Synology-Forum.nl

Firmware => Synology DSM algemeen => Topic gestart door: Hofstede op 23 juli 2019, 21:30:12

Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 23 juli 2019, 21:30:12
Zie: https://www.synology.com/en-us/company/news/article/2019JulyRansomware/Synology
Geen nieuwe kwetsbaarheid in de NAS, maar hackers zijn actief op zoek naar mensen die hun NAS simpelweg niet goed beveiligd hebben.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 23 juli 2019, 21:45:59
Voorlopig Sticky en Forumbreed gemaakt t.b.v. de nodige aandacht. ;D
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 23 juli 2019, 22:15:40
Als ik het zo lees gaat het om een massale bruteforce attack op het admin account die op 19 juli begonnen is. Op zich is er niets aan de hand omdat het geen zwakheden betreft.

- Als je geen admin account gebruikt, valt er ook niets te bruteforcen omdat ze alleen die naam proberen.
- Als je een factor twee inlog gebruikt komen ze ook niet binnen.


- Het aantal inlogpogingen beperken lukt niet omdat de aanval via een botnet loopt die steeds vanaf een ander IP begint.
- Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog. (Bij de beta 6.0 zat dat er wel in, maar sinds de 6.0 release heb ik het nooit meer terug gezien)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 23 juli 2019, 23:36:14
Het “slimme” van de aanvallers is ook dat ze eerst een hele lijst van zwakke NASsen verzameld hebben alvorens te beginnen met de aanval.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: sciurius op 24 juli 2019, 08:28:25
Als je poort 22 aan het internet hebt hangen zal dat ook een probleem zijn. Om een mij onbekende reden gebruikt synology geen factor 2 bij een ssh inlog.

Ik stel ssh altijd in op "PasswordAuthentication no" en "PubkeyAuthentication yes". Geen hond die erin komt zonder geldige private key.

(Daarnaast hangen mijn NASsen niet aan het externe internet, da's nog veiliger.)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 24 juli 2019, 09:30:14
PubkeyAuthentication is niet iets was dsm zelf ondersteunt. Mijn opmerking was meer dat ik niet begrijp dat ze geen factor 2 gebruiken omdat het wel ooit in een beta zat en ook goed werkte.

Maar in het bericht van Synology staat niet waar ze binnen komen. Dat kan ook via dsm zijn, waarna ze via de taakplanner hun code laten uitvoeren. Acht ik waarschijnlijker omdat die poort vaker toegankelijk is.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jovink op 24 juli 2019, 14:49:11
Jammer dat er geen eenvoudige instelling is om de admin alleen via lokaal netwerk toegang te geven.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 24 juli 2019, 20:52:38
Deze mail ontvangen:

[attachimg=1]

Synology has recently received several reports of encryption-based ransomware attacks. After investigation, these incidents were part of a large-scale attack targeting NAS devices from various vendors leveraging brute-force attempts at logins instead of system vulnerabilities. Therefore, Synology strongly recommends all users check if the measures below are in place to secure your accounts.

Please make sure you go through the checklist below:
   •   Create a new account in administrator group and disable the system default “admin” account.
   •   Use a complex and strong password, and apply password strength rules to all users.
   •   Enable 2-step verification to add an extra security layer to your account.
   •   Enable Auto Block in Control Panel and run Security Advisor to make sure there is no weak password in the system.
   •   Enable Firewall in Control Panel, and only allow public ports for services that are necessary.

In addition to the network and account management settings described above, we also recommend you keep your NAS up to date as well as protect your data with the built-in Snapshot Replication or Hyper Backup in case a recovery is necessary. To learn more about how to safeguard your NAS against encryption-based ransomware, please visit https://www.synology.com/solution/ransomware.

More resources available:
   •   How to add extra security to your NAS? (https://track.synology.com/n?token=cm1vLzR0LlJvR29lTkNhb2J4b3JhdFFlaW9uTG9JYU1NbGlfRHQvQ1NtaXR1NGFlNnd5RmEvL3NDVW41Z1MzblplUHNlZy9fZ2R1X2x0X21ycHdfb0xfSWRNZlNFVWV5QW9ybnd1ZHVlT2N5eWNkZS5aMmQvazdnZGFFbnJzX2xsbDFuZU1naHlXUXdzdHRId2l5OkN6X21udHQvSG9v&a=d251QWVuZzRnVGVvSm9vWW1yWk0vX2FnL2Vucm5ub0sxV3RJTVVlSmQ4cXdTc3RpN29fb2d5dE1BeWEud2Rkb2YveWF0OlhsdXJhQ2VfTzkvMndlL3lOdWVudGxBc19zb1lEOGgvdG9icEVTd2hTNV91b29tY2F0TmxGWHEubmVzcm9Xc290X3h5Y1M2X19GaXR5a2FNeFRDYUgvbHN1)
   •   How can I protect my Synology NAS against WannaCry? (https://track.synology.com/n?token=RWRyT2p0YUlpc2xpb3lhc0Rjd2VyZnJfU3RpMFNsbG9nX0hvdHNYdDpZVWhjbnl5VG5lY2FudW1veG91Ym95LmFoX25vXy5hdC9TNEF5a2pleGwyUm5fb0xfL3lwOHRlYXl3dG9vaXp3RXdfLy9zbU1wY3NvN0phdVNRd2cvbnltZVVfZ25QbWV5aVN5Q1d2d05iYS9idE9OclQvTXd2Z3A%253D&a=cmEvU2VvRW5fOnJTL1poX19JcG9lam95bmFBYWdsbXk2Y3VhaUFIS3c1enRjY2FNeTJ3enJlbC41Z3lNZ2dvRzlpV19fdDdFbXRvbnNubV9tY3lIXy9nYWUyd2lfZHQwVFVrL2V1WE1Zc3QueVVvMXROU2xBcERuZXROYm8vcHk3clN3ZXNRL2FvdENkL3dodGxVVUdub0xqTmg5c3J3blM%253D)
   •   How to back up your data to a remote Synology NAS or file server with Hyper Backup? (https://track.synology.com/n?token=YU5oeVhhU2V0Qm9hNmlvdXllM3VpZnJhLndjcC82Tl9PdGJwWW9nTVg3X2xvb3liX2VvL3RkdXlGX19VdFN0bnZ3Omt5b2FzY25ycC5UZWZvblpidF9qYmFoc2w0X2tRbW8vc3JvdENrU29sbm9Fd3VrSDhEd2EyMXlla050cFNfdmllcnBBL19tX2RiZ3JfX2VfREdmX2lBbENzdDE5dV93cmNIY0EvTnVTZ29YaTdhX0JsSEsvZXdxZU1yci8%253D&a=Lm8vcmNnZV9hdGRvb24vY19vTnlfZy9fUXJfZXdhd3JvVXVwYm1wbzpCR3JvX1BCeWJud3R3Uy5tenRkb1dfa2xoL2V0YWFkdGJhX2J5M0Vwa2VhU1Nlb2hZZXlmS29zX3Rpc0hLZS9odHJ5TW9fYV8vVF9hbGxuZXdac3JpdGdvTnBuYWxuaXcwa2dvRGVqX3VfWXcvQXNrX2N0X3I5dHV0dTg5ZGx3dG95SEJ3ZXNwc3JtdlFoY2VpdVUyYXI%253D)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: dukard op 24 juli 2019, 23:58:10
Omdat er 2 Nas servers in mijn netwerk staan heb ik na het lezen van dit draadje een zg. poortscan uitgevoerd en die laten zien dat alle poorten dichtstaan. Geen enkele poort reageert op een "attack". Het netwerk zit achter een Draytek Vigor 2130N

Is het voor mij van belang om bovenstaande acties te ondernemen om mijn data veilig te stellen voor deze aanvallen ?
Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 25 juli 2019, 07:05:19
Het gaat er vooral om of je je NAS hebt opengezet voor toegang van “buitenaf”. Als je dat hebt gedaan dan is het opschroeven van de beveiliging wel noodzakelijk.

Persoonlijk doe ik de simpele dingen, zoals sterkere wachtwoorden, firewall, auto block en het uitschakelen van het admin account standaard op elke NAS. Het is een kleine moeite.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 25 juli 2019, 09:58:00
Net toevallig een aantal dagen terug een kennis van mij die mij belde, wiens NAS was gehackt.
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ondanks de hiervoor aangehaalde beveiligingsmaatregelen toch gehackt.
We hebben het een en ander verder doorgenomen

In diens geval zou de hack mogelijk ook hebben kunnen plaatsvinden via een virus op diens PC?
Een dag ervoor had hij daar namelijk meldingen van gekregen "op de PC zelf".

Alleen data was versleuteld.  DSM (wat op een andere partitie staat van de NAS HD's), daar was niets aan te merken.
Gewoon benaderbaar.  Ook in de logfiles kon niets vreemds worden opgemerkt van "buitenaf".
Wel "anonymous" connectie vanuit het eigen LAN netwerk.

Mijn gedachte was dat er vanuit een PC wel een "open verbinding" is vanuit de verkenner / Netwerk,
met de shares op de NAS.   (Dat is eerder ooit voor een eerste keer daar de login van opgeslagen).
Er zou naar ik denk dan een mogelijkheid kunnen zijn dat het virus / hack vanuit de PC,
dan vrij spel heeft om ook de bestanden op de NAS te benaderen en dan te versleutelen.
Die gedachte van deze omweg werd ingegeven omdat bij controle van het soort meldingen via zijn smartphone.
(Vaste apparatuur had hij losgekoppeld van internet), het daarbij ging om een via een Windows verspreide virus / hack.

In hoeverre ook zijn PC is aangetast, hebben we toen niet verder meer over gesproken.
Hem wel het advies gegeven dit te melden bij Synology.

Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen.
(Die kennis gebruikt zijn NAS expliciet voor het afspelen van media).
Hoewel bij een geïnstalleerde "Media server" data onder "normale omstandigheden" alleen is te lezen, niet te schrijven.

Een hack hoeft dus niet perse "rechtstreeks" via de NAS te verlopen,
maar kan evengoed via slechte beveiliging van de rest van apparatuur in je netwerk, van daaruit worden ingezet.
(Een van de redenen dat ik bij een organisatie waar ik netwerkbeheer doe,
geen "open" connecties via het normale netwerk protocol toesta).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: sciurius op 25 juli 2019, 10:54:47
De data was wel te benaderen, maar versleuteld, en er waren meldingen om een bedrag te betalen,
zodat je een key zou krijgen om data weer te ontsleutelen,  (wat natuurlijk niet gebeurt).

Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt. Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Citaat
Wel gesproken over de kwetsbaarheid van een NAS "vanuit het eigen netwerk"  via bijv. "Media server".
De mappen   photo - music - video   zijn daarbij vanuit het eigen LAN netwerk zonder wachtwoord te benaderen. Dus een besmette PC heeft zowat vrij spel op alle externe disks en netwerk shares.

Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 25 juli 2019, 11:45:48
Ik denk (maar dat moet na te gaan zijn) dat dat wél gebeurt.
Immers, als bekend wordt dat je toch geen key krijgt na betaling dan stort het verdienmodel van de ransomware in.

Er zijn altijd lieden die wel betalen. "Op de grote hoop" is de buit al binnen voordat wijd en breed bekend is dat ontsleuteling toch niet gebeurt.
(of misschien een handjevol).  Dat is in het verleden maar al te vaak voorgekomen.  Het te betalen bedrag was een kleine $ 1000,-
En de meeste mensen hangen niet aan de grote klok dat men gehackt is (zeker bedrijven niet).
Er komt op die wijze relatief weinig informatie naar buiten.  Dus het heeft toch wel zijn eigen "verdienmodel".


Als wachtwoordbeveiligde shares zijn gekoppeld aan de PC dan zijn ze daarna ook verder zonder wachtwoord te benaderen.

Dat had ik daarvoor al vernoemd. Vandaar de kwetsbaarheid ervan via een virus of malware op een PC.
(Je haalt eigenlijk een verkeerd stuk tekst van mijn eerdere reactie aan).
De mappen gerelateerd aan Media server staan daar nog los van, die hebben niet eens een wachtwoord nodig.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: OutintheBlue op 25 juli 2019, 15:10:05
Goedemiddag,
Helaas had ik de mail gemist en ben ik enigsins slachtoffer geworden van deze rasomware aanval. Gelukkig had ik accountbeveiliging aan staan en ook 2 staps verificatie, waardoor ik gewaarschuwd werd via mailberichten.
Wat ik niet had gedaan is mijn admin- account de-activeren, vandaar dat ik op hun lijst stond, zeg maar. Hoe dat werkt weet ik dan ook niet, maar goed.
Hoe dan ook. Ik heb alsnog mijn admin account gedeactiveerd en een ander account admin rechten gegeven, maar ik blijf waarscuwingen krijgen dat mijn admin account beveilgid is, ieder half uur.
Nu kan ik dat uistellen tot max. 999 minuten voordat dit opgeheven wordt, maar dan nog. Ik heb het account gedeactiveerd. Blijkbaar nog niet helemaal?

Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Thanx in advance!
Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 25 juli 2019, 15:11:39
Welke melding krijg je nu precies? Dat is onduidelijk.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: OutintheBlue op 25 juli 2019, 15:14:28
Sorry.
Ik krijg nog steeds de ingestelde emails plus meldingen rechtsboven het  DSM scherm: Uw account [admin] op DiskStation is beveiligd.

De ingestelde e-mail geeft daarbij nog aan:
Het aantal mislukte aanmeldingspogingen vanaf niet vertrouwde apparaten op uw account [admin] op DiskStation heeft de limiet overschreden van (5 pogingen binnen 1 minuten). U kunt zich alleen vanaf vertrouwde apparaten bij uw account aanmelden die u eerder voor succesvolle aanmeldingen hebt gebruikt.
De beveiliging wordt automatisch geannuleerd om Thu Jul 25 13:01:43 2019  Om de beveiliging handmatig te annuleren, klikt u op het persoonspictogram in de rechterbovenhoek van het DSM-bureaublad en gaat u naar Persoonlijk > Accountbeveiliging.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 25 juli 2019, 15:18:15
Weet je wel zeker dat het admin account niet meer actief is ?
Geef eens een print screen door.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: OutintheBlue op 25 juli 2019, 15:29:41
Zie bijlage
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 25 juli 2019, 15:49:22
De mail wil toch alleen maar zeggen dat men met admin blijft proberen in te loggen. Maar aangezien die uit staat kan dat geen kwaad.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: OutintheBlue op 25 juli 2019, 16:21:10
Ok.
Dan zet ik het wel op 999 minuten. Dan duurt het even voor er weer zo'n bericht komt :-).
Titel: Logging van inlogpogingen
Bericht door: a.m.j.janssen op 25 juli 2019, 17:28:56
Hallo,

Sindskort krijg ik om de ca 5 sec de volgende melding in de logfile, mbt tot user admin:
"User [admin] from [18.218.60.40] failed to log in via [DSM] due to authorization failure"

Ik heb user admin uitgeschakeld maar desondanks blijven deze meldingen (met elke keer een ander IP-adres) optreden.
Wat kan ik er nog aan doen? Er zijn tools waarmee je kunt zien waar de inlogpogingen vandaan komen, maar wat moet ik daarmee?

Iemand een tip?
Mvg
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: JensDeCraecker op 25 juli 2019, 18:18:05
(https://i.imgur.com/yyNjoqx.png) dit is al een hele dag aan de gang
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 25 juli 2019, 18:45:19
Ok.
Dan zet ik het wel op 999 minuten. Dan duurt het even voor er weer zo'n bericht komt :-).

Als je het admin account niet meer gebruikt, kun je ook het eraan gekoppelde e-mail adres wissen. Dan zal die mail ook wegblijven.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 25 juli 2019, 19:43:10
Zijn er andere acties te checken die niet in het lijstje van de mail van Synology staan?

Toegang voor allerlei gebruikelijke services van buitenaf volledig stopzetten, en hooguit benadering via VPN,
waarbij je "binnen die VPN" dan "lokaal" kunt inloggen.

Verder voor de services die je dan wel benut (zoals VPN), dat te beperken voor expliciet de regio's waar je doorgaans verblijft.
-Mogelijk hoofdzakelijk vanuit Nederland-
Gezien de meldingen van @JensDeCraecker vermoed ik dat "regio toegang" in het geheel niet is ingesteld?
Voor meer algemene info welke zaken in te stellen, zie o.a. het onderwerp en aanbevelingen < enkele jaren terug > (https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574/#msg171574).

Zwakke punten m.b.t. veiligheid liggen mogelijk echter in een ander deel van een netwerk,
waar ik in mijn reactie eerder hiervoor  heb geschreven.  Onderschat dat niet.
(Dat is echter een andere situatie dan die van @JensDeCraecker).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 20:35:26
Voor de leken / digibeten onder de forumleden (waar ikzelf bijhoor).

Wat te doen als men wel een admin acount heeft?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Pippin op 25 juli 2019, 20:36:23
Een sterk wachtwoord gebruiken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 20:44:32
Oké, dat is hier dan in orde, dacht dat er meer moest gebeuren.
Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 25 juli 2019, 20:45:22
Wat mijn voorkeur heeft:
- Standaard ‘admin’ account uitschakelen. Bij nieuwe installaties van DSM gebeurt dit tegenwoordig vanzelf.
- Andere gebruiker inrichten als administrator. Deze gebruiker geef ik echter geen enkele rechten om applicaties van ‘buiten’ te kunnen laten uitvoeren. De administratieve functies werken dus alleen op het interne netwerk.
- Een speciale gebruiker voor toegang van buiten met alleen de nodige rechten om de applicaties van buiten te benaderen en zeker geen administrator rechten.

Ik verricht dus nooit taken zoals updates e.d. op afstand. Voor veel mensen is die verleiding heel groot maar ik wil altijd bij de machine in kwestie zijn. Niks erger dan als je op afstand iets verkeerd doet en dan alsnog naar de machine toe moet.

Nog beter is niets toegankelijk te maken van buiten en met een VPN te werken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 25 juli 2019, 20:46:47
Wat inmiddels al is voorgesteld, naast een sterk wachtwoord alsnog een ander account instellen met admin rechten
en het standaard admin account alsnog uitschakelen.  Dat is in enkele minuten gedaan, waarom zou men het nalaten?

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 20:55:40
Ik zou jullie raad graag willen opvolgen en dus uitvoeren, echter zou ik niet weten hoe daaraan te beginnen.
Misschien kan ik een filmpje vinden op YouTube ... of een stap voor stap uitleg ... zal ik eens achter gaan zoeken.
Heb geen zin omdat  het me totaal ontbreekt aan de vaardigheid / kennis om mijn NAS opnieuw te moeten gaan instellen ... heb daar destijds tig hulpbronnen moeten voor raadplegen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 25 juli 2019, 20:59:37
Ik zou jullie raad graag willen opvolgen en dus uitvoeren, echter zou ik niet weten hoe daaraan te beginnen.

Er zijn door Synology uitgebreide hulpbronnen, help-files, handleidingen en video tutorials uitgegeven.
Kleine zoekactie met Google en je vindt ze.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 25 juli 2019, 21:10:30
@Menneke In Reactie #7 staat een handige link hiervoor, maar goed, lees dit dan maar (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS#t2).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 21:14:54
Bedankt mensen.

@Birdy ... daar was ik net mee bezig, morgen ga ik het grondig doorlezen en als ik het aandurf uitvoeren.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 25 juli 2019, 21:15:11
Begin als eerste met het uitvoeren van de Security advisor in DSM. Die controleert een aantal basiszaken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 21:17:23
Dat doe ik regelmatig, ik zag daar ergens dat mijn ww sterk is ... maar het kan blijkbaar beter / veiliger.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: eentje op 25 juli 2019, 21:42:49
bij het uitzoeken waarom mijn nas sinds gisteren niet meer in slaapstand ging er achter gekomen dat ze bij mij ook druk san brute forcen zijn. heb admin account wel aanstaan nog met een 28 char pasword dus niet bang dat ze binnenkomen. wel vervelend nu met die hitte. ding word flink warm zo. maar hopen dat ze snel klaar zijn

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 25 juli 2019, 22:17:58
Aan een sterk wachtwoord heb je niets als je PC b.v. met een keylogger besmet raakt. Voor zo'n programma maakt het niet uit of iets sterk of zwak is. Voor een admin account zou ik dat altijd een factor 2 authenticatie gebruiken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 25 juli 2019, 23:16:45
Deskundige uitleg / advies.
Zullen een aantal mensen zeker iets aan hebben. Zelf begrijp ik er geen jota van maar dat is mijn probleem.

Ben even bezig geweest via de tips die ik hier intussen heb gekregen.
Ik zie nu dat ik inmiddels 3 accounts heb ...
Een "admin" genaamd.
Nog eentje als "guest"
En dan een derde aangemaakt op "mijn naam".

Echter, wanneer ik nu op "admin" klik zie ik aangegeven "sterk wachtwoord maar bij bevestiging ww staat er een korter ww.
Wanneer ik dan op ok klik krijg ik melding "een aantal van uw instellingen zijn onjuist, vul deze opnieuw in"

Bij het account "guest" ziet het er goed uit.

Het derde account (op mijn naam) geeft zelfde resultaat als bij "admin".

Ik zal er maar eens een IT er moeten gaan bijhalen denk ik. 
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 06:56:50
ah is dat het.....

pffff, ik ben kennelijk ook de beer...
admin account kan ik niet meer in....

apart ik had gister mijn pc aan plotseling kreeg ik een ding van ransomware bla bla bla met een piep...
via de taskmanager heb ik die melding verwijderd, en direct de pc een deepscan gedaan, en malwarebytes... er werd niets gevonden.

De nas:

meldingen rechts om het uur een melding dat de admin account is beveiligd
admin account kan ik niet meer in.
ik heb gelukkig een gebruikers account met admin rechten... kon er zo bij
bestanden bekeken voor zover ik kan zien werkt alles..
Beveiligingscentrum laten draaien, alles groen...
Logcenter: om de paar minuten doen ze nu een poging... steeds andere ip nummers...Elke keer gaat dat niet door, user admin ip ..... failed due to autherization..

paar vragen:

het account admin kan ik niet meer in... toch proberen ze steeds in te loggen wat kennelijk mislukt... Hoe kan dat ze konden toch dat admin account aanpassen????? Of is dat juist de hack en zijn ze nog niet verder?

kan ik die admin account gewoon weg gooien?

Zijn mijn bestanden nu besmet?





Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 07:00:55
ps. ik heb de admin account eerst maar uitgeschakeld... geen meldingen meer nu.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 juli 2019, 07:27:21
Dat is ook precies de bedoeling voor een meer "veilige" NAS, dat je je normale admin account uitschakelt,
en alleen inlogt met een afwijkende gebruikersnaam met adminrechten.

Omdat de "admin" naam de meest gebruikelijke inlognaam is (= standaard), en de meeste mensen dat niet aanpassen,
wordt juist op die naam geprobeerd in te loggen.
Men hoeft dan alleen nog maar een wachtwoord te raden. Als dat niet al te lang is, is men echt zo binnen.
Dat proberen gebeurt volledig geautomatiseerd met een wachtwoord generator.  Net zo lang tot er een match is.
In dit geval zelfs met een gefingeerde IP-adres wisseling, zodat men het blokken van IP-addressen omzeilt.

Bij gebruik van een andere gebruikersnaam, zijn er twee velden te "raden".
Gebruikersnaam en wachtwoord. De combinatie van die twee is praktisch eigenlijk nauwelijks te doen.
(Als je voor die twee velden geen voor de hand liggende woorden gebruikt, en voldoende "vreemde" karakters).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: wopper op 26 juli 2019, 07:38:09
Wat ik gedaan heb. Is het gebruik van GEO firewall, ik gebruik een aantal diensten van mijn NAS tijdens mijn kantooruren. Het is voor mij fijn als ik er gewoon bij kan vanaf het internet, maar de aanvallers natuurlijk niet.

Het standaard Synology lijstje + de volgende zaken.

-Ik gebruik quickconnect, de connect cloud van synology. Een hoop klanten zetten tegenwoordig hun gastennetwerken dicht en dan is deze cloud de enige manier om bij mijn nas te komen. Na de hack, lang geleden, op deze cloud. Neemt synology security erg serieus. Voordat ze mij aanvallen zullen ze eerst mijn quickid moeten achterhalen, voor ze gericht kunnen aanvallen op mijn NAS.
-Ik heb wel een aantal porten open staan, bv ssh op 5522 en DSM nog wel op de standaard poort. Maar ik heb daar een GEO filewall regel op gezet, alleen Nederlandse IP's mogen erbij. (Vanavond maar de DSM port wijzigen naar een niet standaard poort.)
-In die GEO acl regels heb ik ook een aantal lijnen voor de Top10 hackende landen (google) en die mogen helemaal niets, alles is geblokkeerd vanuit die landen.
-2FA is ook een goede optie
-admin account staat vanzelfsprekend uit, maar dat staat ook in het standaard lijstje van synology.



Je ziet vaak dat de randsomware of echte hacker een aantal zaken probeert welke heel standaard zijn; port 22, port 5001 en dan altijd de gebruiker admin. Als je de combinatie van deze set voorkomt ben ja een forse stap veiliger + een goed wachtwoord.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 07:50:52
vraag, ik heb die admin uitstaan... nu...
komen geen meldingen meer binnen van buiten af...

alles werkt...
securiti advisor gaf geen vreemde zaken aan...

melding centrum rechts geeft steeds aan, dat admin beveiligd is...( doet die nas dat?)
kon zelf niet meer inloggen met dat wachtwoord...

ik had wel dat ding draaien naam ff kwijt, maar als ze dan een snelle portscan doen dan gooit hij hem er af....

krijg via logcenter steeds meldingen van inloggen failed via dat en dat ip nummer due to auterization....

zijn ze nu wel binnen geweest of niet??????
zweet me de pleuris van het weer en dit :) .... moet ik me nu zorgen maken, of heb ik mazzel?

bvd
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 07:59:45
ps ik heb admin uitstaan nu... pfff wist niet dat dit moest :P

krijg nog steeds meldingen dat ze proberen in te loggen...

hele account verwijderen???
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 juli 2019, 09:16:16
Admin account is niet te verwijderen, alleen uit te schakelen.

Als je nog steeds meldingen krijgt van inlogpogingen, heb je de rest mogelijk niet goed ingesteld in je firewall?
Zoals de eerdere genoemde "GEO" (regio) blocking, of eerder gezegd, alleen Nederland toelaten, de rest uitsluiten.

Wil je meer over firewall regels weten, kijk dan eens bij de Synology "router" sectie van het forum.
Daar staat een sticky hoe firwall regels in te stellen: < HIER > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)
Nu geldt die beschrijving specifiek voor de Synology routers, waar een aantal mogelijkheden meer in zitten dan bij een NAS.
Het principe is echter hetzelfde.  Met een aantal basisregels die daar worden uitgelegd, kun je dat voor een NAS ook instellen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 09:38:20
die nas zijn eigen firewall bedoel je dan?
is het dan ook mogelijk of zinnig om alleen die gebruikers hun ip toe te staan die ik heb en de rest niet?
 Ik probeerde ook de naam van het admin account te veranderen... krijg ik steeds een melding van gebruikersnaam bestaat al, wil dus niet..

ook vreemd gister op de pc plotseling een piep en melding dat de boel werd versleuteld...
via taksmanager heb ik die melding verwijderd dus niet op geklikt.
deepscan en malewarebytes... vonden niks...

maar ik ben nu wel paranoia :(
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 juli 2019, 09:45:50
Ik bedoel inderdaad de eigen firewall van de NAS.
(Mocht je tevens ook een Synology router gebruiken, kun je dat ook daar instellen).

Het is inderdaad nog veiliger alleen die gebruikers hun IP adres toe te staan, die je kent en gebruik van je NAS mogen maken.
Beperkt het gebruik wel als ze mobiel zijn, en bijv. een tablet of smartphone gebruiken.  Worden beslist andere IP's gebruikt.

ook vreemd gister op de pc plotseling een piep en melding dat de boel werd versleuteld...
via taksmanager heb ik die melding verwijderd dus niet op geklikt.

Zou ik de boel (de NAS) toch eens als apparaat loskoppelen / uitzetten, want zoals in mijn eerdere reactie (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271146/#msg271146) is dat bij een kennis van mij
hoogstwaarschijnlijk juist via zijn PC gegaan, en NIET als connectie van buiten "rechtstreeks" naar de NAS.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 10:02:25
https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall

dat stuk bedoel je dan neem ik aan?

Op de pc vond ik niks....
op de nas secrity advisor alles groen
scan leverde ook niks op....

wel krijg ik steeds melding dat mijn admin account beveiligd is, en kan niet  inloggen via admin... naam admin veranderen ging niet... die heb ik nu uitstaan...

log laat idd steeds een ander ip zien dat wil inloggen, due to authorization via dsm  failed

wat heeft dat loskoppelen voor zin?
Daarna gewoon weer aan? ::)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 juli 2019, 10:17:53
https://www.synology.com/nl-nl/knowledgebase/DSM/help/DSM/AdminCenter/connection_security_firewall

dat stuk bedoel je dan neem ik aan?

Dat is de enigste firewall die een NAS heeft. Dat bedoel ik dus met:
"Ik bedoel inderdaad de eigen firewall van de NAS."

Dat je op de PC niks vindt, het zou kunnen dat de malware / hack zo nieuw is, dat het niet wordt opgemerkt door je virusscanners,
omdat die mogelijk nog achterlopen in hun definities.

wel krijg ik steeds melding dat mijn admin account beveiligd is, en kan niet  inloggen via admin... naam admin......

Als je die hebt uitgeschakeld kun je daar niet op inloggen. Dat is de functie bij uitschakeling.
Is die ingeschakeld en kom je er nog niet in. Verander vanuit je "gewone gebruikersnaam" met adminrechten en daarmee ingelogd,
eens je wachtwoord van het admin account. En probeer daarna nog eens met je admin account in te loggen.
Maar wacht er even mee. Zie mijn volgende opmerking.

wat heeft dat loskoppelen voor zin?
Daarna gewoon weer aan? ::)

Je had toch een melding (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271217/#msg271217) dat er een versleuteling aan de gang was?

       "ook vreemd gister op de pc plotseling een piep en melding dat de boel werd versleuteld..."

Je kunt wachten totdat alla data van je NAS versleuteld is. Dan heb je niets meer aan leesbare data over.
Dat is bij die kennis van mij precies zo gebeurd ----> 10 TerraByte aan NAS data versleuteld.
Met uitschakelen kan het proces in ieder geval niet verder gaan, en is de schade hopelijk beperkt.
(Om vele TerraBytes aan data te versleutelen kost de nodige tijd).

Zou dan contact opnemen met Synology support hoe verder te gaan, en een mogelijke oplossing.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 10:51:09
hallo,

ik zie verder geen enkele activiteit op nas.. is ook nergens mee bezig... ( behalve dat geklop aan achterdeur..)
cpu, ram, netwerk, alles normaal.

Ik had dat al geprobeerd... wou wachtwoord veranderen zat op gebruikersaccount.
maar bij wachtwoord zie ik een aantal stippen... nieuwe ww is veel groter...dus meer stippen
ik bevestig , kijk nog even bij admin account en ik zie weer het oude aantal stippen...

Toen ik bij admin wou inloggen kon ik zowel met de oude als de nieuwe wel vergeten...
krijg in meldingsvenster rechts, steeds de melding admin account beveiligd.... ( doet die nas dat of synology?)

Die versleutelling was niet aan de gang...
ipv erop te klikken heb ik die verwijderd met taskmanager...

was gister ochtend....
zowel pc als nas geen bijzondere activiteit gezien...
werken beide perfect.... enige wat niet wil is inloggen op die admin account

Ik heb wel van al mijn data een goede backup op een externe....
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 26 juli 2019, 10:57:58
Citaat
maar bij wachtwoord zie ik een aantal stippen... nieuwe ww is veel groter...dus meer stippen
ik bevestig , kijk nog even bij admin account en ik zie weer het oude aantal stippen...
Dat is bij wachtwoorden altijd al zo geweest, ze laten n.l. standaard niet de lengte van het password zien, is een onderdeel van beveiliging.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 11:04:38
ah ok, maar ik kon dus na verandering niet inloggen.... stond wel aan..
krijg steeds melding in venster rechts.... admin account is beveiligd.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 11:07:47
die dus
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: corbeaux op 26 juli 2019, 11:19:41
Heb hier hetzelfde probleem. De melding is:
Beste gebruiker,

Het aantal mislukte aanmeldingspogingen vanaf niet vertrouwde apparaten op uw account [admin] op CorNas heeft de limiet overschreden van (5 pogingen binnen 1 minuten). U kunt zich alleen vanaf vertrouwde apparaten bij uw account aanmelden die u eerder voor succesvolle aanmeldingen hebt gebruikt.
De beveiliging wordt automatisch geannuleerd om Fri Jul 26 10:29:51 2019
 Om de beveiliging handmatig te annuleren, klikt u op het persoonspictogram in de rechterbovenhoek van het DSM-bureaublad en gaat u naar Persoonlijk > Accountbeveiliging.

Met vriendelijke groeten,
Synology DiskStation

Heb het admin account gedeactiveerd. En de instelling op 999 gezet om niet telkens de email te ontvangen.

MVG Cor
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 11:53:59
top.... ik had mail adres weggehaald vanwege die meldingen :)

dat is het idd :P

Komt er dus op neer, dat het feitelijk goed gaat.....
nas zijn beveiliging heeft het doorstaan... :P

zijn dus opzoek naar slecht beveiligde nassen...

nou ja dat andere probleem wat ik had,,,, ik wacht het af, en vertrouw op mijn backup.

ik zt te denken nog een vraag...
heeft het wel zin om bv landen te blokkeren? met de firewall?
dan gebruiken die lui toch tor-ip's en vpn-ip's... dan zie je niet waar ze weg komen....
of zie ik dat verkeerd,,,, heb er de ballen verstand van hoor, maar hoe meer ik leer hoe beter :P
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 juli 2019, 11:58:23
ik zie verder geen enkele activiteit op nas.. is ook nergens mee bezig... ( behalve dat geklop aan achterdeur..)

Nou ja, ik waarschuwde je alleen maar m.b.t. je eerdere bericht over versleuteling.
(Een gewaarschuwd mens telt voor twee).  Het is verder aan jezelf wat je met die info doet. Dat zicht heb ik er niet op.
Als er geen activiteit meer is, zou ook kunnen betekenen dat die inmiddels klaar is met versleutelen?

Heb je al data gecontroleerd op je NAS, of het gewoon leesbaar is en geen versleuteling heeft plaats gevonden?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 26 juli 2019, 13:04:06
Wat mij verbaast is de melding:

Citaat
ook vreemd gister op de pc plotseling een piep en melding dat de boel werd versleuteld...

Ransomeware geeft geen melding dat de boel versleuteld wordt. Sterker, zo proberen zo lang mogelijk te verbergen dat de boel versleuteld wordt om op die manier de grootst mogelijke schade aan te richten.

Hyperbackup heeft settings om actifiteiten van ransomeware  te detecteren. Je kunt nml waarschuwingsmailtjes laten sturen als meer dan x% van de bestanden veranderd is. Ik heb dat heel strak staan zodat het alarm ook af gaat als ik eens een keer een grote hoeveelheid toevoeg of juist wis. Maar dan weet je doorgaans zelf wel wat de oorzaak van de waarschuwing is.

Heb je dan niets gedaan wat de sterke verandering verklaart, dan moet je dieper graven. En in elk geval de versie van voor de waarschuwing even 'vast zetten' om eventueel later terug te kunnen zetten. In hyperbackup kun je versies vast zetten zodat die versie bij een versie rotatie niet gewist wordt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 13:21:43
Ik heb overal wat open getrokken.... werkte allemaal....

tja die melding,,, ik was er even niet goed bij met de kop, was met van alles en nog wat bezig,,, toen was het er...
leek een windows scherm ...
Ik dacht ik klik er mooi niet op...taskmanager....

pc gescanned
ga er straks nog hitmanpro doorheen jagen...

nas werkt alles....

pc ook...

ik gok dat het goed zit...
belangrijke bestanden zijn allemaal op backup behalve films en games... ( torrent is gewillig) :)

bah wat heb je toch een hoop misselijke mensen in de wereld... Ik zit veel op marktplaats... nou de helft is tegenwoordig de 1 cent truc... laag volk.. :(
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 26 juli 2019, 13:40:23
behalve films en games... ( torrent is gewillig) :)

bah wat heb je toch een hoop misselijke mensen in de wereld... Ik zit veel op marktplaats... nou de helft is tegenwoordig de 1 cent truc... laag volk.. :(
En Torrent gebruikers zijn dat niet ? ;)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 26 juli 2019, 14:06:58
Touché :)

ik schaam mezelf diep :) :)

kuch :D  ;)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Weerz op 26 juli 2019, 15:49:37
Wat voor mij heeft gewerkt (werd nu sinds 3 dagen gebashed en continue meldingen) is de firewall rules instellen op NAS.
Daarin heb ik alleen aangegeven vanuit welke landen ik toegang wil hebben.

Bijv:
Ports all -> Source IP (keuze Netherlands) -> Allow
Ports all -> Source IP all -> Deny

In die volgorde ook als opbouw.

Security Advisor had om de 2 min logs ivm met brute force attacks.
Nu de laatste 20 min, geen  ;)

Voor mij werkt het in ieder geval en heb dit remote uitgevoerd op de NAS.
Dus als ik een foutje had gemaakt,, dan had ik dat gelijk gemerkt  8)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 26 juli 2019, 17:45:59
Met die regels kom je er ook alleen remote in. Thuis kun je het schudden.  :P (Tenzij je thuis natloopback gebruikt i.v.p. een lokaal IP)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: a.m.j.janssen op 26 juli 2019, 21:50:19
Hoe weet je trouwens wanneer de aanvallen voorbij zijn en je alles weer 'normaal' kunt instellen?
Anders weet je dus niet eens dát je wordt aangevallen.
?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 27 juli 2019, 00:28:57
Er is geen "normaal instellen na de aanval". Het betreft instellingen die ook zonder de aanval verstandig zijn, want een aanval gebeurd constant. In elk geval moet je er bij de beveiliging vanuit gaan dat de aanval permanent is en dat de instellingen zo zijn dat dit geen kwaad kan.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: OutintheBlue op 27 juli 2019, 00:58:53
Ik begrijp wat je zegt, @Briolet, maar dit is een gerichte aanval door één iemand/organisatie.
Dit kan toch niet tot in de euewigheid doorgaan, zeg maar. Wij zetten de boel wel op slot (hopelijk), maar heeft bv. een internetprovider of Synology hier ook nog een rol in om deze specifieke aanval stop te zetten?
Het gaat immers maar door... Dit heb ik zo nog niet eerder meegemaakt, de afgelopen vijf jaar met mijn NAS...

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 juli 2019, 02:36:54
Die aanvallen komen meestal vanuit "Verweggistan".
Een "abuse" melding naar netwerkbedrijven gelegen in "Verweggistan" van waaruit die lieden opereren haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Wil je echt dat de lieden die dat doen ermee ophouden en juridisch worden aangepakt,
zul je via juridische weg in dat "Verweggistan" je heil moeten zoeken.
Mag je hopen dat je niet alsnog in een doolhof terecht komt van overheden en juridische afdelingen van bedenkelijke reputatie.

Onbegonnen werk, en kost enorm veel tijd en geld.

Gewoon je NAS een week of twee weken, van het internet afhalen, is mogelijk effectiever?
Omdat de animo om ermee door te gaan getemperd wordt, als men merkt dat er geen verbinding is met een apparaat.

Zelf heb ik jaren terug in een "SPAM loop" gezeten van berichten in mijn mailbox., toen ik op vakantie was.
Ik had een automatische "responder" ingesteld dat ik op vakantie was. Omdat die door de server van de versturende partij
niet werden aangenomen, werd vanaf daar ook weer een automatisch bericht terug gestuurd.

Had toen in enkele dagen 27.000 mails. Door gewoon de mailbox twee weken dicht te gooien, was het hersteld.
(De tegenpartij zat in ieder geval ook met 27.000 tegenberichten op hun server,
en zullen het proces mogelijk om die reden uiteindelijk ook hebben stop gezet ??).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 27 juli 2019, 08:14:12
In een ideaal Internet zou de provider verantwoordelijkheid moeten opnemen en ervoor zorgen vb dat elke eindpunt op het netwerk enkel verkeer kan verzenden met z'n officieel toegekende IP-adres om alvast "spoofing" een stuk lastiger te maken.
Echter met miljarden verbonden devices blijkt dit helemaal geen sucess.
De techniek is er hoor. Dat zijn bepaalde features die je op de ISP-netwerk apparatuur dient op te zetten.

Verder moet je er niet teveel van wakker liggen. Als je dan toch devices/services bloot gaat stellen rechtstreeks op Internet kan je dit verwachten. Het kan al helpen om niet standaard poorten te gebruiken (indien mogelijk)

Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Ofwel moet je die mail/alarmen afzetten en verder niet van wakker liggen, ofwel moet je in je firewall vb reeds een filter zetten. Ik filter bijvoorbeeld alle NIET "BE" (Belgie) IP's voor sommige van m'n services weg. Daarmee heb ik gelijk 99.9% van rommel eruit. Je moet een beetje afwegen hoe of wat. De "prefixes" van alle landen zijn op bepaalde sites gewoon "up-to-date" te vinden.

Niet alle firewalls kunnen dit natuurlijk. Ik beschouw mezelf dan ook niet echt als "standaard gebruiker"

Uiteraard altijd de standaard "admin" gebruiker disabled zetten. Net zoals je op Windows machines ook standaard de "Administrator" nooit gebruikt (en zelfs disabled zet) maar aan een andere gebruikernaam admin-rechten gaat koppelen. Dit soort ingrepen maakt het een stuk veiliger allemaal.
En complexe passwords natuurlijk (en 2FA waar mogelijk met je smartphone)

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 juli 2019, 08:30:25
Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Dan heb je relatief je netwerk erg "open" en herkenbaar voor de buitenwereld opgezet.
Via de logs hier (in de router van de ISP), kom ik slechts aan een handjevol vreemde IP's die bepaalde poorten aandoen, waarvan de meeste poorten waar ze op sniffen ik niet eens in gebruik heb.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 27 juli 2019, 08:37:11
Nas en pc allemaal niks aan de hand gelukkig...
Dat grapje is nu een paar dagen geleden op die pc, alles gescanned met meerdere scanners, vonden niks.
Meer kun je niet doen denk ik?
Admin een heel lang wachtwoord in gezet, met allemaal tekens Hoofdletters ect... en uitgezet.
Gebruiker met admin rechten, dat werkt allemaal.

Ze kloppen daar nog wel steeds om de haverklap aan, maar ik neem aan dat dit nu verder geen kwaad kan?
ik krijg nog steeds die melding in het berichtencentrum rechts dat die admin beveiligd is, omdat ze steeds aan de achterdeur aankloppen daar... is dat ook uit te zetten?

Ik heb die firewall van die nas maar vast aangezet, dan ga ik dat vanmiddag eens rustig lezen met die regels.
Nog een vraagje... HTTPS, staat bij mij ook niet aan, das ook niet slim natuurlijk.
Is er ook ergens een goede uitleg, hoe ik dat activeer?

BVD

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 juli 2019, 09:28:46
Is er ook ergens een goede uitleg, hoe ik dat activeer?

Je vraagt wel erg naar de bekende weg:

Gebruiksaanwijzing (PDF) (https://global.download.synology.com/download/Document/UserGuide/DSM/6.2/Syno_UsersGuide_NAServer_nld.pdf) - Help files van de NAS - online Tutorials van Synology - Video filmpjes.

https://www.synology.com/nl-nl/support
https://www.youtube.com/results?search_query=Synology+NAS+http+vs+https
Google search (https://tinyurl.com/y6z95h9p) (en klik voor de aardigheid ook eens "afbeeldingen" aan).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 juli 2019, 09:31:49
HTTPS heeft niets te maken met aanvallen, het geeft je alleen de zekerheid dat het adres waar je naar toe gaat, het juiste adres is middels een certificaat.
Lees hier voor meer info (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS#t7), daarin staat ook een tutorial link hoe je HTTPS moet opzetten.

Overigens, had je reactie #7 ook gelezen, dan was je uiteindelijk ook op die link uitgekomen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 juli 2019, 09:35:11
Alleen als @stapper daarbij ook alleen gebruik maakt om via http van buitenaf zelf in te loggen, is dit "vragen" om moeilijkheden.

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 27 juli 2019, 09:36:33
Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan. Je kan vb ook kiezen voor een eenvoudig profiel zodat alles qua poorten < 1024 reeds op de firewall van de ISP (niet op het kastje thuis dus maar echt in het ISP netwerk) tegen gehouden zal worden. Dat scheelt een hoop, maar je kan vb dan ook geen interne servers op poort 80 of 443 draaien etc alsook geen SSH op 22 etc,etc.

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 juli 2019, 09:54:31
Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan.

Geen wonder bij alles open (65.535 poorten), dat je dan zoveel aandacht krijgt door lieden, waar je dat liever niet van wilt hebben?

Ik laat juist alle poorten "dicht" met uitzondering van het handjevol poorten die ik zelf achterliggend gebruik.
En dan tevens zodanig ingesteld dat die poorten alleen voor de regio Nederland open staan.
Probeer zelf zo min mogelijk op te vallen en "anoniem" te zijn (voor zover mogelijk), door bijv. ook ICMP uit te schakelen, zodat lieden die in eerste instantie een IP-adres pingen geen respons terug krijgen. Daarmee is de animo om dan nog daadwerkelijk verder te sniffen al tot een minimum beperkt. (Dat blijkt dus een erg goede methode te zijn gebleken afgelopen jaren).

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.

Erg logische keus vind ik het niet.
Eerst alles doorlaten zodat je maar vooral veel aandacht krijgt door ongenode gasten.
Om dan vervolgens al die lieden met zwaar geschut alsnog te gaan tegenhouden.

Doet me denken aan die "per ongeluk" openbare uitnodiging via Facebook voor een "verjaardagsfeestje" enkele jaren terug.
https://www.rtlnieuws.nl/nieuws/artikel/2866091/beeld-facebookfeestje-loopt-compleet-uit-de-hand
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 27 juli 2019, 10:21:21
…haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Als ik de mail van Synology interpreteer, gaat het niet om gespoofde adressen, maar echte adressen die onderdeel uitmaken van een botnet. Sommige ISP's blokkeren de internettoegang van dergelijke gebruikers wel resoluut en andere ISP's vinden dat niet klantvriendelijk (De veroorzakers van de ellende zijn hun klanten en niet de slachtoffers).

Daarom vind ik het goed dat er blocklists zijn die niet alleen individuele IP adressen op zo'n lijst zetten, maar ook lijsten die het hele IP block van een provider erop zetten als ze niets tegen dit soort misbruik doen. Op die manier wordt een ISP toch gedwongen actie te ondernemen en hun klanten te manen hun PC's vrij van virussen te houden.

Zelf gebruik ik de regio blokkade al sinds die in DSM zit. Alleen poort 25 moet wereldwijd open staan. (ik dacht dat ik maar twee landen expliciet blokkeer) omdat je nooit weet via welke omweg een regulier mailtje verstuurd wordt. Via poort 25 zie ik dagelijks grote hoeveelheden inbraakpogingen in de hoop een server te vinden om spam mee te kunnen versturen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 juli 2019, 10:26:21
Ik heb geen enkele poort forwarding in mijn Router, ik gebruik alleen OpenVPN op m'n Router (VPN Plus).
Ik heb in Windows geen shares naar mijn NASsen.
Ik heb wel shortcuts naar mijn NASsen.

Nu vraag ik mij af:
Stel mijn PC wordt besmet (is gelukkig nog nooit het geval geweest, afkloppen dus), lopen die shortcuts dan ook een potentieel gevaar op ? Dus, kan men via die shortcuts, ook m'n NASsen besmetten ?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 27 juli 2019, 11:01:25
Citaat
Dus, kan men via die shortcuts, ook m'n NASsen besmetten ?
Als het systeem die shortcuts kan gebruiken, dan kan malware dat ook als het systeemrechten heeft. Daarom is het verstandig altijd onder useraccounts te werken. Op mijn mac log ik hooguit 1 of 2 keer per jaar in onder een beheerdersaccount.

Als ik vanuit een useraccount iets wil doen wat beheerdersrechten nodig heeft, dan moet ik steeds een beheerdersnaam en wachtwoord opgeven.  Dat maakt alles wat omslachtig soms, maar voorkomt dat als ik per ongeluk malware activeer, dit direct systeemtaken kan uitvoeren.
Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 27 juli 2019, 11:19:39
Eigenlijk is het heel simpel. Als jij vanuit je computer een verbinding kan opbouwen naar je NAS zonder dat je een wachtwoord hoeft in te geven, dan kan malware op je PC dat ook.
Moderne malware kan je netwerk scannen op de aanwezigheid van netwerkopslag en de koppeling leggen. Het wel of niet continu aangekoppeld zijn of shortcuts doet dan niet ter zake.

Dus je bent alleen veilig als je het zo inricht dat je bij elke toegang op de NAS moet inloggen. Maar dat is onwerkbaar.

Beste methode naar mijn mening is zorgen voor backups die niet altijd toegankelijk zijn en met versioning werken. Zelf gebruik ik een backup NAS die maar twee uur per week aan staat en die geïsoleerd is van internet. Daarnaast een backup van kritische data naar Synology C2.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 juli 2019, 11:24:58
Juist, dus shortcuts zijn dus net zo gevaarlijk als shares !
M'n backups heb ik in ieder geval goed geregeld. 8)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 27 juli 2019, 12:54:06
Pas op hé, er staat *niks* zomaar "open" naar de buitenwereld hé. Vb als ik een port-forward/NAT voorzien gebruikt ik altijd een geo-filter en laat vb enkel BE IP's toe (als het voor mezelf of directe vrienden is). Als je natuurlijk een website wil hosten op je Syno kan je bijna niet anders als eigenlijk alles toe te laten als je niet echt weet wie ongeveer het doelpubliek is.

Een hit op een firewall rule is niets bijzonders.
De plek waar alles qua filtering plaats heeft is mijn firewall en niet die van de ISP, dat is het enige verschil.

Ik heb dan ook een tijdje een koppeling gemaakt met Splunk en liet m'n firewall-logs door de Splunk verwerken zodat ik op wereldkaart kon visualiseren van waar de traffiek kwam (uiteraard is toch relatief gespoofed dus niet echt waarheidsgetrouw)

ICMP moet je echt wel laten doorgaan hoor. Dat is een essentieel protocol in de IPv4 netwerk stack en bestaat uit verschillende "types". Eventueel kan je de "echo request" en "echo reply" codes wel filteren, maar gewoon ICMP volledig afleggen doe ik nooit.

Die geautomatiseerde systemen die miljoenen IP's aflopen  trekken zich echt niets aan van een "Ah, ik krijg reply op ping, we zullen nog wat verder gaan". Nee die doen gewoon hun ding.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Pippin op 27 juli 2019, 13:49:01
Citaat
ICMP moet je echt wel laten doorgaan hoor.
:thumbup:
Dat wordt niet door iedereen begrepen.
Echter wel de DoS protectie aanvinken.

Citaat
Die geautomatiseerde systemen die miljoenen IP's aflopen  trekken zich echt niets aan van een "Ah, ik krijg reply op ping, we zullen nog wat verder gaan". Nee die doen gewoon hun ding.
:thumbup:
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 27 juli 2019, 14:26:30
ah dat wou ik dus ook nog vragen die moet dus wel aan? :P
wat doet die functie dan eigenlijk?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 juli 2019, 14:45:15
Citaat
Een zogenaamde DOS-aanval Denial Of Service)zorgt ervoor dat uw internettoegang wordt overbelast. Dit wordt uitgevoerd door de router te bestoken met een lawine aan informatieaanvragen van buitenaf. De router kan de toevloed niet goed verwerken en wordt daarmee van buiten af onbereikbaar. Daarnaast is de router ook de hele tijd bezig met het reageren op de informatieverzoeken, waardoor de toegang die u zelf achter de router tot het internet heeft ook dichslibt. De gevolgen kunnen meevallen, want er wordt geen schade aangericht aan uw netwerk zelf en het gaat vanzelf weer een keer over. Maar als uw bedrijf voor zijn bedrijfsvoering afhankelijk is van goede internettoegang kan het gevolg van een DOS-aanval veel ernstiger zijn: verlies van klanten en omzet.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Pippin op 27 juli 2019, 14:46:32
Citaat
wat doet die functie dan eigenlijk?
Het past rate limiting toe op beperkte maar nodige typen ICMP, benodigd voor het goed functioneren van het netwerk.
Als je die regels wilt zien kun je
iptables -Sdoen op de command line.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 28 juli 2019, 09:45:35
Ok , nou ik heb me de afgelopen dagen de pleuris gelezen in materie waar ik helemaal niet in thuis ben.
Dit word een lang verhaal, want ik loop vast, dus even wat hulp nodig, ben een end op weg volgens mij.

Ik volgde daarbij 2 filmpjes.
/>
/>
eest maar die HTTPS:

Ik heb een domein gemaakt via synology, daar kon ik dan een naam invullen.
Toen via dsm bij certificaten een certificaat van let's encrypt aangevraagd.

Zie ik nu bij beveiliging-certificaat, dan zie ik daar een certificaat: gekozennaam.synology.me
Verstrekt door lets encrypt (standaard certificaat)

Verder de nodige instellingen gedaan volgens dat filmpje, waaronder dat ik die poorten 5000/5001 heb veranders in een paar gekozen nummers in ongeveer dezelfde range.

Log ik nu lokaal in https://naamnas/gekozen nummer dan kom ik in dsm en kan ik inloggen.
Ik zie dan een slotje staan met geel uitroepteken...
Zet ik daar de muis op dan staat er : U heeft een beveiligingsuitzondering gemaakt voor deze website.

Klopt dit allemaal wat, zit ik goed??? ( voor mij is dit allemaal vrij heftig) :P

Ik heb ook de boel veranderd voor de gebruikers.. Die worden nu geforceerd 1 keer per half jaar hun wachtwoord aan te passen, en wat dan weer uit allemaal voorwaarden moet bestaan, hoofdletters ect ect.

Lokaal gecontroleerd alles werkt, kodi op mijn tv was toegankelijk

Mijn externe adres kon ik niet bij....!!!

Vraag: Ik neem aan omdat ik toen in die router die 2 poorten heb opengetrokken, dat ik die daar ook die aan te passen in die gekozen poortnummers?

ps in de router van DSM heb ik ook al regels gemaakt volgens filmpje 2... ( die heb ik even uitgezet tot dit af is)

bvd









Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 28 juli 2019, 10:01:44
ter aanvulling... in de router zie ik dat ik poort 5000 5001 en 80 geforward heb...geen idee waar 80 voor is..
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 28 juli 2019, 10:42:23
eest maar die HTTPS:

https beschermt niet tegen ransomeware. Dus dat hele stuk hoort hier niet thuis. https beschermt alleen de gebruikers van de nas tegen meekijken en niet de nas zelf.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 28 juli 2019, 11:14:00
Uhm paar antwoorden terug, kreeg ik wat linken hoe ik de zaken moest aanpakken...
Daar ben ik dus mee bezig....

maar wil er wel een apart topic van maken als dat handiger is?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 28 juli 2019, 12:47:03
Gisteren heb ik nog contact gehad met die kennis wiens NAS is gehackt, en data versleuteld.
Zoals eerder aangegeven (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271146/#msg271146) had ik het vermoeden dat er helemaal geen pogingen werden gedaan via "directe connectie" van buitenaf naar de NAS.

Maar zoals het zich liet aanzien het gevolg van een aanval malware / virus op en via diens PC.

Dat heeft hij gisteren bevestigd. Data op diens PC en delen van het Windows operating system waren namelijk ook aangetast.
Inmiddels had hij de gehele PC leeg gemaakt / geformatteerd (??). In ieder geval volledig opnieuw geïnstalleerd (nu met Windows 10).

Dus hoe goed je de beveiliging van buitenaf als "rechtstreekse connectie" met de NAS ook beveiligt, met twee staps verificatie etc.
Als je op een PC gewoon de login en wachtwoorden opslaat van je shares, zodat een PC een "open verbinding heeft" met de NAS,
ligt daar het grote beveiligingsrisico.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 28 juli 2019, 15:35:13
Daarom zo weinig mogelijk via een adinistrator account werken, maar bij voorkeur gewone useraccounts gebruiken voor het normale werk.

Als je backups naar de nas maakt, hiervoor een apart account gebruiken naar een eigen home of eigen share, waar je gewone gebruiker van de nas geen toegang tot heeft. etc etc.

Veiligheid is laagsgewijs opgebouwd. Nooit op één beveiliging alleen vertrouwen. Het is een illusie dat je 100% bescherming tegen een infectie hebt. Ook al denk je dat je nooit op links klikt, of up-to-date software gebruikt, er zijn nog steeds dingen als zero-days lekken. Dus zorg ervoor dat als je besmet raakt, de schade minimaal is.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 28 juli 2019, 16:37:01
Daarom zo weinig mogelijk via een adinistrator account werken, maar bij voorkeur gewone useraccounts gebruiken voor het normale werk.

Ik weet niet of je reageert op de berichten van @stapper of op mijn laatste geschreven reactie (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271363/#msg271363)?
In het betreffende voorval bij die kennis, is elk soort account onveilig, als je de login gegevens voor shares vastlegt / opslaat via de netwerktoegang vanuit een PC, Apple of Linux computer.
Dat kan dus net zo goed voor een "gewone" gebruiker gelden, als die slechts beperkte toegang heeft tot bepaalde shares.
De data voor die wel geldende shares voor die persoon kan "vrij" worden benaderd vanuit de PC, Apple of Linux computer.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 28 juli 2019, 16:58:31
Ik reageerde op het bericht er direct boven. Die van jou dus.

Als de share gemount is binnen de gebruikersomgeving, maakt het inderdaad niet veel uit welk account mount.

Maar ik noemde backuppen. Als de mac via timemachine een backup maakt, dat is de mount op systeem niveau en kan de gebruiker er niet bij. Ook diverse andere backup software maakt soms een mount die buiten het bereik van de user ligt.

In het algemeen kan mallware minder schade aanrichten als het onder een useraccount gestart wordt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 28 juli 2019, 17:15:09
In het algemeen kan mallware minder schade aanrichten als het onder een useraccount gestart wordt.

Hooguit dan misschien voor de "eigen" data van een user account.
Blijft de data van andere user accounts (alleen als die andere shares hebben) buiten shot.
Maar is en blijft IMO dan nog steeds een veel te veel onderschat veiligheidsrisico.

Met de ervaring van die kennis, moet ik ook eens achter de oren gaan krabben, voor mijn eigen situatie.
Want ik zal eerlijk zijn, heb voor mijn eigen situatie ook gewoon op SMB niveau de login gegevens vastgelegd voor mijn NAS.
Moet me er toch eens op gaan beraden hoe op dat niveau een balans te vinden in "makkelijk te benaderen" versus risico's.

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 28 juli 2019, 19:58:20
Ik bedoel hier natuurlijk een useraccount op je PC, want je gaf aan dat de infectie vanaf de PC begonnen was. Diverse mallware kan niet actief worden onder een useraccount omdat het dan bepaalde noodzakelijke functies niet kan starten. Die kun je alleen met een beheerderswachtwoord van de PC starten.

Als je op de PC onder beheerdersrechten werkt, is de kans veel groter dat malware actief kan worden. En dus iets met shares kan doen.

Encryptie van shares is geen probleem. Daar zijn backups voor, want i.p.v. versleutelde files kan ook de hele harddisk crashen. Dus niet te panisch doen over mallware dat via smb bij de nas kan komen. Als je dat beperkt, gaat het ten koste van je gebruikservaring. Zorg er echter voor dat de shares naar een backuplocatie gaan waar de PC niet bij kan. En natuurlijk goede versioning. Je wilt niet dat er een paar encripted versies naar de backup gaan en je eindigt met een backup zonder goede files.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 28 juli 2019, 20:08:36
Wat ook kan helpen is goed nadenken over de soort data die je over shares ter beschikking gaat stellen.
Niet alle data/shares hoeven "writable" te zijn.

Vb mijn film-archief, audio-archief etc zijn READ-ONLY. Op deze manier is de data ook veilig tegen malware die een poging zou doen om de boel te encrypteren.Nieuwe content toevoegen (in batch) doe ik via een omweggetje.

Toegegeven, het is niet altijd mogelijk maar ook op die manier kan je "de schade wat meer beperken" moest er zoiets gebeuren.

En er is altijd nog je backup :-)
 
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: wbree op 29 juli 2019, 09:43:29
Ik heb mijn "admin" account uitgeschakeld, ook het e-mailadres wat gekoppeld was aan deze account weggehaald, maar krijg nog steeds meldingen, alleen via een ander mailadres wat ik gebruik voor algemene storingen/updates etc. van mijn NAS.

Hoe krijg ik de meldingen niet meer over dit beveiligingsissue?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 juli 2019, 11:47:26
Als je geen meldingen wilt, dan zet je die gewoon uit. Ik heb ze al uit staan zolang ik de nas heb. Je hebt er niets aan omdat je de melding krijgt als het kwaad toch al voorkomen is.

Wel kijk ik af en toe in het log om het aantal te bekijken.

Wil je het niet uitzetten dan blijft over het instellen van een regio blokkering.

Als je een eigen domeinnaam gebruikt dan kun je de boel zo instellen dat men met een IP adres niet in dsm komt.

1) Forward geen DSM poorten in de router. Dus geen 5000/5001 (Wel 80 en 443)

2) Aktiveer de Webserver op de nas. Dit voorkomt dat dsm de poorten 80/443 naar de dsm poorten doorstuurt.

3) Maak een reverse proxy aan die je domeinnaam van poort 80/443 doorstuurt naar je DSM poorten 5000/5001 (of je gemodificeerde dsm poorten)

De aanvallers moeten nu je compete domeinnaam gebruiken bij een aanval. Doen ze dat niet, dan komen ze uit op de default pagina van de webserver. Daar kunnen ze niets doen. De aanvallers zullen normaal gesproken op een IP proberen in te loggen en niet op een domeinnaam die ze niet kennen.

4) Denk eraan dat de DS apps steeds poort 5000/5001 als defaut gebruiken. Als je daar nu mee wilt inloggen zul je er expliciet :80 of :443 achter de domeinnaam moeten zetten.

Als je een synology ddns naam gebruikt kun je die ook gebruiken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 29 juli 2019, 12:35:52
1) Forward geen DSM poorten in de router. Dus geen 5000/5001 (Wel 80 en 443)

2) Aktiveer de Webserver op de nas. Dit voorkomt dat dsm de poorten 80/443 naar de dsm poorten doorstuurt.

4) Denk eraan dat de DS apps steeds poort 5000/5001 als defaut gebruiken. Als je daar nu mee wilt inloggen zul je er expliciet :80 of :443 achter de domeinnaam moeten zetten.

Punt 1 en 4 zijn in tegenspraak met elkaar.
Als je een webserver gebruikt en poorten 80 en 443 voor DS apps inzet.  Kom je niet bij DSM uit.

Poorten 80 en 443 zijn geen vervanging voor de poorten 5000 en 5001.
Je geeft nu net aan dat je voor DSM wel de poorten 5000/5001 wilt blijven gebruiken, alleen niet geforward.
Dat betekent dat je alleen "intern" (via je thuisnetwerk) DSM kunt benaderen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 juli 2019, 12:43:31
Ik zie de tegenspraak niet. Dat werkt bij mij perfect. Als ik poort 5000/5001 dicht zet, kom ik met de DS apps alleen in dsm door de poorten 80 of 443 expliciet in de url op te nemen.

Ik gebruik echter een reverse proxy op "dsm.xxxx.synology.me". "xxx.synology.me" komt op mijn webpaginas uit.  Maar als je geen webpaginas gebruikt kun je ook "xxx.synology.me" via een reverse proxy naar je dsm inlogpagina sturen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 juli 2019, 12:51:55
Ik heb zelf even in mijn log gekeken. Ik heb poort 5000/5001 wel geforward in mijn router, maar in het log zie ik nul inlogpogingen op DSM. (Wel 185 gedurende dit jaar op de mailserver)

Maar op DSM heb ik de account beveiliging aangezet en die staat iets strakker dan de gewone inlogbeveiliging zodat ik ook niet verwacht dat er IP adressen geblokkeerd worden.

Ik had dit weekend zitten te testen met foutieve inlogpogingen op mijn uitgeschakelde 'admin' account. Die mistte ik in het log. Ik stuur echter ook meldingen door naar de syslog-server op de nas. Daar stonden ze wel tussen. Maar ook niet een andere inlogpoging ooit dan een paar testen met deze beveiliging.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 29 juli 2019, 12:53:13
Ik zie de tegenspraak niet. Dat werkt bij mij perfect. Als ik poort 5000/5001 dicht zet, kom ik met de DS apps alleen in dsm door de poorten 80 of 443 expliciet in de url op te nemen.

Ik heb het net geprobeerd met DS File door de poorten 5000 en 5001 niet te forwarden. Dan werkt het simpelweg niet.
Bovendien is een "domein" specifiek bedoeld voor benadering vanuit een externe locatie.

Maar zelfs binnen mijn eigen WiFi netwerk (dus lokaal) en een "loopback" van mijn domeinnaam,
krijg ik echt geen verbinding door achter het domein :443 te zetten (voor een hhtps verbinding).
Als ik :443 gewoon weg laat kom ik er wel in.
Door het normaal gebruikelijke poortnummer alsnog er achter te zetten, dus :5001 kom ik er ook in.

Ik gebruik echter een reverse proxy op "dsm.xxxx.synology.me". "xxx.synology.me" komt op mijn webpaginas uit.  Maar als je geen webpaginas gebruikt kun je ook "xxx.synology.me" via een reverse proxy naar je dsm inlogpagina sturen.

Misschien dat met dat soort instellingen je aan een andere redirect komt??
Ik gebruik helemaal geen reverse proxy, en heb gewoon een NL-domein (met SSL certificaat) op mijn internet WAN aansluiting.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 juli 2019, 12:56:49
Heb je wel een goede reverse proxy opgezet. Want het is juist de bedoeling dat je er anders niet in komt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 29 juli 2019, 13:10:29
Als het niet de bedoeling is extern via een "normale" login in DSM te komen, kan ik beter een VPN-verbinding gebruiken.
Als je poorten 5000/5001 niet doorstuurt (en wel die poorten gebruikt voor DSM), kom je van buiten niet in DSM.

Als je via een "proxy" omweg met domeinnamen extern wel toegang hebt met DSM,
lijkt het me dat het met een IP-adres ook moet kunnen?
Het gebruik van een domeinnaam is slechts een vertaling van een IP-adres.

Een methode die bij mij wel bekend is, is om geen poorten door te sturen en gebruik te maken van "QuickConnect"
Maar dan maak je feitelijk gebruik van de server van Synology, waar je NAS reeds verbinding mee heeft.
Je zoekt van buitenaf dan feitelijk contact met de Synology server.
Die twee eindjes worden daar dan aan elkaar geknoopt, en heb je verbinding met je NAS.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 juli 2019, 13:32:39
Als je via een "proxy" omweg met domeinnamen extern wel toegang hebt met DSM,
lijkt het me dat het met een IP-adres ook moet kunnen?
Het gebruik van een domeinnaam is slechts een vertaling van een IP-adres.

Nee, je begrijpt de werking van een reverse proxy niet. Een reverse proxy routeert het verkeer op basis van een domeinnaam. Een domeinnaam staat altijd in de header van een http(s) pakket. Met mijn boven beschreven methode stuur je all het verkeer naar een 'doodlopend' stuk. Alleen de domeinnamen die een reverse proxy gebruiken worden anders behandeld.

Stel b.v. in:
Domeinnaam: dsm.xxxx.synology.me
externe poort 443
interne poort 5000 (het is een onnodige belasting voor de nas om hier 5001 te gebruiken)

Al het verkeer op poort 443 gaat naar de webserver. Alleen het verkeer voor "dsm.xxxx.synology.me" wordt apart behandeld.

NB een certificaat moet je per reverse proxy instellen als je meer hebt dan een default certificaat.

Een VPN is natuurlijk nog veiliger, maar ik wil mijn gebruikers niet dwingen om alles via vpn te doen. Dat is weer lastig voor automatische foto backup, adresboek/agenda synchronisatie etc.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Marie-José op 29 juli 2019, 13:35:59
Dit heb ik precies zo gedaan, maar ik krijg de melding dat mijn computer wordt geblokkeerd door de nieuwe firewallconfiguratie. Deze is dan ook automatisch weer teruggezet.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 29 juli 2019, 14:13:37
Nee, je begrijpt de werking van een reverse proxy niet.....

Oh dat kan best dat ik dat niet begrijp  ;)
Daar zou ik me dan eens meer in moeten gaan verdiepen wat de mogelijkheden daarmee zijn.
(Op een andere moment dan nu).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 30 juli 2019, 07:25:53
Ik heb inmiddels die standaard poorten 5000/5001 vervangen voor een paar nummers die daar wat in de buurt zitten.

ga ik extern naar die nas, dan word het dus naam.synology.me:poortnummer

Vanaf dat moment heb ik geen enkele melding meer gehad van berichtencentrum, dat ze aan de deur van die admin staan te kloppen :P
Nas is ook weer lekker rustig.
Op de pc had ik de muziek map staan als een drive... die bleek ook via die admin te lopen.
Dat loopt nu via een gebruikers account.

( vraag die gebruikers account, die mag dan natuurlijk geen admin rechten hebben neem ik aan)?

Pc zelf zit ik op met een gebruikers account en die kan dus geen .exe installeren.

Vandaag zien of alles extern nu voor elkaar is, HTTPS had ik niet eens, is nu ook voor elkaar.
Als dat allemaal goed is, ga ik dat stuk van jullie met de router van de nas ook goed nalopen.

Ben al aardig onderweg, wat de beveiliging betreft... steek hier wel goeie dingen op.

thanks :P
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Tom2012 op 04 augustus 2019, 07:49:00
Zie hier nu pas de verontrustende berichten over inbraakpogingen. Ben absoluut geen techneut, dus een deel van de beschouwingen hier gaat boven mijn pet. Anyhow, heb een nieuwe gebruiker aangemaakt met alle rechten en uiteraard met een sterk password.
Nu ga ik admin uitzetten maar alvorens dat te doen: bij mijn admin user staat in het confgscherm vermeld “System default user” . Hoewel ik de nieuwe gebruiker alle rechten heb gegeven zie ik nu niet vermeld staan dat deze ook System Default User is. Mogelijk bestaat die optie enkel na het uitschakelen van de “vorige” System Default User?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 10:50:55
Gewoon admin uitschakelen, zoals aanbevolen.
Indien nodig, zou niet weten waarvoor, kan je admin altijd even tijdelijk inschakelen.
Maar die nieuwe user heb je natuurlijk wel admin rechten gegeven.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Tom2012 op 04 augustus 2019, 11:49:21
Ok Dank!
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 13:02:01
Ik herken het verhaal van Tom2012 helemaal ...

Zoals te lezen in één van vorige berichten hier van mezelf (blz3 post 8).

Ik heb 3 accounts aangemaakt:

admin / beschrijving: systeem default user / status: normaal.
guest /  beschrijving: guest / status: normaal.
mijn naam / email: mijn email adres / status: normaal.

Alleen het admin account kan ik inloggen.
Bij de andere 2 steeds melding "een aantal van uw instellingen zijn ongeldig. Voer deze opnieuw in.
Ik heb reeds tig keer opnieuw geprobeerd, echter zonder gewenst resultaat.
Heb het dan maar opgegeven en moet noodgedwongen verder met het admin account, ondanks gevaar gehackt te worden.


Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 04 augustus 2019, 13:30:43
kan me vergissen.. maar volgens mij moet je vanuit de admin account even een gebruiker aanmaken met admin rechten
met die nieuwe gebruiker voorzie je dan die admin van een lang wachtwoord en die zet je uit...

En dan maak je gewoon aan wat je als gebruikers wilt maken...
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 13:49:17
Zo is dat, dat had @Menneke ook kunnen lezen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 14:20:18
kan me vergissen.. maar volgens mij moet je vanuit de admin account even een gebruiker aanmaken met admin rechten
met die nieuwe gebruiker voorzie je dan die admin van een lang wachtwoord en die zet je uit...

En dan maak je gewoon aan wat je als gebruikers wilt maken...


Ik snap er helemaal niks van maar daar kunnen jullie natuurlijk niks aan doen.
Ik ga nog wat verder googlen ...
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 04 augustus 2019, 14:25:46
dat is waar Birdy, maar ik zie ook vaak door de bomen het bos niet meer.
Het zijn nou eenmaal enorme alleskunners die Nassen, en och hoop net als ik zijn hobbyisten.
Die dingen zijn ook zo groot als je er wat dieper induikt.
En dan komt er veel info op je af, waardoor je andere voor de hand liggende dingen weer over de kop ziet

Dan komen we hier, en vinden we met wat hulp hopelijk het goede pad weer  ;)

Menneke... als admin ga je naar gebruikers
Daar klik je iets van gebruiker aan maken... en die geef je ook admin rechten..
dan log je uit.
Met die nieuwe account log je in
Dan geef je die oude admin account een langer wachtwoord met wat vreemde tekens en zo... en zet hem uit...

zo ben je dus wat veiliger omdat de oude admin account die een vaste naam ( admin) heeft niet meer gebruikt word en je nu dus een nieuwe gebruiker hebt aangemaakt met dezelfde rechten als die oude admin...

snijd het zo hout? :P
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 14:41:18
Het staat gewoon hier in dit Topic (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271130/#msg271130) hoe je het moet doen.
Citaat
Create a new account in administrator group and disable the system default “admin” account.
Het is wel in het Engels, was/is dat soms het probleem ?

Vertaling van Google:
Citaat
Maak een nieuw account in de beheerdersgroep en schakel de standaard "admin" -account van het systeem uit
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 14:53:37
Birdy, denk jij nu echt dat ik zelf niet op zoek ga en hier dus maar gemakzuchtig vragen ga stellen?
Weet je dat het erg vervelend is dat men steeds beroep moet doen op hulp bronnen allerlei om die dingen werkende te krijgen, nee ik schaam me niet maar het is wel vervelend.
Maar die digi toestanden zijn nu eenmaal niet mijn ding.

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 14:56:53
@stapper schrijft in feite toch het zelfde ?
Dus, niet zo op je teentjes getrapt zijn. ;)
Maar heb je het nu kunnen regelen ?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 15:01:17
Juist nog maar eens een poging ondernomen.
Stap per stap:

Via Diskstation --> configuratiescherm --> gebruiker --> via admin account --> maken ... daar opent blad gebruikersinformatie vul volgende velden in.
Daar naam + beschrijving ingegeven.
Dan bij email staat nu admin ingevuld ... als ik daar wat anders wil ingeven krijg ik melding "dit veld moet email adres zijn" ... maar ik kan daar geen bewerking uitvoeren / email adres invoeren.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 15:17:11
Wacht maar, ik zal dit even testen op m'n test DS ;)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 15:47:19
[attachimg=1]

[attachimg=2]

[attachimg=3]

[attachimg=4]

Hierna uitloggen en inloggen met nieuwe user met admin rechten en admin uitzetten.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 16:09:45
Bedankt voor de ondersteuning, heb juist nieuw account gemaakt maar verder dan dat kwam ik niet.
Hier houd het dan voor mij ook op ... ik zoek wel iemand die het hier voor mij kan klaarkrijgen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 04 augustus 2019, 16:19:30
Ik ga nog wat verder googlen ...

Daarvoor hoef je niet te googelen. Het aanmaken van accounts is zo'n elementair onderdeel van de nas, dat dit ook duidelijk in de handleiding moet staan.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 16:29:58
Ik denk dat de uitleg van Birdy zeker een goede handleiding is, echter krijg ik het niet klaar.
Ik krijg op een moment telkens "volgende" te zien en moet daar allerlei keuzes maken ... welke keuzes hier de juiste / gewenste zijn weet ik niet.
Gek word ik ervan en kan er dus maar beter mee ophouden.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 16:35:47
Als user met admin rechten, de rest van de stappen gewoon standaard houden, die hebben alleen te maken met b.v rechten, quota enz. en als user met admin rechten wil je dan ook ALLE rechten hebben en geen quota.
Dus, gewoon iedere keer "Volgende: klikken tot het einde van de wizard.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 17:16:26
Alle stappen doorlopen ... heb de NAS uitgezet en terug opgestart, inloggen kan alleen maar via het oude admin account.
Waardoor ik het admin account niet durf te verwijderen, misschien kan ik dan weer van vooraf aan beginnen.
Het nieuwe account staat nu wel in het gebruiker lijstje.

Ik ga nu effe op cafe, ga daar een pintje drinken en daarna mijn glas opvreten. ;) ;) ;)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 17:32:52
Citaat
inloggen kan alleen maar via het oude admin account.
Wat is dan de foutmelding als je probeert in te loggen met het nieuwe admin account ?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 19:14:40
Het pintje heeft geholpen  ;) ... inloggen met nieuw account gelukt :thumbup:

Moet ik nu de oude (o.a admin) account verwijderen?
Kan / moet ik nog ergens controleren of mijn account nu veilig(er) is?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 21:13:29
User admin kan niet verwijderd worden, wel dicht zetten, kijk maar.
Niemand weet je nieuwe admin account, hackers proberen altijd in te breken op het bekende admin account.
Daarbij, je moet je nieuwe account een sterk wachtwoord hebben.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 21:21:48
Laat de Security Advisor eens checken, krijg je allemaal groene vinkjes, dan zit je goed.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 21:33:39
admin account dicht zetten via bewerken --> deze account uitschakelen krijg ik weer hetzelfde gezeik:
"een aantal van uw instellingen zijn ongeldig. Voer deze opnieuw in."

Security Advisor is oké, alles staat groen aangevinkt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 22:41:29
Het zit toch ook wel raar ineen hé ... het woord admin verwijderd en nu is het admin account eindelijk uitgeschakeld ... Logica?
Hehe wat een gedoe was dat ... bedankt allemaal voor de ondersteuning.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 augustus 2019, 22:56:52
Zeker raar en niet logisch.
Citaat
het woord admin verwijderd
Dat KAN gewoon niet:

[attachimg=1]

En dat is niet raar en wel logisch.

Als dat wel kan bij jou wel kan/kon, dan zou ik DSM opnieuw installeren.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 04 augustus 2019, 23:38:57
Het vakje waar admin stond ging steeds roze kleuren, toen ik het heb weggehaald zag ik "bijwerken" verschijnen, dan naar mijn accounts gaan kijken en admin stond toen bij gebruikers  uitgeschakeld.
Alles werkt, waarom terug DSM installeren?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 05 augustus 2019, 00:11:17
Ik geef het op, kan er geen taart van bakken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 05 augustus 2019, 00:38:18
Birdy ... misschien pintje gaan drinken  ;) ;) ;)
Dat bedoel ik nu dat er soms geen logica inzit ... maakt het nog ingewikkelder voor "de gewone simpele mens".

Heb nu een volledige scan draaien ... duurt blikbaar uren ... morgen misschien meer nieuws.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: stapper op 05 augustus 2019, 06:13:22
in dit geval kan ik dat wel begrijpen ::)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 05 augustus 2019, 09:19:42
Ik heb echt geen pintje nodig  ;)
Zeg nog steeds dat het niet kan en is ook niet te reproduceren.
Maar goed, als jij maar tevreden bent.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 05 augustus 2019, 09:34:03
…en admin stond toen bij gebruikers  uitgeschakeld.

En eerder beweerde je dat je het woord admin verwijderd had. Ik begrijp ook dat anderen niets van je beweringen snappen omdat een deel ervan niet kan kloppen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 05 augustus 2019, 09:40:57
Volgens mij snap ik wel wat er aan de hand is. Ik zie het soms ook gebeuren dat de browser in het email veld als het leeg is automatisch de in de browser opgeslagen gebruikersnaam invult. Dat is geen geldig email adres en dan kun je dus de wijzigingen niet opslaan. Dan moet je dus eerst het email veld weer leegmaken. Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.

[attachimg=1]

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 05 augustus 2019, 09:49:40
Citaat
Dit is eigenlijk een foutje in het formulier van Synology. Dit veld mag niet automatisch ingevuld worden.
Of een fout in de browser die veel te veel invult. De browser vult niet alleen accountvelden in, maar ook velden waarvan hij denkt dat het accountvelden zijn. Dit omdat de browser 'gebruikersvriendelijk' wil zijn door ook op slecht geschreven websites een accountveld te vinden.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Menneke op 05 augustus 2019, 10:40:11
Resultaat van de scan: volledig veilig.
@Briolet: Begrijpend lezen gaat je blijkbaar moeilijker af dan kritiek / commentaar te geven.
Hofstede heeft het helemaal juist, zo is het gegaan.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Lorence op 09 augustus 2019, 10:08:37
Héél veel tips om extra te beveiligen, waarvoor dank! Maar wat als je geraakt bent?

Ik kreeg in mei veel meldingen van vreemde inlogpogingen, waar ik actie op ondernam. Tot vandaag niets meer aan de hand, maar vanmorgen klapte ik mijn laptop open en kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt. Ik heb meteen mijn UTP kabel uit de nas getrokken en mijn drive verbindingen verwijderd om het proces stop te zetten. Zo heb ik enkele files kunnen redden op m'n PC, maar de belangrijkste files in bepaalde mappen zijn helaas wel encrypted. Ik heb daarnet ook mijn NAS uitgeschakeld.

Waarschijnlijk een domme vraag, maar ik ga ze toch stellen #durftevragen: wat nu? Hoe kan ik de aangetaste files op mijn NAS redden?
Een back-up maken stond al weken op mijn to-do lijstje, dus 'eigen schuld dikke bult' natuurlijk, i know! Ik ben ook echt een leek, dus probeer met eenvoudige handleidingen alles in orde te houden, wat de afgelopen 7 jaar wel degelijk gelukt is.

Ik durf mijn NAS ook niet meer opzetten nu, want geen idee wat het effect daarvan zal zijn. De ene schijf is ook een kopie van de andere, dus misschien kan ik zo nog iets redden als het kopiëren naar de andere schijf nog niet heeft plaatsgevonden?

Bedankt alvast voor de tips!
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 09 augustus 2019, 11:57:56
Citaat
kreeg ik meldingen van mijn Synology Drive dat er bestanden werden verwijderd en hernoemt.

Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: G-Boy op 09 augustus 2019, 13:47:37
Zoals Lorence, ben ik ook één van de veel Synology gebruikers die het slachtoffer is geworden van deze ransomware aanval.

Niettegenstaande dat mijn NAS achter een professionele firewall staat, ik dagelijks backups maak en nog eens een backup van mijn NAS naar een positie in de cloud zet elke nacht, zijn vele van mijn files nu versleuteld (zelfs in de cloud)!!! De encryptie is gebeurd 's nachts wanneer alle PC's duidelijk uit waren gezet.
Ik kan mezelf weinig verwijten, want met mijn kennis heb ik geprobeerd om mijn systeem zo goed mogelijk te laten beveiligen en de data zo goed als mogelijk te laten backuppen volgens scripts die tot op heden goed functioneerden. Maar toch zit ik hier met de gebakken peren....

Aangezien ik deze files in een thuiskantoor gebruik, zijn deze voor mij van levensbelang, en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd. VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden. Maar inderdaad de standaard 'Admin' was niet afgevinkt, en niettegenstaande er een paswoord van 28(!) digits werd toegepast op de NAS, er dagelijks een virusscan draait (ook malware checks) en ik heel nauwkeurig met mail bijlagen omga is men toch aan mijn data weten te komen. Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Maar zelfs het externe netwerk bedrijf is nu nog aan het uitvissen hoe men de firewall/vpn heeft kunnen omzeilen.... Natuurlijk ben ik mijn vertrouwen kwijt in dit bedrijf en hun toestellen die ik heb aangekocht, maar als ik zie dat er duizenden gebruikers hiervan het slachtoffer zijn, dan kan het niet zijn dat enkel mijn netwerk service provider dit probleem heeft. 

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  :'(). Tevens heb ik als gebruiker van Synology nooit een waarschuwing ontvangen om de standard admin user uit te vinken. Heel jammer want als gebruiker kan je toch niet alles weten van de grijze zones van de IT wereld.

Ik hoop dat ik op korte termijn mijn files opnieuw kan gebruiken want op dit ogenblik moet ik proberen om mijn bedrijfje met allerlei trukjes draaiende te houden. Eigenlijk weet ik nu ook niet meer hoe ik me nog meer moet beveiligen..... -> een beetje depri ben ik nu zoals je kan zien.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 09 augustus 2019, 14:07:46
Citaat
VPN connectie is in gebruik voor de externe connectie van de NAS en alle mogelijke poorten worden zo dicht mogelijk gehouden.

Dan is het niet waarschijnlijk dat de infectie via de nas gekomen is. Zeker als er een goed wachtwoord op het admin account zit. Als er met een regulier account ingelogd is, kun je dat ook in het log terug vinden.

Bij de meeste meldingen (alle?) hier op het forum van ransomeware is de data op de nas versleuteld omdat er een share aan een besmette PC hing en niet omdat er iets mis was op de nas.

Maar iedereen in de beveiligingswereld raad al jaren aan om factor-2 authenticatie te gebruiken. Dat is een goede aanvullende bescherming, want ook sterke wachtwoorden kunnen met b.v. een key-logger onderschept worden.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 09 augustus 2019, 14:08:35
Ik heb nog nergens gelezen dat er duizenden slachtoffers zijn.

De aanval is vooral gericht op mensen die geen enkel benul hebben van beveiligingen en alles open hebben staan. Dat is bij jou duidelijk niet het geval

Probleem is natuurlijk dat niets zo sterk is als de zwakste schakel. Je hoeft maar één verkeerde USB stick in je PC te steken en je bent de sigaar.

Ben wel benieuwd naar de uiteindelijke verklaring van die firma.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Lorence op 09 augustus 2019, 14:11:05
Citaat
Normaal meldt de nas dat niet. Gaat het hier om het programma "Drive"? Die bewaard normaal altijd versies en ook gewiste files. Maar als het drive is, is de nas dan besmet of is het je PC waar de files encrypt worden die vervolgens naar de nas synchroniseren?

Het gaat hier inderdaad over het programma 'Synology Drive'. Files die ik in de cloudstation map bewaar op mijn laptop, worden gesynct naar mijn NAS en omgekeerd.
Omdat ik op mijn laptop de melding kreeg vanuit het programma, ben ik wel zeker dat het mijn NAS is die besmet is. De sync stopte vanaf het moment dat ik de UTP uit mijn NAS haalde. Voor de zekerheid verwijderde ik ook de 'sync taken'  uit het programma om zeker te zijn en zette ik mijn NAS uit. Het stoppen van de sync zorgde ervoor dat er enkele mappen untouched bleven op mijn laptop. Daar ga ik zo meteen ook een backup van maken op een externe harde schijf.
Als hij volgens jou gewiste files bewaard, waar zou ik die dan kunnen terugvinden? Alvast niet in m'n prullenbak.


Citaat
Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe,
Wat G-Boy aanhaalde over het niet communiceren van Synology en het uitsturen van deze waarschuwing (https://www.synology.com/en-global/company/news/article/2019JulyRansomware) wou ik ook nog aanhalen daarnet. Maar ik was niet zeker, misschien had ik wel een mailtje gemist of per ongeluk verwijderd? Aangezien hij hetzelfde verhaal heeft sluit ik me wel aan bij zijn ongenoegen en frustratie. Door het aanraden van het simpele uitvinken van een admin user hadden heel wat users problemen kunnen vermijden. Velen zitten niet elke dag dit forum af te schuimen als alles draait zoals het zou moeten.

Dus conclusie is dus wachten tot Synology komt met een decryptor? Of zijn er nog andere opties?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: G-Boy op 09 augustus 2019, 14:18:57
Beste,

Mijn netwerk service provider is in contact met verschillende gespecialiseerde bedrijven, en daaruit blijkt dat er inderdaad veel slachtoffers zijn van deze ransomware, alleen wordt hier zeer weinig over gecommuniceerd. Met mijn berichtje wil ik dit eigenlijk een beetje doorbreken want ik schaam me hier niet over dat ik dit nu voor heb.

Qua USB sticks worden deze ook gescand en ik heb nergens maar één melding van gekregen, niettegenstaande de aankoop van een goede virus & malware scanner. maar ik verdenk meer de connectie van een smartphone via de interne wifi (misschien zelfs mijn eigen smartphone?).

Ik moet wel zeggen dat die firma alles in het werk stelt om tot een oplossing te komen, maar zij zijn zelf ook afhankelijk van de ontwikkeling van een decryptor protocol. En god weet wanneer dat dit voorhanden zal zijn.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 09 augustus 2019, 14:21:45
 @Lorence   Triest verhaal met grote impact.

....en had ik voor mijn netwerk en databeveiliging zelfs een professionele firma ingehuurd.

Ik lees meer dan eens (en zelfs ook ervaring in mijn kennissenkring) dat veel van die bedrijven er gewoon met de pet naar gooien.
Kost veel geld, en als er dan iets aan de hand is, verschuilen ze zich achter kleine lettertjes in het contract.

....Dus de enige 'weak spot' is dus het niet afvinken van de standard 'Admin' user.

Dat had dat externe bedrijf wat je speciaal hebt aangetrokken, eigenlijk gewoon moeten weten.

Maar er zijn veel meer "weak spots" in een netwerkbeveiliging aan te merken.
Bij een kennis van mij heeft de attack helemaal niet plaats gevonden via connectie "rechtstreeks" met de NAS,
maar via ransomware op diens PC, welke van daaruit via de "open" SMB netwerk shares hun werk doet ook naar bestanden op de NAS.

Wat ik wel frapant vind is dat Synology eigenlijk geen enkele melding doet ivm een eventuele oplossing naar zijn klanten toe, en dit terwijl Qnap dit bijvoorbeeld wel doet (tot nu toe wel nog altijd geen decryptor gevonden  :'().

Van die kennis weet ik dat Synology achter de schermen wel degelijk bezig is, via een ticket wat hij had ingelegd voor een oplossing.
Maar ook zij gaven aan nog geen ontsleutelingsalgoritmen te hebben gevonden.
Binnen de (beperkte) mogelijkheden worden via overheden, justitie e.d. toch geprobeerd lieden op te sporen die hier mee bezig zijn.
Vanuit dat soort acties (en mogelijke arrestaties) komen dan mogelijk ook sleutels vrij.
Maar omdat zich dit over internationale regio uitspreidt, is het meestal een verloren zaak.

Admin uitvinken wordt sinds jaar en dag hier op het forum reeds gepromoot.
Bij installatie van een NAS met huidige firmware wordt het zelfs door Synology afgedwongen om dat te doen.
Maar zoals aangehaald, daar hoeft in bepaalde situaties niet eens het probleem te hebben gelegen.
Titel: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 09 augustus 2019, 14:27:38
Tuurlijk komt er geen decryptor van Synology. Want er zijn zoveel verschillende ransomwares.  Het is niet één specifieke ransomware. En allemaal genereren ze andere sleutels.
Het enige dat Synology heeft gezegd is dat ze een duidelijke toename van besmettingen waarnamen en dat je daarom je beveiliging op orde moet hebben.
Je moet zelf uitzoeken van welke ransomware je last hebt en hopen dat er een oplossing voor is. Ervaring leert dat dat meestal niet zo is.

En de ransomware kan nog steeds op je computer staan. Dat het stopt als je de NAS netwerkkabel lostrekt zegt niks. Als de ransomware op de NAS staat zou hij juist vrolijk doorgegaan zijn met encrypten.
Met andere woorden: Je kunt geen enkele computer op je netwerk vertrouwen en je zult ze allemaal moeten controleren en “ontsmetten”.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 09 augustus 2019, 14:28:17
Citaat
Door het aanraden van het simpele uitvinken van een admin user hadden heel wat users problemen kunnen vermijden.

Maar ze raden ook al lang aan om Factor-2 authenticatie te gebruiken. Dan was er ook geen probleem.

De security advisor raad ook aan om de standaard poorten aan te passen. Dat helpt vaak ook. Bij deze aanval in elk geval.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 09 augustus 2019, 14:31:41
Als je een Synology Account hebt, dan ontvang mails van Synology over dit soort gevallen, die heb ik namelijk ook gehad, zie hier aan het begin van dit Topic (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271130/#msg271130).
Daar verwijzen ze ook naar, hoe je je beter kunt beveiligen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: G-Boy op 09 augustus 2019, 14:38:03
Je geeft aan dat je alle PC's moet 'ontsmetten'. Wel onze eerste reactie was natuurlijk om extra virus & malware scanners in te zetten op ALLE toestellen (waar mogelijk natuurlijk) in mijn netwerk om zo alles te 'cleanen'

Dus na een halve dag scannen hebben we dus nul komma nul infecties gevonden.... Dat is pas om het haar uit uw hoofd te trekken!!!

Vandaar dat mijn netwerk service provider hier alles in het werk aan het stellen is om toch maar te achterhalen wat het probleem veroorzaakt zou kunnen hebben. Maar na 2 weken zoeken is er nog steeds geen uitsluitsel, terwijl er wel iemand continu mee bezig is en ik zelfs als tegemoetkoming hier geen kosten moet voor dragen (wat ik al heel mooi vind!)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 09 augustus 2019, 14:56:53
Citaat
Dus conclusie is dus wachten tot Synology komt met een decryptor? Of zijn er nog andere opties?

Als de ransomeware goed versleuteld is, dan valt er niets te decrypten en blijft alleen het terugzetten uit een backup over.

In de gevallen dat er een tool voor bestaat, komt het omdat de ransomewere slecht geschreven was of dat zij de sleutel niet goed opgeborgen hebben. Soms komt zo'n sleutel nog maanden later boven water als er ergens een server met sleutels gevonden wordt. Bij 'goede' ransomeware heeft elke besmette PC een eigen unieke sleutel nodig.

Maar laatst (https://www.security.nl/posting/619244/Criminelen+verwijderen+bestanden+van+Iomega+NAS-systemen) is er weer ransomeware opgedoken die beweerde dat er data versleuteld was, terwijl de inhoud gewoon met nullen overschreven was.  Daar is nooit iets te decrypten. Ook niet door de daders zelf.

Citaat
Als je een Synology Account hebt, dan ontvang mails van Synology over dit soort gevallen

Ik heb er nog nooit een mail over gehad terwijl ik normaal wel mail van Synology krijg.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 09 augustus 2019, 15:07:47
Citaat
Ik heb er nog nooit een mail over gehad terwijl ik normaal wel mail van Synology krijg.
Je moet je er wel op abonneren in Profiel > Communicatie.

Voorbeeld:

[attachimg=1]
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 09 augustus 2019, 15:16:15
Ik heb de waarschuwing via twee routes gehad.  Twitter en e-mail.
En ik heb het ook nog eens op dit forum gepost.....
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 11 augustus 2019, 09:42:35
Misschien een domme vraag maar kun je via QuickConnect.to ook een ransomware aanval verwachten en wat kun je daar dan tegen doen?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 11 augustus 2019, 09:54:20
Niet via die domeinnaam, maar als er ook poorten open staan wel. Maar dat heeft dan niet direct met QC te maken. QC zonder portforwarden is veiliger, maar met portforwarden is het sneller. Dat is een keuze die je maakt.

Advies blijft om sterke wachtwoorden te gebruiken, maar vooral om factor-2 inloggen in te schakelen. Beide adviezen gelden voor alle belangrijke accounts (DigiD, Gmail, iCloud etc)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Wyodor op 11 augustus 2019, 09:55:57
Ik betwijfel of ze je QuickConnect URL weten.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 11 augustus 2019, 10:04:42
QC account heb ik inmiddels wat complexer gemaakt, wat 2-traps verificatie betreft, ik ben de enige die op die manier contact met het diskstation maak, is dat dan nog nodig?

Edit
Ik gebruik geen portforwarding.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 11 augustus 2019, 10:26:43
Zoals eerder in het onderwerp naar voren komt, kan de ransomware ook vanuit je netwerk "vanaf een PC" zijn werk doen, vanuit de "open" shares en connectie met een PC.  Er is dan helemaal geen connectie van buitenaf "rechtstreeks" naar de NAS.
O.a. al wat oudere informatie over vergelijkbare "WannaCry" (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Security/How_can_I_protect_my_Synology_NAS_against_WannaCry)

"DSM zal niet worden getroffen aangezien WannaCry enkel Microsoft Windows-systemen viseert. Als het echter gekoppeld is aan een aan Windows toegewezen netwerkstation met ingeschakelde schrijfmachtiging, loopt Synology NAS het risico om te worden gecodeerd."
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 11 augustus 2019, 10:57:01
…wat 2-traps verificatie betreft, ik ben de enige die op die manier contact met het diskstation maak, is dat dan nog nodig?

Bij één persoon is het net zo zinvol.

Je kunt echter instellen om bekende apparaten te vertrouwen. Dan slaat hij de karakteristieken van de combinatie app/toestel op en vraagt na de eerste succesvolle inlog niet meer om de beveiligingscode. Alleen als de inlog-app een update krijgt of er veranderd iets anders aan het toestel, dan moet je die code weer een keer gebruiken.

Als je vertrouwde apparaten laat onthouden, hoef je die factor-2 code maar zelden in te tikken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 14 augustus 2019, 13:25:39
Een opmerking nog, wanneer ik de 2-trap's verificatie wil instellen dan moet ik ergens 6 cyfers invullen maar na inlezen q-code heb ik 13 letters en cyfers  door elkaar in beeld staan, welke 6 cyfers zijn dan daarvan geschikt ?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 15:01:32
Dan heb je iets niet goed gedaan. Gewoon even opnieuw instellen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 15:26:22
Je kunt die factor-2 op twee manieren instellen.

- met QR code: Deze genereert een lang wachtwoord dat jij nooit te zien krijgt en intern blijft op je device.

- handmatig: Je moet zelf een zeer sterk wachtwoord kiezen. Dit kan handig zijn als je meerdere devices als authenticator wilt gebruiken. Dat wachtwoord hoef je niet te onthouden nadat je alle decices gekoppeld hebt.

-------

Die 13 cijfers door elkaar kan ik me niet herinneren. Zit daar nog een soort captcha bij?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 15:34:07
Ik ken eigenlijk alleen de methode met die QR-code?

Met een 2-factor appje wat je op een smartphone hebt staan, neem je die code met de camera op,
en het wordt erna direct omgezet naar een 6-cijferige generator, die pakweg elke 30 seconden wordt vernieuwd.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 14 augustus 2019, 15:53:04
Ik heb die Q-Code met een willekeurige app op de smartphone gescand, met als resultaat die 13 cijfers en letters, doe ik het handmatig (wat ook kan) dan krijg ik dezelfde 13 karakters in beeld.
Dus wat kan ik hierbij fout doen?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 16:15:15
Misschien het gebruik van een willekeurige app ??
Officieel wordt de "Google" app aanbevolen.
Maar ik wil "Google" als het kan zo veel mogelijk vermijden in hun dorst naar "data"
en de koppeling ervan naar data die ze al hebben opgeslagen van je.  (Als het überhaupt al enigszins valt te vermijden).

Zelf heb ik de volgende apps in gebruik die werken:
https://play.google.com/store/apps/details?id=com.paymentwall.paymentwall2fa
https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 16:41:31
De google authenticator heeft geen reden om verbinding met google te zoeken. Het enige wat dat ding doet is het berekenen van de 6 cijferige code op basis van het, via de qr code overgedragen, random wachtwoord, en de actuele tijd.

Je moet de QR wel via een authenticator inscannen. Niet met een standaard QR scanner.

Ik ken eigenlijk alleen de methode met die QR-code?

Je kunt in DSM ook kiezen om het niet via de QR code te doen. Dat is wel meer werk en zou ik alleen doen als je echt meerdere smartphones wilt koppeen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 17:48:32
De google authenticator heeft geen reden om verbinding met google te zoeken.

Alles wat "Google" heet verzamelt data. Zou vreemd zijn als een "Google" authenticator dat niet zou doen?
Er zijn inmiddels teveel "klokkenluiders" die de handelwijze van Google in een ander daglicht stelt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 14 augustus 2019, 17:48:52
Citaat
Misschien het gebruik van een willekeurige app ??
Officieel wordt de "Google" app aanbevolen.
Maar ik wil "Google" als het kan zo veel mogelijk vermijden in hun dorst naar "data"
en de koppeling ervan naar data die ze al hebben opgeslagen van je.  (Als het überhaupt al enigszins valt te vermijden).

Bij gebruik van de 'Google' Q-Code scanner is het resultaat hetzelfde. (overigens zijn het 16 karakters ipv de eerder genoemde 13)


Citaat
Je kunt in DSM ook kiezen om het niet via de QR code te doen. Dat is wel meer werk en zou ik alleen doen als je echt meerdere smartphones wilt koppelen.


Dat had ik al eerder geprobeerd maar ook met die manier blijft de gevonden code identiek aan de met de scanner verkregen code.
Overigens "koppel" ik helemaal niets, ik log bij DSM alleen maar in via eigen laptop!

Voorbeeld code: (gefingeerd)
ACB5QWERTY3GAQWE
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 18:37:35
Alles wat "Google" heet verzamelt data. Zou vreemd zijn als een "Google" authenticator dat niet zou doen?

Omdat er niets te verzamelen valt. Het enige wat Google ziet is dat de app geopend of gesloten wordt. Over de gekoppelde apparaten weet hij niets anders dan het wachtwoord. Geen IP adres of wat dan ook, alleen de naam die jij aan die entry gegeven hebt. Verder genereert hij elke minuut voor alle gekoppelde apparaten de nieuwe code. Hij kan niet zien welke code je afleest. (Ik heb 3 apparaten gekoppeld).
Voor Google is hier dus geen enkele zinvolle info uit te behalen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 18:54:18
Bij gebruik van de 'Google' Q-Code scanner is het resultaat hetzelfde. (overigens zijn het 16 karakters ipv de eerder genoemde 13)…

Voorbeeld code: (gefingeerd)
ACB5QWERTY3GAQWE

Ik snap het probleem niet. Ik ken die andere autenticators niet, maar bij het inscannen met die van google, zie je die code niet eens. Kies je ervoor om het handmatig te doen, dan moet je die code handmatig invoeren. in de app. (Dat kan dan op meerdere mobieltjes). De naam van het account wat hij aangeeft is alleen maar een geheugensteun. Je kun ook iets anders als  naam gaan gebruiken. (Of later nog editen)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 19:12:03
Omdat er niets te verzamelen valt. Het enige wat Google ziet is dat de app geopend of gesloten wordt.

Dat denk je alleen maar. Je weet maar half hoe naïef mensen zijn.

Google verzamelt locatiegegevens van je smartphone (de meeste gebruikers hebben dat namelijk doorgaans ingeschakeld).
Is dat uitgeschakeld, dan wel via WiFi nodes, GSM zendmast plekken etc. Verder alle "zoek-gegevens".
En omdat "Andoid" een Google OS is, absoluut nog veel meer gegevens van je, hoe / wat welke apps je gebruikt.

Alleen al het opstarten van de app, in combinatie met de andere gegevens die ze al van je hebben, weten ze al meer van de plek, van waaruit je inlogt. Dat kunnen ze weer combineren met de "streetview" gegevens die zij ook in hun database hebben. Dus ze weten daarbij ook nog welke panden iemand bezoekt, en daaraan gekoppeld met gegevens van ander mensen die ze ook hebben verzameld, nog veel meer van je doen en laten in relatie tot andere mensen.

Google weet meer van een gebruiker, dan zij zelf de afgelopen jaren zelf hebt kunnen onthouden of überhaupt nog kunnen thuisbrengen.
Exact de tijden, dagelijkse routes die mensen afleggen, werk, vakantiebestemmingen etc.

Het lijkt Science fiction, maar is echt nu reeds pure wekelijkheid.
Dat is door een journalist van Brabants Dagblad eerder al eens uitvoerig aangetoond.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 19:16:41
Dat zijn allemaal dingen die los staan van deze app. Dat is Android waar jij het over hebt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 19:18:39
Je zult die app op een smartphone toch echt moeten opstarten als tweede verificatie.
Daarmee is de link al gelegd met de andere zaken die ik benoem.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Hofstede op 14 augustus 2019, 20:11:47
Je kunt ook Microsoft Authenticator gebruiken hiervoor.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 augustus 2019, 20:28:13
Citaat
at is door een journalist van Brabants Dagblad eerder al eens uitvoerig aangetoond.

Sorry, maar ik ben allergiisch voor fake news. Geef dan aan waar die autheur beweerd dat de authenticator wifi gaat tracken, je streatview data doorsturen en je andere beweringen. Googel heeft helemaal geen belang om deze functies in de authenticator te stoppen.

Ik verwacht dat die man de authenticator niet eens noemt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 14 augustus 2019, 20:49:09
Sorry, maar ik ben allergiisch voor fake news.

Zo fake is het niet. Hij had zijn eigen data achterhaald bij Google van de afgelopen jaren. Artikel verscheen vorig jaar of zo.
Het heeft de EU anders op scherp gezet, met wettelijke maatregelen en schadeclaims tegen Google en aanverwanten:
https://www.welingelichtekringen.nl/tech/807387/privacywet-is-er-twee-dagen-nu-al-miljardenclaims-voor-facebook-en-google.html

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: T430user op 15 augustus 2019, 07:50:08
Allemaal goed en wel. discussie over privacy van Google is intussen al wereldwijd, maar lost niet mijn probleem op hoe ik een Q-Code van 16 karakters in een veld van 6 moet ingeven bij 2-traps verificatie in het veld gebruiker op de NAS (DSM).

Conclusie mijnerzijds: laat het maar zitten, ik houdt het wel bij mijn enkelvoudige inlog  naar DSM (NAS) op mijn laptop die immers altijd thuis staat. Zoals eerder in dit forum al werd verondersteld gebeuren de meeste infecties toch alleen maar via de aangesloten PC (of laptop) en niet via QC (QuickConnect.to).

Mijn NAS staat niet via de Experia V10 met internet verbonden, er staat geen enkele poort open en ook geen forwarding!
Ik maak mij bij voorbaat dus geen zorgen. Middels de tijdklok in het stroomschema staat de NAS 's-nachts ook nog eens helemaal uit!

Allemaal wel bedankt voor het meedenken in deze kwestie.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Just op 26 augustus 2019, 18:19:55
Mijn Nas is dus gehackt. Ik kon deze tijdens de vakantie niet bereiken; thuis gekomen de Nas opnieuw opgestart, onwetend dat deze besmet was. Ik had geen 2-stapsverificatie en de adminaccount was niet uitgezet. Dat is nu wel gebeurd.
Kan ik nu alle geïnfecteerde bestanden verwijderen van de Nas en de rest laten staan of moet de Nas geheel opnieuw ingericht worden? zeg maar formatteren en van scratch af opnieuw starten. De bestanden die ik kwijt raak zijn voor mij niet extreem belangrijk; ik kan verder zonder.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 26 augustus 2019, 18:28:25
Als je het allemaal niets uitmaakt, dan zou ik teruggaan naar de fabrieks instellingen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Just op 26 augustus 2019, 18:35:12
Dat ik de bestanden kwijt raak, daar kan ik wel overheen komen. Er staat veel muziek en films op, maar die kan ik overal streamen via Spotify of Netflix. Overbodig geworden in de loop van jaren.
Echter, het geheel opnieuw opzetten van de NAS is voor mij - als niet ervaren gebruiker - best een behoorlijke tijdsinvestering. Ik kan me herinneren dat ik er dagen over deed om alles draaiende te krijgen (en toen had ik het kennelijk nog niet goed voor elkaar als het gaat om de beveiliging......)

Mijn eigen gedachte is dat slechts het verwijderen van de geïnfecteerde bestanden onvoldoende is, maar misschien zijn er andere inzichten of ervaringen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Bobdroid op 26 augustus 2019, 18:55:12
Backup van alleen je instellingen maken. Geheel opnieuw installeren en de backup terugzetten.
Nog beter : printscreens maken van je instellingen en opnieuw installeren.

Beide natuurlijk na terug zetten naar fabrieksinstellingen

Verstuurd vanaf mijn SM-T720 met Tapatalk
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 26 augustus 2019, 18:56:12
Ok, dan de vraag, waarmee is je NAS besmet dus, wel je hack?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 augustus 2019, 19:22:57
...het geheel opnieuw opzetten van de NAS is voor mij - als niet ervaren gebruiker - best een behoorlijke tijdsinvestering.
Ik kan me herinneren dat ik er dagen over deed om alles draaiende te krijgen....

De "naweeën" van het niet goed verwijderen van besmette bestanden, en wat al dies meer "onverwacht en ongezien" nog zijn werk kan doen, kan zich nog over "maanden" uitstrekken met allerlei correcties aan bestanden of systeem.  Kost je aanzienlijk meer tijd.
Neem simpelweg geen risico, en begin met een schone lei.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Just op 26 augustus 2019, 19:32:07
Bedankt voor de tips. Ik ga terug naar fabrieksinstellingen.
Doordat ik op vakantie was en mijn PC (Mac) 4 weken uitstond heb ik de mening dat de aanval rechtstreeks op de Nas is geweest. Overigens stond hier wel antivirus essential op. Ik zie achter al mijn tekstbestanden "encrypt" staan en er staat een "read me for decrypt.txt"  file in alle directory's waar tekstbestanden in staan.
Ik wil dat bericht best delen maar ik vraag me af of ik dat wel op het forum kan doen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 26 augustus 2019, 19:39:20
Dat delen van die tekst heeft niet zoveel zin.
Het komt simpelweg neer waar het gros van alle 13 web-pagina's van dit onderwerp over gaan.
(Naast nog individueel opgestarte onderwerpen). Doorloop de reacties, en het zal je duidelijk worden wat te doen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Tom2012 op 26 augustus 2019, 20:17:23
Ik heb een iphone en werk met een iMac, heb geen android of Windows hardware of toepassingen. Als ik goed begrijp houdt dat in dat ik voor wat betreft de authenticator enkel voor de Google-optie kan kiezen? Zo ja, klopt het dan dat de free-version slechts 3 dagen te gebruiken is en dat ik daarna voor een abo moet betalen? Heb de app gedownload en kom vooralsnog wel tot die conclusie. Maar hopelijk zie ik het verkeerd...
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 26 augustus 2019, 20:55:34
Er zijn meerdere authenticators in omloop die je kunt gebruiken. Gebruik kost niets. Die dingen genereren alleen codes op basis van de tijd en een initieel wachtwoord. Ze hebben geen externe dienst nodig.

Wat ook goed helpt is in de firewal alleen beperkte landen toe te staan. Verder geen standaard poorten gebruiken. Helpt niet altijd. Als ze weten dat er een nas (of ander interessant doelwit)  op dat IP staat, nemen ze soms de moeite even alle poorten te proberen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 26 augustus 2019, 21:10:07
@Tom2012 Gewoon naar Reactie #7 in dit Topic, anders wordt alles weer herhaald.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Tom2012 op 27 augustus 2019, 00:27:03
Dat had ik inderdaad eerder al gelezen, maar het geeft geen antwoord op mijn vraag.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 augustus 2019, 01:09:17
Als antwoord op je eerdere vraag, had @Briolet reeds aangegeven dat er meerdere authenticators zijn dan die van Google:
Kwestie van ernaar zoeken.  Bijvoorbeeld:

Voor iOS           Authy (https://apps.apple.com/nl/app/authy/id494168017)                                         Handleiding - eigen website (https://authy.com/guides/apple/)
                        Authenticator (https://apps.apple.com/us/app/authenticator/id766157276)
                        Microsoft Authenticator (http://Microsoft Authenticator)

Voor Android    PW 2-factor Authenticator (https://play.google.com/store/apps/details?id=com.paymentwall.paymentwall2fa&hl=en)
                        Free OTP Authenticator (https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: GerardR op 27 augustus 2019, 10:42:37
Ik gebruik Microsoft Authenticator op android telefoon. Bevalt prima
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Tom2012 op 27 augustus 2019, 10:44:08
Dank voor jullie hulp! Inmiddels Authy geinstalleerd
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: wbree op 05 september 2019, 08:41:57
Inmiddels lijken de aanvallen gestopt te zijn. Zie in ieder geval geen pogingen meer daar toe. :)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 20:20:55
Is het een idee om IP-adressen per land te kunnen blokkeren of toestaan? Ik heb twee Nassen draaien die ik zowel lokaal als via internet gebruik maar hooguit in Nederland en een paar vakantielanden. Als ik alleen die landen toe kan laten dan ben ik 99% van de aanvallen kwijt want de meeste komen uit China, Irak en dat soort landen.

Misschien een idee voor de volgende versie.

Jos
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 september 2019, 20:36:55
Dat kan je toch al in de Firewall van je NAS regelen of in je Router zelf?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 21:22:30
Bedankt voor je reactie Birdy!

Kan je in je NAS of router landen via IP-adressen toelaten of blokkeren? Ik zou echt niet weten hoe.....
Lijkt mij heel makkelijk als je in de NAS zelf landen kan toelaten of uitsluiten.

Jos
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 27 september 2019, 21:44:42
Je kunt regio's blokkeren in de Firewall van je NAS en je kunt ip-adressen ook blokkeren.
Zie DSM Help.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 21:48:25
IP-adressen weet ik maar regio's niet. Maar bedankt, ga morgen even kijken of dat is wat ik bedoel en of het lukt.

Bedankt!

Jos
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 27 september 2019, 22:13:19
Een samenvatting voor de firewall van de Synology router,
maar in grote lijnen zijn dezelfde basis principes ook geldig voor de firewall van de NAS.
Zie het volgende onderwerp  < HIER > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 27 september 2019, 22:21:10
Kan je in je NAS of router landen via IP-adressen toelaten of blokkeren? Ik zou echt niet weten hoe.....

De handleiding?? Daar wordt het toch echt goed beschreven.  Of ben je van het type dat met de boeken onder het hoofdkussen ging slapen in de verwachting dat de kennis overnacht door de goede fee, uit het boek naar het hoofd wandelde.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 22:21:33
Bedankt Babylonia.

Ik heb GEEN Synology-router maar  ga kijken of ik dit ook in de firewall van de NAS voor elkaar krijg.

Groeten,

Jos.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 22:24:04
Bedankt voor je vriendelijke reactie Briolet.

Ik ga kijken of ik het kan vinden.

Jos.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 27 september 2019, 22:38:13
Rechtsboven op het ? symbool klikken terwijl je op de firewall pagina zit.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 27 september 2019, 22:41:44
Heb in de firewall van de NAS de landenlijst gevonden!!

Heel simpel en eenvoudig, had het zonder vragen voor elkaar moeten krijgen.

Iedereen bedankt voor de ondersteuning, heel vriendelijk!!

Groeten,

Jos.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 28 september 2019, 12:32:21
Ik heb gisteren bij "Locatie" alleen de IP-adressen van Nederland toegelaten maar vanmorgen kwamen er toch twee IP-adressen vanuit China die binnen willen komen bij mij Mailserver en geblokkeerd zijn.

Iemand een idee hoe ik ook dit kan voorkomen?

Groeten,

Jos.


Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 28 september 2019, 12:44:59
Als je een mailserver gebruikt, moet je een complexe firewall instelling doen. Alleen nederland is geen goede instelling.

Ook al zit de afzender in Nederland, de mail zelf kan uit het buitenland komen als de afzender een buitenlandse provider gebruikt. (gmail, hotmail, yahoo etc) 

Je zult per poort moeten kijken welke instellingen nodig zijn. In elk geval laat je nu meer toe dan alleen Nederland als er ook inlogpogingen uit China zijn.

Ik heb ook wel eens iets bij AliExpress besteld. Dan wil je ook mail uit China kunnen ontvangen.

(Ik heb overigens wel China op mijn blocklist voor mail staan omdat daar vandaan veel aanvallen komen. De bestellingen uit China lopen daarom via mijn Ziggo mail account)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 28 september 2019, 13:23:51
Bedasnkt Briolet,

Ook bij mij loopt Aliexpress via mijn Ziggo account. Maar toch krijg ik veel aanvallen vanuit China op mijn mailserver.

Ik ga kijken hoe ik ook die kan voorkomen.

Groeten,

Jos.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Erik7 op 29 september 2019, 16:59:29
Ook hier wat blokkeringen voor pogingen vanuit China terwijl er wel een firewall regel actief zou moeten zijn.
Vermoedelijk heeft het met de volgorde van de regels te maken.
Citaat
DSM Firewall stemt overeen met regels volgens prioriteit. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 29 september 2019, 18:52:01
Mijn landen-blokkade staat op de eerste rij, boven aan dus.
Dan hoort hij alles uit China te blokkeren maar dat doet hij niet.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 29 september 2019, 19:54:19
Dat ligt er maar net aan voor welke services je zaken hebt geblokkeerd (of juist alleen toegelaten).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 29 september 2019, 20:09:58
Citaat
Mijn landen-blokkade staat op de eerste rij,

Vroeger zat er een maximum aan het te blokkeren landen per regel. Weet je dus zeker dat China er bij zit?

Een landenblokkade op de eerste rij is overigens niet handig. (Zie de heel veel andere topics over dit onderwerp, want dit begint nu af te wijken van het oorspronkelijke topic: Ransomware awareness)

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Nelissuh op 04 oktober 2019, 21:00:19
Ik kreeg 23 september een "IP-adres [xxx.xxx.xxx.xxx] van NAS is geblokkeerd door DSM"
De 26 en de 29e weer 1.

Vandaag in 1x 8 stuks, tussen 15:52 en 16:07. Dat wordt in 1 keer wel heel gericht.

Ik heb de port-forwarding dus maar even uitgezet, en ga mijn wachtwoorden maar eens herzien.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 04 oktober 2019, 21:26:17
Ik heb in mijn blokkeerlijst al 624 IP-adressen staan, voornamelijk uit China.

Toen heb ik in de Firewall van de NAS Nederland en enkele omliggende landen toegestaan maar dat hielp helemaal niet.

Daarna heb ik dat weer verwijderd en China geblokkeerd, sindsdien is er vanuit China geen poging meer binnen gekomen.

Als er nu een IP-adres geblokkeerd wordt, de laatste uit India, dan blokkeer ik dat land ook. Dit werkt prima!

Samenvatting: Bepaalde landen toestaan werkt niet, bepaalde landen blokkeren werkt wel.

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 04 oktober 2019, 21:42:23
Bepaalde landen toestaan werkt zeker wel. Verbindingen uit deze landen zullen dan niet geblokkeerd worden en dat is de enige opdracht die je daarmee geeft.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Jos van Zanten op 04 oktober 2019, 21:45:43
Maar als ik in de landenlijst Nederland toesta, dan laat hij Nederland toe maar dat doet hij ook zonder dat ik dat aangeef.
Alle andere landen blokkeert hij blijkbaar niet. Ik ging er van uit dat hij dan Nederland toestaat en de rest blokkeert.

Ergens maak ik dus een denkfout........
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 oktober 2019, 22:01:59
Citaat
Ik ging er van uit dat hij dan Nederland toestaat en de rest blokkeert.
Als je daarna de regel toevoegt met TCP/UD) en 4x alles en dan weigeren, dan zit je goed.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 05 oktober 2019, 09:41:14
Nog niet, want je lan wordt niet als Nederland gezien. Kan ook niet want een lan in China ziet er net zo uit.

De regels doen precies wat je instelt, maar ook niet meer.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 05 oktober 2019, 10:02:18
Een connectie van buitenaf wordt nooit als IP uit een LAN-reeks aangemeld.
Dus je bent er wel met die toevoeging van die laatste regel.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 06 oktober 2019, 10:23:02
Ik lees net dat QNAP eergisteren een waarschuwing gegeven heeft voor de Muhstik-ransomware aanval op hun nas systemen. (Bron (https://www.qnap.com/en/security-advisory/NAS-201910-02)) Als ik het zo lees, denken ze dat het via zwakke wachtwoorden bij het phpMyAdmin pakket loopt.

De kans lijkt me groot dat dit dan ook voor de Synology nassen met phpMyAdmin geldt  pakket. Hackers pakken zoveel mogelijk systemen mee als het iets universeels is. Het is ook heel lastig een regio blokkade op dat pakket te zetten zonder dat dit dan voor al je websites geldt.

Edit: "Muhstik" is blijkbaar een botnet dat al enige tijd bestaat en linux systemen infecteert met allerlei mallware. o.a. cryptominers en ddos aanvallen. Deze ransomeware is weer een nieuwe toevoeging aan dit botnet.

En botnets blijven een probleem omdat internet providers te laks zijn met het afsluiten van klanten die hun beveiliging niet op orde hebben. Of zelf routers aan hun klanten geven die onveilig zijn (beveiligingslek in Connect Box (https://www.heise.de/security/meldung/Unitymedia-Fatale-Sicherheitsluecke-in-Millionen-Routern-4544886.html). Ziggo heeft wel al aangekondigd (https://www.totaaltv.nl/nieuws/ziggo-connectbox-internetmodem-krijgt-nieuwe-firmware-vanwege-veiligheidslek/) dat er snel een update komt.)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Vhond op 01 november 2019, 16:36:31
En nu echt een issue: Qnas malware infecteert duizenden systemen (https://tweakers.net/nieuws/159368/qsnatch-malware-infecteert-duizenden-nas-systemen-van-qnap.html)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 01 november 2019, 16:46:38
Ondanks het Qnas is, de URL werkt niet.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 01 november 2019, 18:20:48
De malware heet niet Qnas maar Qsnatch en lijkt alleen voor nassen van het merk Qnap geschreven te zijn.

Ik lees overigens liever de beschrijving op security.nl (https://www.security.nl/posting/629664/Duizenden+NAS-systemen+QNAP+besmet+met+malware). Tweakers weet blijkbaar al dat het een virus betreft, terwijl de experts nog niet eens weten hoe het op de nas komt. rara. waar haalt twaekers die kennis vandaan? Het kan b.v. ook een trojan zijn die zelf geïnstalleerd wordt met een besmet pakket of de malware wordt via remote aanvallers op de nas gezet.

Lees ook dit: Qsnatch verwijderingstool (https://www.security.nl/posting/630041/QNAP+komt+met+verwijdertool+voor+Qsnatch+NAS-malware)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: maikell op 14 mei 2020, 20:07:51
wat moet ik dan doen om mijn nas beter tebeveiligen kan ik zo maar een wacht woord veranderen zonder in problemen te komen


Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 14 mei 2020, 20:11:44
Beter dan een nog sterker wachtwoord is het aanzetten van 2-factor authenticatie. Sterke wachtwoorden kunnen ook door keyloggers onderschept worden. Bij 2FA heeft de 'inbreker' ook nog je extra device nodig.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 14 mei 2020, 20:36:02
Citaat
kan ik zo maar een wacht woord veranderen zonder in problemen te komen
Uiteraard kan dat..... en lees ook:
Hoe de beveiliging van uw Synology NAS verbeteren.  (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Management/How_to_add_extra_security_to_your_Synology_NAS)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: J.Einmahl op 15 mei 2020, 19:32:02
Hoi,

Een tijdlang heb ik ook last gehad van die BruteForce aanvallen. Zie bijlage.
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.
Weet jij waar ik die functie zit ?

Alvast bedankt

Groet Jos
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 15 mei 2020, 20:29:57
Opschonen zou ik dan juist NIET doen.  Weet je mogelijk waar vandaan.
Want je hebt kennelijk je beveiliging slecht geregeld.

Kijk eens naar het volgende onderwerp en aanbevelingen daarin:
https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: J.Einmahl op 15 mei 2020, 20:43:51
Ik begrijp je reactie. Dat mijn beveiliging slecht geregeld was, was idd zo.
Maar dat is inmiddels al meer dan 7 maanden geleden opgelost.
Vandaar dat ik die lijst met meer dan 11000 meldingen toch eens zou willen opschonen  :)


Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 15 mei 2020, 21:06:44
En wat stellen die 11.000 meldingen nu voor? Voor een logbestand is dat peanuts. Mailserver maakt bij mij elke paar maand een logbestand met 30.000 entries.
Is maar 30 MB groot en als je archieven gecomprimeerd opslaat is dit 0,6 MB (Tekst is sterk te comprimeren). Qua opslagcapaciteit stelt het niets voor.

Opschonen is misschien belangrijk bij bedrijven die een een AVG moeten voldoen. Dan kan het zijn dat je bepaalde etries maar 6, 12 of 24 maand mag bewaren. (Maar van die regels heb ik geen kaas gegeten)

Citaat
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.

De locatie heb je zelf opgegeven en kunnen wij dus ook niet weten.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 15 mei 2020, 21:23:22
Volgens mij worden die meldingen uit het Log Center gehaald.
Daar kun je opschonen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 15 mei 2020, 23:08:01
Nee, dit staat los van Log Center. Het wordt ook in een ander formaat opgeslagen. Wat dat betreft maakt Synology er een rommeltje van door niet alles op een consistente plek te loggen.

Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor. En zolang je de logboeken kunt lezen, zal dat pad ook nog correct zijn.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 16 mei 2020, 12:09:56
Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor.
TS laat zien Security Advisor > Aanmeldanalyse, dat is wat anders dan het laten zien van een Rapport opgeslagen in Raportinstellingen > Opslaglocatie.

Ik heb getest, een aantal keren fout ingelogd, SA laat zien dit dan ook zien:
[attachimg=1]

In het Log Center:
[attachimg=2]

Als ik nu in het Log Center > Logboeken > verbinding kies en op Wissen klik, dan zijn alle verbindings- meldingen weg.
Echter, als ik SA weer laat scannen, dan blijft de melding bestaan in Security Advisor > Aanmeldanalyse.

Ben verder gaan testen en zoeken en wat blijkt, de data wordt uiteindelijk opgeslagen in /volume1/@database/synologan/alert.sqlite
Mbrute_force_attackBruteForceAttack2020/05/16 10:17:28{"attempt_count":10,"country_code_list":[],"has_any_public_src_ip":false,"protocol_list":["DSM"],"src_ip_list":["192.168.1.7"],"thresh_minutes":5,"user":"test"}
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Opschonen kan dus niet, tenzij je met SQL die regels verwijdert uit die database maar, daar zou ik dus zeker niet aan beginnen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 16 mei 2020, 14:23:23
Helemaal snappen doe ik die aanmeld analyse niet. Er staan bij mij slechts 37 entries over de periode december 2018 t/m januari 2020. Via logboeken zie ik er heel veel meer staan en de meldingen uit de analyser mis ik er juist.  ::)
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 16 mei 2020, 22:00:05
Ben toch even een stapje verder gegaan maar, als je die meldingen toch wilt verwijderen, dan kan je de Database verwijderen in PuTTY (https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/):
rm /volume1/@database/synologan/alert.sqliteJe moet natuurlijk wel root zijn.

REBOOT de NAS en de Database wordt opnieuw gemaakt, dus de meldingen zijn daarmee weg. ;D
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 12:31:37
Hallo ik weet niet of ik hier goed zit, maar ik ben gehackt met ransomware in mijn nas.
Al mijn bestanden zijn encrypted.
wat te doen nu?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: André PE1PQX op 02 september 2020, 13:10:20
In geen geval betalen!

Als je een remote backup hebt, dan de geraakte NAS resetten en opnieuw installeren, en backup terug zetten.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 02 september 2020, 13:12:24
Zie hier voor een recente aanval.  (https://www.synology-forum.nl/firmware-algemeen/gegevensintegriteitsbescherming/)
Advies, terug naar fabrieksinstellingen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:16:17
Remote back up??
heb allen 2 schijven in mijn nas .
zijn beide dan geblokkeerd?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:19:17
is er echt geen andere manier om mijn foto's te redden wat in mijn nas zit?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:21:49
is dat hyper backup  ?
Die had ik wel geinstalleerd.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 02 september 2020, 13:29:32
Kun je dat programma wel geïnstalleerd hebben, maar heb je dat programma ook gebruikt?
En belangrijker ook daadwerkelijk elders, of op een ander apparaat die data van je NAS als back-up opgeslagen?
(Andere NAS, losse USB-schijven, cloud,.... ?).
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 02 september 2020, 13:31:54
Als je een Hyper Backup hebt, los van je NAS, dan kan je die restoren nadat je terug gegaan bent naar fabrieksinstellingen en DSM hebt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:33:04
Nee helaas niet gebruikt wou dat nog doen.
Maar helaas te lang ermee gewacht.
ik heb alleen 2 schijven erin .
Had dit totaal niet zien aankomen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 02 september 2020, 13:33:10
In geen geval betalen!

Als je een remote backup hebt, dan de geraakte NAS resetten en opnieuw installeren, en backup terug zetten.
Eerst checken of de backup niet evengoed encrypted is ... als die ransomware er al 30 dagen op zit en al je "versies" zijn versleuteld is het allemaal verloren tijd om de backup terug te zetten ... dan volstaat een volledige system re-install !

Het zijn vijgen na Pasen maar het zou nuttig zijn als je begrijpt hoe dit is kunnen gebeuren. Is de NAS *zelf* gecompromitteerd geraakt of is het een "file share" (netwerkdrive) die versleuteld is omdat een bepaalde Windows PC thuis de besmetting heeft opgelopen. Groot verschil.

Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:34:11
zijn beide schijven dus geinfecteerd?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 02 september 2020, 13:35:05
Nee helaas niet gebruikt wou dat nog doen.
Maar helaas te lang ermee gewacht.
ik heb alleen 2 schijven erin .
Had dit totaal niet zien aankomen.
Dan vrees ik ervoor...
Is die NAS toegangkelijk geweest vanaf Internet voor dingen (websites, domotics, ...) ? Of doe je enkel een "netwerk-station" voor Windows PC's thuis om dingen op de zetten zoals foto/film ?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 02 september 2020, 13:36:18
Denkelijk wel, de 2 schrijven zullen standaard "in mirror" draaien dus exacte copies van elkaar zijn.
rotzooi op de ene is rotzooi op de andere.

Je moet eens kijken onder je storage of je een "SHR" (met gegevensbescherming) het geconfigged, ik denk het standaard wel.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:38:34
Had helaas admin aan en van buiten toegankelijk inderdaad om mijn films en foto's te bekijken.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:39:36
Heb nu wel de poort dicht gegooid in mijn modem
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 13:42:19
waar vind ik storage shr?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 02 september 2020, 13:44:20
Auwch ... dan toch nog straf dat ze het password kunnen "gokken" hebben ... was het een complex password ?
Rechtstreeks op de NAS binnengekomen dus ... hmm .. spijtig idd, maar je moet alles als verloren beschouwen ... betalen zou ik niet doen, maar dat moet je zelf overwegen.

"admin" user moet je DISABLEN en een nieuwe maken voor beheer te doen met een COMPLEX password. Onmiddelijk 99.99% minder kans op dit soort dingen...
Verder zijn er nog verschillende stappen die je kan doen om veilig te werken. Het risico naar "0" brengen is onmogelijk, maar de kans zal zo wel héééééél klein worden.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 02 september 2020, 13:46:26
Zou toch ook de rest van de systemen thuis nalopen (PC's e.d.), zoals eerder (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg287812/#msg287812) door  @DSGebruiker  voorgesteld.

Vorig jaar een kennis van mij (https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271146/#msg271146), zo ongeveer alle data van zijn NAS encrypted (DSM zelf niet),
via zijn Windows laptop waar het meeste ook van was encrypted.

Bij elkaar pakweg 10-12 Terrabyte aan data weg. Nu waren dat het merendeel films, maar toch....
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 14:02:49
Heb ik gedaan.
Weet bijna zeker dat het alleen om de nas gaat.
Is er helemaal geen oplossing om dit te herstellen behalve betalen, wat ik uiteraard niet ga doen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Babylonia op 02 september 2020, 14:08:06
Nee, helaas geen oplossing voor.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 02 september 2020, 14:08:12
Het is onherstelbaar.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 14:12:55
nou bedankt voor jullie hulp in ieder geval.
Dit is zwaar kl....te
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 02 september 2020, 14:15:39
Nogmaals, ga ook naar de gegeven link in Reactie #240, en vind daar ook de links voor de nodige beveiligingen, nadat je de NAS opnieuw hebt geïnstalleerd.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 02 september 2020, 15:52:14
Inplaats van het systeem opnieuw op de bestaande schijven te herinstalleren, kun je dat ook op nieuwe doen en de oude opzij leggen.

Regelmatig maken die hackers toch fouten waardoor er (soms jaren) later toch de-cryptie mogelijk blijkt. Of worden de servers gevonden waar de hackers de decryptiesleutels opgeslagen hebben. Maar het zijn steeds vaker uitzonderingen dat dit op den duur lukt.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: pappa123 op 02 september 2020, 17:09:08
Ik heb inderdaad dat maar gedaan.
zojuist een nieuwe externe hhd gehaald, en alles daarop gekopieerd.
Ik heb dat met hetzelfde idee gedaan.
Misschien ooit later, dat ik dit alsnog kan herstellen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Helga op 04 september 2020, 15:42:29
"admin" user moet je DISABLEN en een nieuwe maken voor beheer te doen met een COMPLEX password. Onmiddelijk 99.99% minder kans op dit soort dingen...

Ik ben net begonnen met mijn NAS en schrik dus enorm van deze post. Het klinkt voor mij alsof ik nu mijn bestanden blootstel aan allerlei ransomware én personen die van buitenuit mijn files kunnen benaderen.

Ik probeer alles te snappen maar kom er niet helemaal uit. Sorry, weer een beginner die hulp nodig heeft...

Ik heb naast Admin een gebruiker aangemaakt die ook in de administrators-groep zit. Voor Admin heb ik na de eerste installatie alle rechten van lezen/schrijven op uit gezet, maar in tegenstelling tot de guest-gebruiker gaat deze niet op 'uitgeschakeld'. Ik zie ook geen vakje wat ik ervoor kan aantikken, het vakje 'automatisch uitschakelen na xxx tijd' is bij Admin grijs.

Portforwarding snap ik helemaal niet dus daar ben ik verder van afgebleven, ben bang dat ik mijn router in de soep gooi en nergens meer bij kom. Ik ben nog hard aan het zoeken naar een Jip-en-Janneke uitleg voor portforwarding. Jip en Janneke hielpen me al geweldig met de eerste instellingen dus misschien kan ik pf dan ook nog aanpassen.

Maar is mijn Admin-account nu voldoende geblokkeerd om voorlopig bij een aanval van buitenaf niet via Admin het boeltje te kunnen benaderen of kidnappen? Of moet ik nog wat anders doen?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 september 2020, 15:58:46
Citaat
Voor Admin heb ik na de eerste installatie alle rechten van lezen/schrijven op uit gezet
Niet knoeien met rechten, maar admin uitschakelen.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: DSGebruiker op 04 september 2020, 16:42:52
Maak gewoon een nieuwe gebruiker aan vb "beheerderhelga" en zet deze in de "admin" groep met complex password.
Daarna kan je dan vb "admin" en "guest" effectief UITSCHAKELEN (nadat je gaat inloggen met de nieuwe admin-gebruiker) zodat er nooit met deze standaard "admin" of "guest" gebruiker ingelogd kan worden.

Als je geen "portforward" heb van Internet (=buiten) naar binnen is het risico al direct 99.99% minder. Echter, er kan nog steeds iets op de PC sluipen natuurlijk dat iets gaan proberen te doen.
Zorg ook voor "autoblok" dat je niet oneindig kan proberen in te loggen, vb na 3x op de zwarte lijst gooien voor 1uur ofzo. Is ook weeral hééél wat veiliger.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Helga op 04 september 2020, 16:52:34
Ha, die optie zag ik dus niet. Logisch, ik zat nog in Admin en die kan zichzelf niet uitzetten.

Ingelogd via de andere admin-user en nu is dat in ieder geval gelukt. Daar is niet meer langs bij de NAS te komen.

De DDoS beveiliging heb ik aan en ook autoblokkering, maar minimum IP-blokkering is 1 dag. Is het nog zinvol de Accountbeveiligingen ook in te schakelen?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 04 september 2020, 18:00:33
Citaat
maar minimum IP-blokkering is 1 dag
Voor altijd is beter.
Belangrijker is hoeveel pogingen in een bepaalde tijd, 3 pogingen per 5 min. bijvoorbeeld.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Robert Koopman op 04 september 2020, 20:04:23
3 pogingen in 5 minuten is nog ruim.
Ik had 3 pogingen in 185 minuten.
Ik zag ze voorbijkomen met één poging per 45-60 minuten.
Nu blokkeer ik al na één foute inlogpoging.
Bekende externe ip adressen staan op de whitelist.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: André PE1PQX op 04 september 2020, 20:53:45
Ander dingetje wat van belang kan zijn is het blokkeren van alle landen behalve Nederland en landen waar je geregeld eens komt, Duitsland en/of België bijvoorbeeld. (wel eens handig als je in de grensstreek woont)
Indien gebruik van Let's Encrypt certificaten, dan ook de USA NIET blokkeren.

Reden val deze blokkade idee is dat veel, heel veel hack pogingen uit landen als Rusland, China en andere 'nare' plekjes op de wereld komen.
Dergelijk landen wil je er gewoon niet in hebben, simpel.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Briolet op 04 september 2020, 22:10:59
Citaat
Indien gebruik van Let's Encrypt certificaten, dan ook de USA NIET blokkeren.

USA kun je rustig blokkeren, zolang je poort 80 maar doorlaat.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: André PE1PQX op 04 september 2020, 22:58:51

USA kun je rustig blokkeren, zolang je poort 80 maar doorlaat.
Gaat niet werken... Let's Encrypt komt vanuit de USA en heeft ook poort 443 nodig om je nas te verifiëren voor het certificaat.
Ik heb hiermee fors zitten worstelen om dat certificaat voor elkaar te krijgen. USA toestaan en poorten 80 en 443 open zetten en het was zo geregeld.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: roze op 10 december 2021, 13:57:21
Ik krijg van de NAS een melding m.b.t. de beveilig van het beheersaccount.

Het advies is om het Admin account uit te schakelen.

Ik heb een nieuw account aangemaakt met alle rechten. Het verwijderen van het admin account lukt me niet. Ook na opnieuw opstarten en inloggen met het nieuw account wordt de optie <verwijderen> niet actief. Wat zie ik over het hoofd?
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: André PE1PQX op 10 december 2021, 14:03:12
'admin' kan ook niet verwijderd worden. Eenvoudig uitschakelen voldoet.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: roze op 10 december 2021, 14:04:42
TOP.
Titel: Re: Synology geeft waarschuwing voor ransomware aanval.
Bericht door: Birdy op 10 december 2021, 14:15:18
Het Account admin moet namelijk blijven bestaan als redmiddel om toch op de NAS te kunnen geraken na een Modus 1 reset (https://kb.synology.com/nl-nl/DSM/tutorial/How_to_reset_my_Synology_NAS).
Vandaar dat het Account admin niet verwijderd kan worden.