LET OP: NAS HACK: Synolocker actief.

[SPiET]

Via iemand op het officieel Synology forum:

"my brother ds was one of the infected ones. after he installed now the dsm5, and with the locked files still there, he tryed to view some of the affected movies in the media center on the living room, and voilá, they still work loool."


moeten mensen es testen die geinfecteerd zijn.

[Ben(V)]

Tja ik zat me al af te vragen. Een paar Tb aan data encrypten, daar doe je met een NAS toch wel een paar dagen over met 100% cpu belasting.
Dat zou mij in ieder geval wel opvallen.

[GerardR]

Een buitengewoon groot compliment voor het Nederlandse bedrijf Fox-IT als je dit artikel leest:
http://www.bright.nl/ontsleutelen-bestanden-die-door-cryptolocker-zijn-gegijzeld

Ik hoop dat het hen ook lukt voor synolocker!!!

[Hofstede]

Mee eens. Maar nog even voor de duidelijkheid: Dit werkt niet voor mensen die door Synolocker getroffen zijn.

[SPiET]

Waar kan je de info vinden in DSM 5.0 ivm inkomende verbindingen enz? Om te zien of er iemand verbinding probeert te maken met je DS?

Bedankt

[Goner]

Log Center ?
Daar staan alle gelukte en mislukte logins ...

Kan nu even niet met Putty op m'n NAS (heb SSH maar even dicht gezet) maar misschien werkt 'netstat'.

Code: [Selecteer]

netstat -an | grep ESTABLISHED
(Webalizer logt alleen verkeer via Web Services, http port 80 dus)

[GerardR]

Waar kan je de info vinden in DSM 5.0 ivm inkomende verbindingen enz? Om te zien of er iemand verbinding probeert te maken met je DS?

Bedankt

kijk eens naar het pakket webalizer van Synology.
wel even in /volume1/web/webalizer een htaccess bestand opnemen met
deny from all
allow from 192.168.xx. (intern ip adres)
anders kan iedereen meekijken.

[Björn]

Tja ik zat me al af te vragen. Een paar Tb aan data encrypten, daar doe je met een NAS toch wel een paar dagen over met 100% cpu belasting.
Dat zou mij in ieder geval wel opvallen.

Ik ving ook weer ergens op dat alleen bestanden tot 5MB encrypted zijn. Kan complete onzin zijn, maar zou wel logisch zijn. Daarmee pak je al gauw de belangrijkste bestanden en voorkom je dat je films gaat encrypten die toch simpel opnieuw te downloaden zijn.

[Briolet]

Een file limiet komt vaker voor. De recente CryptoBlocker hanteert een 100 MB limiet. Voor een nas met een trage processor en grote harddisks is een lagere limiet verstandig. Je wilt zo veel mogelijk files versleuteld hebben voordat de activiteit begint op te vallen.

[Remy89]

Ik ving ook weer ergens op dat alleen bestanden tot 5MB encrypted zijn. Kan complete onzin zijn, maar zou wel logisch zijn. Daarmee pak je al gauw de belangrijkste bestanden en voorkom je dat je films gaat encrypten die toch simpel opnieuw te downloaden zijn.

Zit een stukje logica in. Ook als je kijkt naar de post van SPiet (bovenaan) reactie #240 staat dat een film het nog gewoon doet.

[StefaanD]

Misschien kan Birdy de beginpost bijwerken als er meer informatie is over welke versies nu eigenlijk onderhevig zijn aan deze hack ?

[HenkdeGans]

Ik gebruik mijn NAS voor mijn werk, en kan hem dus erg lastig uit doen!
Ik had DSM 4.3.3810 en heb die gisteren naar 5.0.4493 update 3 gebracht.
Volgens mij werkt alles nog naar behoren, maar zie wel dat als ik in het DSM bezig ben, mijn processor met 98 procent bezig is!
Is dat normaal, of ga ik spoken zien ;-)

[damonnk]

Kijk in de resource manager onder process wat er zo druk is....
Als het synosync is (dacht dat dit hem was) dan kan het zijn dat je te laat bent

[SPiET]

De ransomware kan ook het process synosync hidden maken zodat je het nooit in resources paneel zal zien.

Enige manier denk ik volgens mij is via Putty inloggen op je NAS met admin, via SSH of Telnet en dan moet je een bepaald commando uitvoert nadat je ingelogd bent:


ps | grep synosync | grep -v grep


geeft Putty niets terug na het ingeven van dit commando, dan mag je zeker zijn dat synosync niet draait op je NAS en je nog veilig bent.

[HenkdeGans]

Ik had hem uitgezet (werd enigszins nerveus haha).
Nu weer opgestart, en nu is de processor rustig (25%).
Zal het vanavond eens in de gaten houden!
Ik zie ook geen proces synosync in de resource manager.