoe ze binnen zijn gekomen. Had je de NAS openstaan naar internet?
-
En zorg dat de mallware ook echt van de nas af is en niet slapend aanwezig om later weer toe te slaan. Wat dat betreft kan het verstandig zijn om de disks geheel te wissen en DSM er vanaf scratch weer op te zetten.
-
Ik had er een aantal websites op draaien. De eerste, zelf gebouwd met PHP en een grote MySQL database er achter, draait al 15 jaar probleemloos. Bij de volgende had ik WordPress gebruikt en dat gaf ellende. Ik ben meerdere keren
gehacked, en nu dus desastreus. Maar nu eerst zien of ik mijn historie: alle foto's , vele docs, mijn outlookfile over 20 jaar nog kan terugkrijgen.
-
En heb je hier (https://www.nomoreransom.org/nl/index.html) al gekeken?
-
Dat zal toch wel?
Zou ook zeker even hier kijken: https://www.nomoreransom.org/nl/index.html
-
Na het herstellen is er niet een grote hbk file. Ik krijg in de directory 'Verloren Bestanden' een file ._DISKSTATION_1.hbk van 1kb, met daarnaast een directory met dezelfde naam. Die directory heeft weer Config, Guard en Pool. In de pool directory '0' zitten een enorme hoeveelheid bucket bestanden.
Als ik in de Hyper explorer op het hbk bestandje klik, krijg ik de mededeling dat de opgeslagen gegevens zijn beschadigd.
Iemand een idee?
-
Synology om raad vragen ?
-
De .hbk extensie is ook geen echte file maar een folder met veel kleine files erin die door DSM als één file getoond wordt.
-
Dat klopt, een .hbk bestaat uit heel veel sparse files maar, zo te lezen kan Hyper Backup of Explorer de .hbk niet lezen na recovery.
Misschien dat Synology dit nog kan repareren ?
-
Op nomoreransom reageert hij niet op de invoer.
-
Als ik met Hyper Explorer op de folder DISKSTATION_1.hbk klik in het zoekvenster, opent hij de folder in dat venster. Als ik op het bestandje DISKSTATION_1.hbk klik meldt hij dat de boel beschadigd is. In dat filetje staat alleen tekst: Mac OS X . Dat filetje moet hem doorsturen naar de folder, blijkbaar.
-
Nog even over de noransome-site, het lijkt erg bemoedigend, je levert een file en de ransome txt file, maar het is onwaarschijnlijk dat zij met een eenvoudige oplossing komen, en er kwam ook niks. Alle files op je disk zijn gecomprimeerd tot .7z met wachtwoorden. Even googelen hoe je een wachtwoord daarvoor kan vinden, dan heb je een supercomputer nodig die daar dagen lang wachtwoorden voor genereert.
-
Dat wachtwoord vinden is idd haast een onmogelijkheid. Daarom is het belangrijk te weten welke versie van de ransomeware het gaat. Soms gebruiken ze overal hetzelfde wachtwoord. Dan hoef je hem alleen voor één slachtoffer te vinden om ook de rest te helpen.
Soms gebruiken ze per slachtoffer een apart wachtwoord. Dan moeten ze zelf een administratie bijhouden welk slachtoffer welk wachtwoord nodig heeft. Soms staat er een hint hiervoor op de PC zelf die ontsleuteling mogelijk maakt. Maar alles hangt van de specifieke ransomeware af en dan heb je een expert nodig die kan inschatten of er een mogelijkheid is.
-
Birdy, ik heb contact gehad met het Synology servicecentrum via de website. Je komt via een vertaalcomputer in contact met een Synology, vermoedelijk in Taiwan (of India of zoiets). Zij willen je alleen online via de NAS helpen. In de Synology kun je iets aanzetten zoals Teamviewer. Ze lazen mijn mail nauwelijks en begonnen over versleuteling van de usb backup, dat was het dus niet, en stelden verder dat voor reparatie van corrupt files ik maar een bedrijf moest inschakelen, dat deden ze niet.
Al met al, ik heb de NAS maar weer eens aangezet (zonder internet) en dacht, dat Hyper Backup in tegenstelling met Hyper Explorer van Windows, misschien wel de .hbk directory ziet. Welnu, hij ziet de hele usb schijf niet. Heeft dat te maken met het format van de schijf? Blijkbaar heeft het recovery programma een windows (FAT) format dat de NAS niet herkent, denk ik. De USB HD is natuurlijk wel gewoon op de pc te lezen.
-
Blijkt, dat het schijfje een exFAT format heeft, dat je met de synology app Accessexfat kan benaderen. Maar die kost geld via je synologyaccount, dat ik niet heb. Niets is gemakkelijk.
-
Je kunt eerst even de HD ff aan je PC hangen en met Hyper Backup Explorer kijken of de backup wel herkend wordt.
-
Ik had al eerder gemeld over de Hyper Explorer op de PC: Als ik in de Hyper explorer op het hbk bestandje klik, krijg ik de mededeling dat de opgeslagen gegevens zijn beschadigd... Op de .hbk directory wil hij hem alleen openen. Dus daarom deze poging, misschien wil Hyper Backup van de Synology wel beginnen.
Het plan is nu: ik heb ergens op een PC nog 1.4 TB vrij, dus ik ben nu het diskje aan het kopieren, daarna kan ik het formatteren in FAT32 en de boel er terug op zetten.
Ik kan tot nu toe niets vinden over de structuur van die bucket files. Ze moeten niet zo erg ingewikkeld zijn, want de data is nauwelijks gecomprimeerd. Het was 1.4 TB en blijft 1.4 TB.Dus je zou zeggen dat de originele files er makkelijk uit te halen zouden zijn.
-
Ze moeten niet zo erg ingewikkeld zijn, want de data is nauwelijks gecomprimeerd. Het was 1.4 TB en blijft 1.4 TB.Dus je zou zeggen dat de originele files er makkelijk uit te halen zouden zijn.
Als dat zo makkelijk was, was dit door de knappe koppen bij de politie, bekend gemaakt.
-
Waarom zou de politie zo geinteresseerd zijn in een Hyper Back Up file ?
-
Ik had al eerder gemeld over de Hyper Explorer op de PC: Als ik in de Hyper explorer op het hbk bestandje klik, krijg ik de mededeling dat de opgeslagen gegevens zijn beschadigd... Op de .hbk directory wil hij hem alleen openen. Dus daarom deze poging, misschien wil Hyper Backup van de Synology wel beginnen.
Ja, dat is waar maar......als het niet werkt op de PC dan werkt het ook niet op de NAS zelf.
Overigens hier een klein voorbeeldje van hoe een .hbk inhoud er ongeveer uit moet zien.
[attachimg=1]
-
Je probeert toch je geblokkeerde bestanden terug te krijgen?
-
Ik heb de Hyper backup nu geformatteerd als NTSF en alle files er op gezet (6 uur via USB) , maar de NAS ziet de HD wel, maar geen files, ik moet het blijkbaar anders doen.
Birdy, bij mij ziet de directory er iets anders uit. Hier[attach=1]
-
de NAS ziet de HD wel, maar geen files
Zie je in File Station de USB en ook de DISKSTATION_1.hbk ?
Zo ja, dubbel klik dan op die file, in File Station.
Die printscreen is bekeken vanuit Verkenner op de USB die aan de PC hangt?
-
Met Exfat zag File Station het hele usb station niet, met NTSF wordt hij wel herkend, maar is hij leeg, terwijl ik hem op mijn pc helemaal volgestampt heb en de pc dat uiteraard herkent, zie de lijst. De printscreen is inderdaad van de pc. Er staat me bij dat ik eerder problemen had met het lezen van de usb schijf, ik zal eens googelen, misschien moet het schijfje toch ext4 of zo iets zijn.
-
Heteerste wat ik google: Synology NAS recognizes the following formats: Btrfs, ext3, ext4, FAT32, exFAT, HFS Plus, and NTFS. Bij mij niet dus.
-
Jazeker moet DSM NTFS kunnen lezen en schrijven naar USB.
Echter, op je NAS, in File Station, wordt de USB wel gevonden maar de file DISKSTATION_1.hbk wordt niet gezien ?
-
Hij is leeg, de PC leest hem, de NAS niet. Ik zal nu maar eens de schijf in ext4 formatteren en de 1.5 TB er vannacht opzetten.
-
Nou, zeer vreemd hoor, ik gebruik altijd NTFS, geen probleem:
[attachimg=1]
-
Ik heb de usb disk nu met de NAS geformatteerd. Die leest hij wel, dus nu maar weer 6 uur lang laden met de Hyper Backup.
Hier nog het beeld van de ramp op het filestation. Alles stations zijn gezipt of ge 7z.
-
Ik heb een gedeelde map aangemaakt.
Toen: Hyper Backup/Herstellen/Gegevens (Er is geen backuptaak terug te zetten)/klik op terugzetten vanaf bestaande opslagplaats/Lokale Map & USB
Dan Gedeelde map: dan pakt hij de map die ik als gedeeld had gemaakt.
Maar bij het veld map: is er geen directory beschikbaar, ook niet de directory die ik in de gedeelde map had staan.
Misschien heeft de Ransomer de boel geblokkeerd, dat ding met het slotje bovenaan, wat betekent dat?
Ik denk dat ik de NAS maar eens terug moet brengen naar de fabrieksinstellingen omdat daar toch niets meer uit te halen valt.
-
Puur DSM gezien betekent dat slotje dat de map encrypted is.
Waarom zeg ik puur DSM gezien, omdat je nl zelf een encrypted Gedeelde Map kunt maken, ik heb er ook 1:
[attachimg=1]
Ik denk ook dat die ransomware nog aanwezig is dus, terug naar fabrieksinstellingen is de juiste keuze.
Het is alleen de vraag of je die ransomware nog gaat tegenkomen in je backup die je met EaseUS Data Recovery hebt teruggehaald.
-
Ik heb mijn NAS nog niet gereset, ik heb nog een vage hoop, dat ik iets vind.
Op de gewiste USB-backup zit een file .quarantine. Als je die met text bekijkt staat er in:
SQLite format 3 � �� @ M���!!�‚etablequarantinequarantine�CREATE TABLE quarantine( originalPath TEXT NOT NULL, renamedName TEXT NOT NULL, threat TEXT NOT NULL, quarantineTime DATETIME NOT NULL), verder met een hoop NUL's.
Ach, bij nader inzien is dit vermoedelijk niet iets van de ransomer.
-
SQLite format lijkt wel het commando waarmee de disk is gewist.
Er staat: SQLite format 3
Nee, dat betekent alleen maar de SQLite Versie, dus Versie 3.
Is zo'n .quarantine een soort Linux commando regel, zoals bij DOS .bat?
Nee, dit is een SQL Database create file, er staat bijvoorbeeld: CREATE TABLE quarantine met daarin de tabellen bijvoorbeeld tabel:
originalPath met de eigenschappen: TEXT NOT NULL
-
Dank je wel, Birdy. Ik had het al in de gaten, maar zag niet hoe ik mijn bericht kon deleten, alleen veranderen lukte.
-
Ik heb de Ubuntu hyper back up geïnstalleerd, maar die herkent ook de .hbk directory niet, dus het is zeer waarschijnlijk dat de geresette NAS daar ook problemen mee heeft.
De opmerking van Briolet:
Soms gebruiken ze per slachtoffer een apart wachtwoord. Dan moeten ze zelf een administratie bijhouden welk slachtoffer welk wachtwoord nodig heeft. Soms staat er een hint hiervoor op de PC zelf die ontsleuteling mogelijk maakt. Maar alles hangt van de specifieke ransomeware af en dan heb je een expert nodig die kan inschatten of er een mogelijkheid is.
Kan ik via Linux niet een zoek opdracht bij de NAS doen voor een lijst van de meest recente files?
Weet jij een expert?
-
Probeer eens iets als hieronder (voor uit als root ofzo zodat je nergens geen permission issues hebt)
Je kan dat uitvoeren in een bepaalde folder ofzo.
find . -printf "%T@ %Tc %p\n" | sort -n
%Tk: File's last modification time in the format specified by k.
@: seconds since Jan. 1, 1970, 00:00 GMT, with fractional part.
c: locale's date and time (Sat Nov 04 12:02:33 EST 1989).
%p: File's name.
-
DSGebruiker, mij zijn de parameters niet erg duidelijk, maar misschien kan jij dat meteen: ik wil alle files na 4-10-2023 zien, wat is dan het commando? Muv .7z en .zip (anders laat hij dan alle .7z en .zip files zien, die toen gemaakt zijn). Is zoiets mogelijk?
-
Experimenteer hier een beetje mee ;
https://www.cyberciti.biz/faq/linux-unix-osxfind-files-by-date/
Of zoiets als :
find . -type f -newermt '1/30/2017 0:00:00' (geeft alle bestanden weer AANGEPAST sinds de opgegeven datum)
Die "newerXY' kan je aanpassen, zie die web-link:
The letters X and Y can be any of the following letters:
a – The access time of the file reference
B – The birth time of the file reference
c – The inode status change time of reference
m – The modification time of the file reference
t – reference is interpreted directly as a time
Daarnaast kan je de "find" aanpassen om bepaalde dingen te excluden, zoals ZIP/7Z of zoiets.
find . -type f \( ! -name "*.zip" -and ! -name "*.7z" \) -newermt '4/10/2023 0:00:00'
Probeer zoiets eens. Dit heeft de CHANGED files weer na 04/10/2023, met uitzondering van *.zip and *.7z en de zoektoch start in de huidige folder (vandaar de "." bij het find-commando)
-
Ik ben weer bezig met de corrupte hyper backup. Het is ongelofelijk frustrerend om 1.5 Tb aan buckets te hebben met je eigen files die je niet kunt bereiken. Als ik met Hyper Backup op SynologyHyperBackup.bkpi klik, meldt hij meteen: 'Bewerking mislukt'. Ik heb eens gekeken op een goede mini-backup wanneer je die melding kan krijgen, het ligt niet aan de lege bkpi-file, ik heb daar de attributen van veranderd, maar als ik de target_info.db in de config directory verander krijg ik ook bewerking mislukt. Ergens in de startup is de pointer verkeerd, denk ik, werkt Hyper met absolute adressen op de HD?
-
TL:DR files recoveren van een disk met deze ransomware bij RAID1 kan door een van de disks aan een PC te hangen en het programma qphotorec te gebruiken.
------
Ik ben geen Synology gebruiker maar een paar dagen geleden kwam er een heel verdrietige Synology bezitter naar me toe die ook deze ransomware op zijn systeem had. En uiteraard had ie niet van alle data een backup.
(stom, heb ik hem ook verteld).
Nieuwsgierig als ik ben wilde ik toch wel eens kijken wat er aan de hand was, en of ik misschien toch iets kon recoveren.
En het goede nieuws is dat er een mogelijkheid is om in ieder geval een gedeelte (en misschien wel alle) data terug te halen.
Dit is wat ik gedaan heb:
Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred) met daarop een btrfs filesystem.
Ik heb een van de disks uit de nas gehaald en in een Linux PC gestopt. Ik had het idee om het btrfs filesystem readonly te mounten en te bekijken maar dat lukte niet. fsck.btrfs en btrfs check zeiden dat er problemen waren met het filesysteem (en mijn kennis van btrfs was niet zodanig dat ik een repair aandurfde (want het was een 8 TB disk en ik had geen grotere disk liggen om eerst een image te trekken)
Daarna ben ik aan de slag gegaan met het forensic programma autopsy (https://github.com/sleuthkit/autopsy) maar die wist geen raad met lvm raid volumes.
Uiteindelijk ben ik terecht gekomen bij het programma qphotorec. Hier is daar info over: https://www.cgsecurity.org/wiki/PhotoRec
en dit is de download pagina: https://www.cgsecurity.org/wiki/TestDisk_Download
Ik heb het programma qphotorec gestart; dat liet me de data partitie van de NAS disk selecteren (in mijn geval /dev/sdc5) en de plek waar de gevonden data naar toe moest en daarna kon ik files gaan recoveren. Het is mogelijk om alleen bep types te recoveren, maar ik kreeg er een heleboel files uit incl een aantal foto's die niet gebackupped waren.
Ik heb dit dus gedaan op een linux PC omdat ik daar een SATA disk op kon aansluiten. Hoe het onder windows werkt: geen diee, vast ongveeer hetzelfde. En als je geen PC hebt maar alleen een laptop dan kun je de disk ook vast vai een USB<->SATA controller aan je laptop hangen. Het lijkt erom dat je qphotorec zlefs op een DSM kunt draaien (met output op een externe USB schijf) maar ik zou dat ten zeerste afraden omdat er dan meer kans is op data corruptie.
En je hebt dus een andere disk nodig (mag USB zijn waar je de gerecoverde data op kunt zetten.
Werkt dit ook op een Mac: waarschijnlijk wel. Ik heb geen Mac dus dat kan ik niet verifieren.
Wordt alle data gerecoverd: geen idee, ik heb daarover nog geen contact gehad met de eigenaar van de NAS.
Hoe lang duurt het: de disk was een 8TB WD drive. Het lijkt erop dat het processen van die disk een uur of 15 duurt (op mijn systeem, maar ik denk dat de disk transfer rate de bottleneck is).
(stukje math: de 8TB WD Red disk heeft een max read speed van 178 MB/s, dat betekent dat lezen van alle sectoren dus minimaal 12.5 uur duurt (8000000/178 seconden)
Gezien de resultaten van fsck.btrfs denk ik dat de ransomware vooral iets doet met de administratie (en misschien de files delete).
En misschien werkt dit ook doordat er waarschijnlijk op deze nas alleen data bijgezet is en dat daardoor alle blokken van de fille achter elkaar staan. Of dit het geval is weet ik verder niet.
Ik heb niet alle fotos bekeken, alleen een paar samples en dat zag er goed uit.
Er komt nog wel een heleboel junk mee (sql databases, thumbnails, log files etc etc).
Anyway, ik hoop dat de topic starter of iemand anders hier wat aan heeft (en daarom heb ik dit account en deze post even gemaakt).
Succes ermee!
Edit: ik weet eigenlijk niet precies hoe ze binnengekomen zijn, maar ik vermoed via SMB (die misschien niet goed geconfigureerd is).
Ik weet niet of er echt ransomware geinstallleerd is op de NAS of dat er alleen via remote files gemanipuleerd zijn.
-
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.
-
Overigens, je kunt ook op de NAS zelf recoveren met photorec (https://www.synology-forum.nl/synology-dsm-7-2/bestand-per-ongeluk-verwijdert-in-prullenmand-terughalen/msg325710/#msg325710).
-
Ik heb dezelfde reactie als Birdy, bij mij zit alles in zip files met een wachtwoord, dus dan helpt het toch niet? Je zegt: 'die ook deze ransomware op zijn systeem had', vermoedelijk is dit een andere.
-
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.
Als je iets versleutelt maak je doorgaans een nieuw gecodeerde file aan en wist* daarna het origineel. En ik dacht dat het btrfs systeem nog meer 'bescherming' geeft voor gewiste files. Dus dat hij recent vrijgegeven datablokken niet direct weer hergebruikt, mits er nog andere zijn.
* Goede ransomware gaat natuurlijk eerst de oude file met ruis overschrijven voordat hij hem wist.
-
Sorry maar, als het ransomware betreft, dan is de data versleuteld en heeft recoveren toch geen zin ?
Tenzij het ooit verwijderde data betreft die je nog kon recoveren.
Ransomware betekent niet per definitie dat de data versleuteld is. Je kunt bij een PC bv ook de access tot de PC blocken.
En je zou bv ook als je low level disk access hebt de data directory kunnen verkloten of renamen.
Als het slachtoffer maar ziet dat de data niet accessible is en denkt dat die op de een of andere manier te recoveren is.
En misschien haal ik inderdaad alleen data op van gedelete files. Dat weet ik verder niet, want ik weet niet precies wat er op de nas stond.
Ik zie de eigenaar binnenkort weer; dan komt ie een grote disk brengen waar ik nog een keer op ga proberen te recoveren.
Ik laat nog wel weten hoe het afloopt.
Overigens, je kunt ook op de NAS zelf recoveren met photorec (https://www.synology-forum.nl/synology-dsm-7-2/bestand-per-ongeluk-verwijdert-in-prullenmand-terughalen/msg325710/#msg325710).
Dat kan inderdaad, geef ik eeerder ook aan maar vanuit een data recovery of forensic punt is dat niet aan te bevelen omdat het dan kan dat je data overschrijft met data die je nog wilt redden. Het zal voor een enkele file wel meevallen, maar ik zou als je dit doet in ieder geval de gerecoverde data naar een externe usb disk schrijven.
Als je iets versleutelt maak je doorgaans een nieuw gecodeerde file aan en wist* daarna het origineel. En ik dacht dat het btrfs systeem nog meer 'bescherming' geeft voor gewiste files. Dus dat hij recent vrijgegeven datablokken niet direct weer hergebruikt, mits er nog andere zijn.
* Goede ransomware gaat natuurlijk eerst de oude file met ruis overschrijven voordat hij hem wist.
Het gaat de ransomware auteur niet om de beste ransomware te schrijven. Het is ook minimalisatie van effort. En oude file met ruis overschrijven (of nullen dat maakt niet uit) om 'm te scrubben kost wel veel tijd. Bij de WD RED disk die ik heb liggen kost het alleen al 12.5 uur om 8 TB weg te scrhijven. Nou zat de disk niet helemaal vol dus misschien kost het maar 8 uur maar aan de andere kant gaat er ook tijd verloren aan disk seeks etc.
Ik heb dezelfde reactie als Birdy, bij mij zit alles in zip files met een wachtwoord, dus dan helpt het toch niet?
Zit alles in een zip file of heb je een heleboel zip files? Eentje per directory? Eentje per map?
En weet je zeker dat het echte zip files zijn en niet files die toevallig .zip heten.
Je kunt met unzip -lv <zipfile> zien wat er in de zipfile zit. En je kunt dan ook zien of de grootte van de zip file matched met wat er in de file zit.
Als de data inderdaad in een gencrypte zip file zit dan is de kans klein dat je iets kunt recoveren. Het wachtwoord van de zip is vast zodanig lang dat brute force recovery heeeeel lang gaat duren.
Wat betreft
Je zegt: 'die ook deze ransomware op zijn systeem had', vermoedelijk is dit een andere.
Ik heb de nas niet aan gehad, ik heb alleen de disk geinspecteerd, maar er stond wel de "Diskstation Security" message op de schijf die ook aan het begin van deze thread staat (zo ben ik hier ook gekomen, googlen op die string)
In ieder geval: ik krijg binnenkort een 5T disk om op te recoveren. Hopelijk is die groot genoeg.
En, zoals het er nu bij staat heb ik 68.000 foto's terug kunnen halen na processing van 15% van de disk.
Geen idee of het wel of niet gebackupte foto's waren, want ik weet dus niet wat de eigenaar van de NAS wel of niet gedaan heeft.
Nadat ik een recovery run over de hele schijf gedaan heb zal ik nog wel eens op de NAS kijken of er een zip op staat, maar tot die tijd blijft de schijf strikt read-only.
-
Hey, probeer "john the ripper" eens met een brute force dictionary aanval op dat password.
https://www.openwall.com/john/
Bijv. via kali linux
Openwall wordlists collection full version - paid download - $27.95
https://www.openwall.com/wordlists/
Tis maar een suggestie!
Vergeet ook vooral niet om AANGIFTE te doen bij de politie! Dit kan je zomaar uiteindelijk het password opleveren.
-
Ik denk dat een brute force dictionary aanpak veel zin heeft. Ik verwacht dat de ransomware maken een lang random gegenereerd wachtwoord gebruikt.
En ik heb geen idee of ie aangifte gedaan heeft, maar ik zal het suggereren. Ik betwijfel zelf of dat wel enig nut heeft.
-
Ik heb via photorec 3.4 TB terug kunnen halen.
Duurde wat langer omdat er een issue in photorec zat waardoor bij bleef hangen.
Als topc starter nog steeds de geransomde disk heeft zou ik zeker photorec er eens op loslaten.
Ik heb daarna de disks nog een keer in raid opstelling aan mijn PC gehangen.
In eerste instantie kon ik ze niet mounten; het bleek dat mijn kernel te nieuw was.
Op advies van https://www.reddit.com/r/synology/comments/u6y5qm/has_anyone_found_a_solution_for_mounting_synology/ heb ik mijn linux systeem geboot met een 4.15.0 kernel en toen kon ik de disk wel mounten.
Inspectie leverde dat er een 2.2 TB photos.7z op stond en een 0.5 TB homes.7z file.
Mijn inschatting is dat de ransomware de 7z gemaakt heeft en daarna de files gedelete heeeft (maar niet gewiped met zero's of zo) en dat daarom photorec nog veel terug kon halen.
Het password van de 7zip file cracken is waarschijnlijk vrijwel ondoenlijk en ik kon zo 1-2-3 ook niets vinden op de schijf wat lijkt op een password. Wel kun je met 7z -l de listing van de 7z file opvragen en evt aan de hand van de size van de file de naam van een fdoor photorec herstelde file fixen.
-
Nog een (waarschijnlijk laatste) post van mij in deze thread:
Na de recovery heb ik een presentatie hierover gegeven voor 040coders. Zie hier (https://040coders.nl/slides/2024-1-NASRecovery.pdf) voor de pdf.
na de presentatie heb ik ook de disk van @reindu gehad. Dit was een ext4 disk. Daar ben ik met R-Linux mee aan de slag geweest maar dat leverde maar matige resultaten op. Misschien dat er nog iets gebeurd is met de disk nadat ie geransomed was.
En nog wat later vond ik het commericele programma UFS Explorer. Dat leek wel iets, dus ik heb van mijn vriend de nas disk nog een keer teruggevraagd. De resultaten van UFS Explorer waren verbluffend. Er werd veel meer data gerecovered dan met photorec of met btrfs-rescue. Er is ook een goedkopere versie (met iets minder functionaliteit). Die heet recovery explorer of R explorer.
Maar dat is dus erg goed in het terughalen van verdwenen btrfs bestanden (en misschien ook van andere filesystems dat heb ik verder niet getest)
Hopelijk helpt deze info iemand.
Have fun! Frans
-
Na de recovery heb ik een presentatie hierover gegeven voor 040coders. Zie hier (https://040coders.nl/slides/2024-1-NASRecovery.pdf) voor de pdf.
Lezende de PDF viel me dit op:
Why did this work?
●Data on NAS were rarely deleted, so most
files were written continuously
●Disk was untouched after hack
●Hacker did not scrub remaining disk
Dat het een "mirror" indeling betrof. Ofwel geen versnipperde RAID data over meerdere schijven verdeeld.
Dat maakt het allemaal een stuk eenvoudiger. En dat het vooral om Nikon RAW fotobestanden zou gaan.
Verder allerlei toestanden bij terughalen van bestanden dat die bestanden bij recovery worden hernoemd.
Dat hernoemen schiet niet op, want betekent dat je achteraf duizenden bestanden alsnog moet uitzoeken,
om het weer in een enigszins kloppende indeling van voorheen weer opnieuw te moeten indelen.
Dat was pakweg 20-25 jaar geleden ook mijn ervaring met een speciaal daarvoor aangeschaft recovery programma.
Die hetzelfde deed - hernoemen van bestanden. Praktisch gezien had je er dus eigenlijk niets aan.
Want kost na recovery alsnog maanden tijd om het in een nieuwe vorm te reorganiseren.
Heb toen nog een aantal programma's vergeleken, die ook niet voldeden.
Totdat ik "R-Studio" File recovery (https://www.r-studio.com/nl/) ontdekte. Een programma wat alle directory's en bestandsnamen intact hield.
Schijnbaar "lege" niet te benaderen harddisks, kon ik doorgaans alle data weer van terughalen.
Eenvoudig in gebruik bovendien. Zonder er zelf veel extra tijd voor te hoeven investeren.
Ik vermoed "toen al" een van de betere programma's, want bestaat nu nog steeds.
-
Damn, waarom laat dit forum geen posts toe als VPN actief is (en is alles wat ik getypt heb weg).
Anyway, nog een keer:
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen. Daar had ik dan wel wat voor moeten verbouwen om de nodige sata poorten vrij te spelen. En daarna met mdadm de raid te assembleren.
R-Linux wat ik voor Rein gebruikt heb is uit de R-Studio familie. Ik heb ook naar R-Studio gekeken maar dat ondersteunde als ik het me goed herinner geen btrfs.
De nas van mijn vriend had ook redelijk wat jpegs. Op zich door iets als photorec goed te recoveren, want de files zijn niet al te groot en worden in 1 keer geschreven dus de data staat vaak in opeenvolgende blokken. Verder is er een goede header die ook nog size info geeft.
-
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen.
Nee, daar was het niet mee gelukt. Eerder schreef je:
Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred).....
Twee schijven zijn überhaupt niet in RAID-5 te configureren. (Of in die indeling uit te lezen).
-
Daarbij, met RAID1 is het veel makkelijker, je hebt dan maar 1 HD nodig. ;D
-
Met raid5 was het ook wel gelukt maar dan had ik alle disks aan de PC moeten hangen.
Nee, daar was het niet mee gelukt. Eerder schreef je:
Het systeem bestond uit twee disks in RAID-1 configuratie (dus mirrorred).....
Twee schijven zijn überhaupt niet in RAID-5 te configureren. (Of in die indeling uit te lezen).
Mijn opmerking ging over een evt raid-5 configuratie. Dan zijn er inderdaad meer disks en dan had ik dus wat sata poorten vrij moeten maken. Met twee disks kun je uiteraard alleen RAID-0 of RAID-1 doen.
Voor het herstellen kun je bij RAID-1 met een van de twee disks volstaan. Voor RAID-0 heb je alle disks nodig.
RAID 2 en 3 heb ik nog nooit gezien, wordt nooit gebruikt.
RAID-4 is zeldzaam, heeft een aparte parity disk, dan kun je met een kapotte disk nog verder.
RAID-5 is de standaard multi-disk raid met gedistribueerde pariity. Kan een kapotte disk opvangen.
RAID-6 is met double parity, dan is er geen data loss met twee kapotte disks.
Daarbij, met RAID1 is het veel makkelijker, je hebt dan maar 1 HD nodig. ;D
Weet ik, zie boven,je kunt zo'n enkele disk ook onder linux mounten (wil je recovery zaken doen zou ik dat wel read-only doen)
-
....(wil je recovery zaken doen zou ik dat wel read-only doen)
Dat is de allereerste basisregel bij recovery, om niets naar opslagmedia zelf te schrijven, waar je data van wilt terughalen.
-
Ja hoor, weer een slachtoffer (https://www.reddit.com/r/synology/comments/1cp64f8/someone_took_over_my_nas_what_should_i_do/?%24deep_link=true&correlation_id=93e956ec-710f-4780-b0f9-60666ac2d042&post_fullname=t3_1cp64f8&post_index=0&ref=email_digest&ref_campaign=email_digest&ref_source=email&utm_content=post_title&utm_medium=Email%20Amazon%20SES&%243p=e_as&_branch_match_id=1136030459615342891&_branch_referrer=H4sIAAAAAAAAA22Q4WrDMAyEnyb7lzaLU7cdlDEYew3h2UpialvGVpb17aes234NZDi%2B43TCM3OuT%2Ft9Qec870zOu%2BDTda%2Fyc9MPKl8QTH0QScVPPpkASwmXeUs16qXp32TWdd395C1FAUVevSUKNN1ECoyYuIp8tFkP42nzKSIlBCa6An1ggXiDZCqss2GoMy3BgQdHW4eSmkM%2FOMQM23mNeuWyYNNrS6VgMOwpgXfCzwrPB422PT52YzscT1373o3nVndaa2N71w295DJVhnEJIZmI2zoFf7fdTZ8cforTCSg4isJofADnJ6x8h2BNzMZP6X%2B30lIs%2FnoCF45gKbH8htDvGvYc8Augi7ZvhgEAAA%3D%3D).
-
Vraagje,
ik heb met een identieke NAS, extern, nachtelijks een RSYNC draaien om nieuwe data over te zetten. Ook als een bestand wordt aangepast, dan wordt het bestand extra weggeschreven, dus remote niet aangepast. En dit vice versa. Dus als bestanden worden gezipped of wat ze dan ook doen, dan wordt dat gezien als extra bestanden en gaat ie al die nieuwe data naar de andere NAS overzetten 's nachts.
Stel dat 1 van de 2 wordt geransomed, dan heb ik in dit geval toch altijd een backup staan op de andere NAS die ik dan terug kan zetten?
Of maak ik hier een denkfout?
Instellingen van de Hyper Backup:
[attach=1]
-
Als kleine gebruiker zit je waarschijnlijk wel veilig.
Bij grote gebruikers is meer losgeld op te halen, dus dan zullen ze de tijd nemen om het systeem eerst grondig analyseren en dan te beginnen met het wissen van de backup files. (b.v. door simpel de instellingen van HyperBackup aan te passen of dit uit te zetten.)
Soms zitten ze al weken in een systeem te grasduinen voordat ze met de echte versleuteling beginnen en hun aanwezigheid echt begint op te vallen.
-
Ik heb nog steeds mijn NAS schijven in de originele geransomde staat (ik kan er niet toe komen om weer met een NAS te gaan werken) en vandaag stond in de krant dat de politie een groot aantal cyber criminelen had gepakt. Je kon checken of ze jou als slachtoffer hadden gevonden op https://www.politie.nl/informatie/checkjehack.html. Zou ik dan opeens de wachtwoorden kunnen krijgen voor de geransomede files? Nee dus.
Mijn ransomers waren dus niet:
5 april 2023 - Genesis market
29 augustus 2023 - Qakbot
januari 2024 - Bankhelpdeskfraude
30 mei 2024 - Endgame
-
Zojuist een account aangemaakt vanwege dit onderwerp, dus daarom geen nieuw bericht.
Ik heb een DS114 gekregen van mijn zoon, maar de eigenaar is een collega van hem.
Op de NAS staan alleen foto's.
Ook zijn NAS is dus "geransomed" en heeft hij geen geld betaald.
Bovendien heeft hij nog eens de pech, dat ook zijn Samsung externe HD, waarop alle foto's staan, ook defect is.
Deze al eerder door mij bekeken, bij deze HD zit de usb poort op de printplaat, dus geen losse controller, die over de SATA connector is geschoven.
Na aansluiten van de NAS op mijn test PC en installeren van Synology software kon ik mbv van zijn gebr.naam en wachtwoord de NAS benaderen.
Alle foto's zijn niet meer te openen, althans het levert een foutmelding op, dus kennelijk versleuteld.
Alle foto's staan inmiddels op een externe HD van mij, een virusscanner vindt geen besmettingen.
Nu op zoek naar herstelsoftware, maar dat hoort niet op dit forum thuis.
Mijn vraag is nu, wat te doen met de NAS, ik zag als versie 6.0 rechts onder staan.
Leidt het updaten van de firmware naar 7.1 tot een weer schone, dus veilige NAS?
Zijn er tools om de NAS te scannen op ransomeware?
Aanvullend, ik heb inmiddels met die collega nu rechtstreeks contact via Whatsapp.
Een vriend van hem heeft alles ingericht, zo bleek bij mijn vraag hoe e.e.a. is ingericht om via internet de NAS te benaderen.
Dus heel principieel moet zijn vriende het eigenlijk oplossen, maar ja, de NAS staat nu bij mij.
En als gepensioneerde heb ik alle tijd.
-
Mijn vraag is nu, wat te doen met de NAS, ik zag als versie 6.0 rechts onder staan.
Leidt het updaten van de firmware naar 7.1 tot een weer schone, dus veilige NAS?
Nee, updaten naar een andere versie DSM betekend NIET dat de NAS weer veilig is.
De DSM software staat namelijk op een aparte partitie van de NAS schijf, dan waarop de data staat.
Je kon wel inloggen in de NAS, dus de partitie van de DSM software is schijnbaar niet aangetast.
De partitie met de data wel.
Als je inlogt op de NAS, en maakt verbinding met de besmette data-partitie. Neemt daar bestanden van over,
heb je ook weer het risico, dat je de ransomware weer overneemt naar je eigen PC systeem? Ondanks scannen met een virusscanner.
Er duiken altijd weer nieuwe varianten op, waarbij de definities nog niet in een virusscanner zijn opgenomen.
Om een schijf helemaal weer virusvrij te maken, het beste de partities volledig te verwijderen,
opnieuw weer in te delen en te formatteren (de data ben je toch al kwijt). En dan alles weer opnieuw inrichten.
-
Ik vermoed, dat onderstaande vraag hier niet thuis hoort alhoewel het wel met het onderwerp te maken heeft.
Vanmorgen de schijf uit de behuizing gehaald en aan een SATA poort van mijn test PC gehangen.
Met een Linux Reader on Windows prog de schijf vervolgens bekeken.
Uiteraard vond ik de map waaronder alle versleutelde foto en video bestanden staan.
Een onverlaat heeft dus de bestanden versleuteld en om losgeld gevraagd wat de bezitter van de NAS niet betaald heeft.
Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?
- is dit progje ook weer nodig om de bestanden te herstellen als er wel betaald wordt?
OF gebeurt dit met een progje op afstand?
Samengevat, hoe werkt zo'n versleuteling en het terugdraaien daarvan.
Ik heb natuurlijk getracht hier iets van te kunnen vinden, maar voor mij een speld in een hooiberg, want waar moet je naar zoeken.
Overigens heb ik gisteren vele decryptor progs geprobeerd, die online te vinden zijn, maar helaas geen resultaat.
Ik heb begrepen, dat eerst de ID van de versleuteling moet worden vastgesteld, maar dat is ook niet gelukt.
-
Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?
Nee, dat hoeft niet. Het zou evengoed op een PC geplaatst kunnen zijn, bij dubieuze internet connecties.
Waarbij met inloggen van die PC met de NAS, de infectie en versleuteling ook op de NAS plaats vindt.
Zie eerdere onderwerpen:
https://www.synology-forum.nl/synology-dsm-6-2/risico-gebruik-van-oude-nas-op-dsm-6-2/msg330616/#msg330616
https://www.synology-forum.nl/firmware-algemeen/ransomware-43248/msg309183/#msg309183
Verder vergeet de medewerking van de hacker die geld vraagt, om het weer te ontsleutelen.
Want ook bij betaling, krijg je doorgaans alsnog geen sleutel om de encryptie ongedaan te maken.
Als er al überhaupt ontsleuteld zou worden, dan in ieder geval NIET op afstand,
want daarmee zou er een continue verbinding nodig moeten zijn met de hacker, en is de hacker meteen traceerbaar.
Bovendien kost het veel te veel tijd om alle data van een NAS over en weer via internet te laten gaan om "elders" te ontsleutelen.
Of er al direct ook "ontsleutel" software op de NAS is geplaatst, is ook maar de vraag?
Er zijn diverse methodes van versleutelen / ontsleutelen, en wijzen waarop hackers te werk gaan.
Zolang je niets weet over de wijze van versleuteling, en geen diepgaande kennis / onderzoek hebt gedaan van de gebruikte methode,
heeft het naar mijn idee weinig zin daar tijd en energie in te stoppen. (Duur betaalde ICT-ers hebben daar al een hele kluif aan).
Heel vervelend, maar beschouw het maar gewoon als verloren data.
-
Ik gebruik de NAS niet meer, maar ik heb de schijven nog wel. Ik heb wel vrij veel gewiste bestanden terug kunnen halen, ook met hulp van mensen hier. Maar ik ben nog steeds heel veel kwijt. Alles is geransomed in.7z bestanden en daar kan je met decrypting niets mee, dacht ik. Wel heb ik sindsdien heel veel mensen ontmoet die ook te maken hebben gehad met een geransomede NAS, dus het fenomeen komt volgens mij veel meer voor dan men aanneemt.
-
Het komt ook heel vaak voor en hoop het dan ook niet mee te maken.
Heb wel goede backups hier en elders.
-
Nu vraag ik mij het volgende af:
- heeft die persoon voor dat versleutelen een progje op de NAS geplaatst?
- is dit progje ook weer nodig om de bestanden te herstellen als er wel betaald wordt?
OF gebeurt dit met een progje op afstand?
Samengevat, hoe werkt zo'n versleuteling en het terugdraaien daarvan.
Hier is geen universeel antwoord op te geven. Soms is de sleutel voor de hele ransomeware groep hetzelfde. Vaker is de sleutel elke keer weer anders. In het laatste geval werd de sleutel soms verstopt op de nas achter gelaten. Vaker werd de sleutel achteraf opgestuurd, maar dan moet de aanvaller een hele boekhouding bijhouden van welke sleutel bij welke PC hoort.
Soms wordt zo'n groep opgerold en vind men een hele database met sleutels bij de criminelen. Dan heb je soms jaren later nog de mogelijkheid de boel te ontsleutelen.
Oftewel: er is geen standaard antwoord.
-
Namens de eigenaar van de NAS naar 2 bedrijven een mail gestuurd met uitleg en een verzoek om een kostenplaatje.
Inmiddels een reactie binnen en dat was schrikken, zeker voor de eigenaar van de NAS.
Vooronderzoek 200,00 en indien herstel mogelijk dan 300,00 - 800,00 voor dit herstel, prijzen excl BTW.
Ik vrees, dat het andere bedrijf met soortgelijke bedragen zal komen.
Nog met het andere spoor bezig, het weer aan d praat krijgen van de externe HD.
Ook hiervoor enige bedrijven benaderd, maar nog geen reactie.
Voor mij zit het erop.
-
Maar ja, daar had ik je al voor gewaarschuwd (reactie #77 (https://www.synology-forum.nl/firmware-algemeen/ik-ben-geransomed-wat-nu/msg333506/#msg333506)). :o
"Zolang je niets weet over de wijze van versleuteling, en geen diepgaande kennis / onderzoek hebt gedaan van de gebruikte methode,
heeft het naar mijn idee weinig zin daar tijd en energie in te stoppen. (Duur betaalde ICT-ers hebben daar al een hele kluif aan)."
-
Wat ellendig als je geransomd wordt! Ik heb alle maatregelen genomen om deze narigheid te minmaliseren en heb altijd twee backups. De security advisor van Synolgy vindt geen risico's, dus mijn nas zou veilig moeten zijn. Helaas kan men ook via de pc binnendringen, begrijp ik. Ik heb schijfletters van mijn nas in de verkenner geplaatst zodat ik er makkelijk bij kan, de hacker blijkbaar ook...
Up to date virusbescherming is geen luxe.
Als ik kijk in de logboeken van mijn nas zie ik dat er dagelijks diverse pogingen worden gedaan om binnen te dringen en dat vanuit vele landen op de hele wereld. Ik heb ingesteld dat na drie mislukte pogingen het desbetreffende ip adres wordt geblokkeerd, hopelijk is dat afdoende?
-
Ik heb ingesteld dat na drie mislukte pogingen het desbetreffende ip adres wordt geblokkeerd, hopelijk is dat afdoende?
Binnen 10 of meer minuten ?
-
3 aanmeldingspogingen, 5 minuten, deblokkeren na één dag.
-
Het onderwerp over Security advisor heb ik gesplitst en staat hier (https://www.synology-forum.nl/firmware-algemeen/security-advisor-lan-services-zijn-toegankelijk-vanaf-internet/?topicseen).
-
Als ik kijk in de logboeken van mijn nas zie ik dat er dagelijks diverse pogingen worden gedaan om binnen te dringen en dat vanuit vele landen op de hele wereld.
Je zou ook de toegang kunnen blokkeren op basis van IP-locatie in de firewall, geo-blocking dus.
Bij mij waren de pogingen weg toen ik alleen IP's uit NL, BE en Duitsland toegang gaf.
-
Alleen vanuit Nederland kan zelfs toch nog onbedoelde inlogpogingen opleveren.
Zie volgende onderwerp / reactie, wat nog verder te doen.
https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722