LET OP: NAS HACK: Synolocker actief.

[m4v3r1ck]

Maar wie weet, duiken over een half jaar ook nog ergens Synolocker sleutels op. En dan maar hopen dat je de schijf inmiddels al niet geformatteerd hebt.

Laten we het hopen. Wat je dan als gebruiker kan doen (als er tenminste belangrijke data voor je opstaat) is de schijf vervangen en de versleutelde schijf ergens wegleggen. 'N schijfje kost tegenwoordig niet heel veel meer. En later, mochten de sleutels bekend raken kun je hem altijd nog unlocken.

Super goede tip! In ieder geval een goed alternatief!

[Jazz]

Dus even 19 pagina's concreet samenvattend:

- de hackers zijn hartloze en onbetrouwbare eikels;
- hun server is mogelijk uit de lucht;
- betaling van het losgeld geeft geen enkele garanties;
- er zijn tools, maar niemand heeft daar echt ervaring mee, uit de eerste hand;
- het raakt alleen DSM versies 4.xx, hoewel er ook geruchten zijn dat 5.xx versie ook niet helemaal veilig zijn;
- als je geraakt bent, zou je kunnen 'experimenteren' met voorgenoemde tools, maar een format en herinstallatie
  is eigenlijk op dit moment de enige optie;
- Synology kan helaas niets voor je doen en ze werken aan een patch.
- we houden niet van off-topic posts en al helemaal niet van reclame

Is dat het zo'n beetje?

Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000) Iemand daar wellicht een idee over? Ik heb alles dichtgezet, ssh had ik al over een andere poort laten lopen en toegang is alleen via public-private key mogelijk, dus wachtwoorden kraken heeft dan geen zin. Root toegang uiteraard uitgezet.
De accounts admin en guest staan sowieso uit. Dit lijkt me redelijk afdoende. Iemand daar een idee over?

[Briolet]

Hoe ze binnen komen? Volgens Synology via een van de twee bugs de in december 2013 gepatched zijn:

CVE-2013-6955 en CVE-2013-6987. Dit zijn beide bugs in de webpaginas. Dus via poorten waar je deze ziet. Dat is in elk geval 5000 en 5001. Of dat ook via inlogpaginas zoals filestation of de webserver (poort 80) geldt weet ik niet maar ik denk het wel. Wie?

[Björn]

Ik heb net een mail van Synology onder ogen gekregen die ik jullie niet zal onthouden. In de basis kunnen ze helpen de NAS weer werkend te krijgen en de encrypted data veilig te stellen incl. de gegevens die nodig zijn om op een later moment eventueel te decrypten als de benodigde sleutel kan worden bemachtigd. Ze kunnen de data op dit moment dus niet decrypten (wat niet verbazend is gezien het encryptieniveau).

Synology heeft overigens inmiddels contact met o.a. de FBI en gaat ook in Nederland aangifte doen. Als de daders gepakt worden is er nog een kans dat de sleutels boven water komen en dat er een tool gemaakt kan worden zoals de tool die hierboven genoemd wordt (decryptcryptolocker.com). Zonder deze sleutels is het (nagenoeg) onmogelijk om de data te herstellen.

De mail:

Thank you for contacting us. We appreciate your continued patience and support during this time.
As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
 
#1 Reset your DiskStation and restore backup data
 
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re-install DSM:
 
1. Follow the steps in this tutorial to reset your DiskStation: http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here: http://www.synology.com/download
3. Once DSM has been re-installed, log in and restore your backup data.
 
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. As resetting the DiskStation would remove the information required for decryption, we can back up the encryption information on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about retrieving the encryption information, or 2) delete the encrypted files entirely.
If you would like us to preserve the encryption information, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
 
1.Power off DS and take out all hard drive.
2.Power on DS without hard drives.
3.Run Synology Assistant and perform the installation using the following DSM patch below: ftp://on-line:online_user@ftp.synology.com/on-line/Tools/fake_pat/a.pat
4.Using this method, the installation will appear to fail, but Telnet service shall be open.
5.Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6.Please re-insert the hard drives into your DiskStation without rebooting and provide us the following information:
 
(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet       
    application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
    23 is open)
 
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.

[hoogerbeets]

Je kan je zelf enigszins beschermen omdat SynoLocker niet alle bestanden encrypt.

Je moet dat lezen dat als er .mp staat dat alle *.mp* bestanden encrypt worden.

Zo te zien zijn b.v. .mkv en .m4v en belangrijk *.png bestanden niet geencrypted.

Dus al je *.mp4 hernoemen naar *m4v en *mp3 bestanden omzetten naar *.ogg en afbeeldingen naar *.png

Dan heb je zeker minder last als je toch een infectie krijgt van SynoLocker.

[Babylonia]

Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000)

Nou ja, eerder in de draad had ik er ook al een idee over, maar dan m.b.t. poort 22
Kreeg dagelijks een heel rijtje inlog-pogingen met IP's vanuit China. Na afblokken van poort 22 en uitschakelen van de service die gebruik maakt van poort 22 geen enkele meer.

Als ik de NAS niet benader is die nu in slaapmode, dus het is kennelijk echt rustig, want wordt niet door externe IP's opgestart.

Zie eerdere berichten   < HIER >,   < HIER >   en  < HIER >

[Ben(V)]

Als je de twee CVE's doorleest zijn beiden kwetsbaar voor HTTP aanvallen door ongeauthoriseerde gebruikers.
Dus ze komen binnen via de webman interface.
Toont weer eens aan dat het onverstandig is om webman vanaf het internet toe te staan.

Verder zijn het kwetsbaarheden die elke "user" de mogelijkheid geeft file's te uploaden naar je NAS. Dus ook gebruikers die geen admin authorisatie hebben om bijvoorbeeld iets in de systeem partitie te zetten.
Dus naast een webman interface die naar het internet openstaat hadden ze ook nog een username/password nodig al hoefde die geen privileges te hebben.
Ik vermoed dat ze het account "guest" hebben gebruikt dat standaard geen wachtwoord heeft.
Veel mensen zetten dat open voor bepaalde shares voor het gemak(geen username/password nodig).


Het lek is gedicht als je de juiste DSM updates hebt gedaan en het positieve van het verhaal is dat iedereen ineens weer voorzichtiger is geworden en dat de afweging gebruikersgemak versus security er een is die je in ieder geval moet maken.

Zoals ik al vaker heb betoogt, wil je je NAS beheren vanuit het internet gebruik dan een VPN.
Verder is het gebruik van een guest account altijd al af te raden, maar dat hoeft volgens mij geen betoog meer.
Een volgend lek is gewoon nog niet ontdekt maar is gegarandeerd aanwezig.

[sciurius]

(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet       
    application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
    23 is open)

WAN access via zoiets gammels als Telnet? Een certificate-only SSH zou heel wat veiliger zijn.

[Hofstede]

Dit is dus als de NAS is opgestart terwijl de schijven er uit zijn. Dan kan de NAS op dat ogenblik alleen nog maar een simpele telnet server draaien.

[sciurius]

Ah!

[Birdy]

Dat schrijft Synology ook, in het kort:

Je installeert in feite de fake DSM (.pat), daarna kun je met Telnet (poort 23) op de NAS komen, dan komen de schijven er weer in en kun je die mounten, kijken, files aanpassen enz.
Volgens mij zit er n.l. wat standaard DSM software in de rom waaronder busybox.
Ik heb het even getest op m'n DS111 zonder HD.
Dus de procedure gevolgd en ik kreeg verbinding middels PuTTY, weet alleen niet hoe je moet inloggen 
Zal wel geheim zijn.   

[JSSL]

Hiermee misschien: http://wrgms.com/synologys-secret-telnet-password/ 

[Birdy]

Ha...leuk,  morgen eens proberen 

[JSSL]

Geen idee of het werkt. Maar het kost niks om is uit te proberen. 

[Briolet]

Volgens mij wil Synology altijd toegang over poort 23, niet alleen in situaties waar er geen disken in zitten. Ik heb in februari 2014 de volgende instructie gekregen:

Code: [Selecteer]

Remote Access Instructions
===============================================================
1. Standard Ports we need you to open: 23, 5000
(Please see this link on how to forward your ports, and then select the TELNET application:
http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)

2. Please enable the TELNET and SSH function in Web Management of your Synology NAS. ([Network Service] > [Terminal] )

3. WAN IP Address of your Synology NAS:
[Please go to http://www.yougetsignal.com/tools/open-ports/ and check if the port is open or not]

4. A temporary password for the 'admin' account of your Synology NAS (DSM user with administrator access will NOT be sufficient):

===============================================================

Note: our static external IPs are from 118.163.30.16 and 125.227.152.103 in case you would like to set up a firewall rule to allow only our IPs to access the system.
Daar staat dus geen poort 22 tussen, hoewel in de tekst wel SSH genoemd wordt. Ik heb later dit jaar nog eens deze mail gekregen en toen stond er wel

Code: [Selecteer]

Standard Ports we need you to open: 22, 23, 5000De rest van de tekst was gelijk, maar nu zonder de voetnoot met de IP adressen aan hun kant.

Of ze hebben bijgeleerd, of ze hebben verschillende versies van de instructie. In elk geval is het netjes dat ze ook een bron IP vermelden zodat je expliciet alleen Synology toegang kunt geven.

@JSSL: De truck met het steeds veranderende wachtwoord, werkt niet meer. (Dat heb ik 1 jaar geleden al getest) Dat dagelijks veranderende wachtwoord was handig voor klantondersteuning door Synology, maar sinds de berekening van het wachtwoord 'op straat' ligt, moeten ze het uit DSM gehaald hebben. Nu moet je ook elke keer een tijdelijk wachtwoord maken als je ondersteuning wilt hebben. ( En als het er stiekem toch nog in zit, zullen ze het aan hun twee IP adressen gekoppeld hebben)