LET OP: NAS HACK: Synolocker actief.

[SPiET]

Kan ik aan nemen dat ik nu veilig ben ?

Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!

Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ?  ja...Ik ben een leek op dit gebied

Voor de login pagina staat die bij andere NAS standaard op 5000 (en https op 5001) dus word er aan gedacht dat ze zo de nassen kunnen traceren en aan te vallen.
Als je die poort via DSM verandert naar een willekeurig andere poort is het voor hen veel moeilijker om de poort te weten (via webservices , http in DSM configuratie)

[Hofstede]

--

[Erwin1]

Kan ik aan nemen dat ik nu veilig ben ?

Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!

Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ?  ja...Ik ben een leek op dit gebied

Voor de login pagina staat die bij andere NAS standaard op 5000 (en https op 5001) dus word er aan gedacht dat ze zo de nassen kunnen traceren en aan te vallen.
Als je die poort via DSM verandert naar een willekeurig andere poort is het voor hen veel moeilijker om de poort te weten (via webservices , http in DSM configuratie)

Ik heb die poorten veranderd, maar ik liep ook tegen de lamp dat alle apps niet meer werkte 

[Briolet]

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open…

Standaard staan ze in de nas open en is de firewall uit. Maar normaal zijn die poorten niet vanuit het internet naar je nas geforward, dus is er nog niet zo veel aan de hand. Maar als je bij installatie te snel overal Okay klikt zonder te weten waar je toestemming voor geeft, kan het zijn dat je ze zelf, via UPnP, open gezet hebt.

De poorten 5000/5001 zijn voor het inloggen op alle instellingen. Als je familie toegang tot autiostation, filestation oid. wilt geven kun je beter alleen de specifieke poorten voor die features gebruiken en forwarden, maar niet de poorten waarmee je echte dingen op de nas kunt aanpassen.

Via de menus achter poort 5000/5001 kun je na een inlog op een admin account via package center een voorbereid malware package installeren, ook zonder dat je expliciete root toegang hebt.

[RAT]

Kan ik aan nemen dat ik nu veilig ben ?

Als je op DSM 5.0 4493 zit en niet recent pas hebt ge-upgrade van 4.3 zit je redelijk veilig (voor zover je op Internet veilig kunt zijn)

Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.

Ik heb die poorten gewoon open gehouden, kan me niet voorstellen dat ze daar wat me kunnen (totdat natuurlijk iets soortgelijks voor Transmission of zo gevonden wordt)

Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?

Als je van buiten op je NAS wilt via DSM of FileStation moet je die poorten openhouden. Voor de veiligheid kun je aan de 'buitenkant' (router) een ander nummer verzinnen en dat forwarden naar ej NAS, kans dat je gescand wordt is dan een stuk kleiner.

Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)

[damonnk]

RAT, als je het nog niet gedaan hebt kan je altijd nog een paar extra dingen doen(Dit is ten overvloede misschien maar toch)

• Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
• Two factor authentication aanzetten op dat nieuwe account
• Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland

[RAT]

RAT, als je het nog niet gedaan hebt kan je altijd nog een paar extra dingen doen(Dit is ten overvloede misschien maar toch)

• Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
• Two factor authentication aanzetten op dat nieuwe account
• Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland

Ga ik proberen, moet dan wel ff uitzoeken hoe dat allemaal werkt :-)

Ik hoop dat ik op tijd was ge-upgrade, want ik had wel een paar rare dingetjes:
zie:
http://www.synology-forum.nl/firmware-algemeen/dsm-update-naar-5-0-verstandig/30/

[Erwin1]

En in hoeverre heeft deze functie zin?

[damonnk]

RAT, als je het nog niet gedaan hebt kan je altijd nog een paar extra dingen doen(Dit is ten overvloede misschien maar toch)

• Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
• Two factor authentication aanzetten op dat nieuwe account
• Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland

Ga ik proberen, moet dan wel ff uitzoeken hoe dat allemaal werkt :-)

Ik hoop dat ik op tijd was ge-upgrade, want ik had wel een paar rare dingetjes:
zie:
http://www.synology-forum.nl/firmware-algemeen/dsm-update-naar-5-0-verstandig/30/

De eerste 2 staan hier beschreven
http://www.synology.com/en-us/support/tutorials/615

[Björn]

Deze screenshots heb ik net gemaakt van een NAS van een klant van ons. Helaas is de klant zelf nu even niet telefonisch bereikbaar dus ik weet niet of hij het 'losgeld' betaald heeft of de key op een andere manier (https://www.decryptcryptolocker.com/ ?) heeft weten te bemachtigen..

Het decrypten is dus in ieder geval wel echt mogelijk.

[Goner]

Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)

Van welke versie ?? Zat je nog op 4.3 vorige week ?
Want dat kan al te laat geweest zijn als ik de berichten zo eens lees ...

Het decrypten is dus in ieder geval wel echt mogelijk.

Niet voor Synolocker, alleen voor Cryptolocker ; da's wat anders. Tenzij er betaald is ...

[RAT]

Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)

Van welke versie ?? Zat je nog op 4.3 vorige week ?
Want dat kan al te laat geweest zijn als ik de berichten zo eens lees ...

Het decrypten is dus in ieder geval wel echt mogelijk.

Niet voor Synolocker, alleen voor Cryptolocker ; da's wat anders. Tenzij er betaald is ...

Ja, was pas vorige week...maar alles lijkt normaal te werken...
Ik ben nu admin. aan het wijzigen in nieuwe naam :-)

[Björn]

Antwoord van klant:

Ik moest in 1 geval het losgeld wel betalen aangezien de offline backup ook al grotendeels was gecodeerd.

Het is ongelooflijk goed opgezet. Zelfs een helpdesk die zeer snel reageert (communicatie via Bitmessage).

Als het geen criminelen waren zou je zeggen wat een goede service.

Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key. Nou moet je criminaliteit niet belonen, maar als je nou een bedrijf hebt en op hete kolen zit is dit wellicht toch goed nieuws.

[Goner]

Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key.

Tsja, als ze geen key zouden geven en dat nieuws verspreidt zich, dan betaalt er niemand meer ... het zijn wel criminelen, maar ze weten van zaken-doen 

[damonnk]

Antwoord van klant:

Ik moest in 1 geval het losgeld wel betalen aangezien de offline backup ook al grotendeels was gecodeerd.

Het is ongelooflijk goed opgezet. Zelfs een helpdesk die zeer snel reageert (communicatie via Bitmessage).

Als het geen criminelen waren zou je zeggen wat een goede service.

Voor een bedrijf is 350~400 euro waarschijnlijk een stuk goedkoper dat je bestanden kwijt zijn.
Mooi moment om ook je backup methode zo in te richten dat als het gebeurd je niet de encrpyed files synced en de oude weg zijn
Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key. Nou moet je criminaliteit niet belonen, maar als je nou een bedrijf hebt en op hete kolen zit is dit wellicht toch goed nieuws.