Synology geeft waarschuwing voor ransomware aanval.

[Hofstede]

Tuurlijk komt er geen decryptor van Synology. Want er zijn zoveel verschillende ransomwares.  Het is niet één specifieke ransomware. En allemaal genereren ze andere sleutels.
Het enige dat Synology heeft gezegd is dat ze een duidelijke toename van besmettingen waarnamen en dat je daarom je beveiliging op orde moet hebben.
Je moet zelf uitzoeken van welke ransomware je last hebt en hopen dat er een oplossing voor is. Ervaring leert dat dat meestal niet zo is.

En de ransomware kan nog steeds op je computer staan. Dat het stopt als je de NAS netwerkkabel lostrekt zegt niks. Als de ransomware op de NAS staat zou hij juist vrolijk doorgegaan zijn met encrypten.
Met andere woorden: Je kunt geen enkele computer op je netwerk vertrouwen en je zult ze allemaal moeten controleren en “ontsmetten”.

[Briolet]

Door het aanraden van het simpele uitvinken van een admin user hadden heel wat users problemen kunnen vermijden.

Maar ze raden ook al lang aan om Factor-2 authenticatie te gebruiken. Dan was er ook geen probleem.

De security advisor raad ook aan om de standaard poorten aan te passen. Dat helpt vaak ook. Bij deze aanval in elk geval.

[Birdy]

Als je een Synology Account hebt, dan ontvang mails van Synology over dit soort gevallen, die heb ik namelijk ook gehad, zie hier aan het begin van dit Topic.
Daar verwijzen ze ook naar, hoe je je beter kunt beveiligen.

[G-Boy]

Je geeft aan dat je alle PC's moet 'ontsmetten'. Wel onze eerste reactie was natuurlijk om extra virus & malware scanners in te zetten op ALLE toestellen (waar mogelijk natuurlijk) in mijn netwerk om zo alles te 'cleanen'

Dus na een halve dag scannen hebben we dus nul komma nul infecties gevonden.... Dat is pas om het haar uit uw hoofd te trekken!!!

Vandaar dat mijn netwerk service provider hier alles in het werk aan het stellen is om toch maar te achterhalen wat het probleem veroorzaakt zou kunnen hebben. Maar na 2 weken zoeken is er nog steeds geen uitsluitsel, terwijl er wel iemand continu mee bezig is en ik zelfs als tegemoetkoming hier geen kosten moet voor dragen (wat ik al heel mooi vind!)

[Briolet]

Dus conclusie is dus wachten tot Synology komt met een decryptor? Of zijn er nog andere opties?

Als de ransomeware goed versleuteld is, dan valt er niets te decrypten en blijft alleen het terugzetten uit een backup over.

In de gevallen dat er een tool voor bestaat, komt het omdat de ransomewere slecht geschreven was of dat zij de sleutel niet goed opgeborgen hebben. Soms komt zo'n sleutel nog maanden later boven water als er ergens een server met sleutels gevonden wordt. Bij 'goede' ransomeware heeft elke besmette PC een eigen unieke sleutel nodig.

Maar laatst is er weer ransomeware opgedoken die beweerde dat er data versleuteld was, terwijl de inhoud gewoon met nullen overschreven was.  Daar is nooit iets te decrypten. Ook niet door de daders zelf.

Als je een Synology Account hebt, dan ontvang mails van Synology over dit soort gevallen

Ik heb er nog nooit een mail over gehad terwijl ik normaal wel mail van Synology krijg.

[Birdy]

Ik heb er nog nooit een mail over gehad terwijl ik normaal wel mail van Synology krijg.

Je moet je er wel op abonneren in Profiel > Communicatie.

Voorbeeld:

[Hofstede]

Ik heb de waarschuwing via twee routes gehad.  Twitter en e-mail.
En ik heb het ook nog eens op dit forum gepost.....

[T430user]

Misschien een domme vraag maar kun je via QuickConnect.to ook een ransomware aanval verwachten en wat kun je daar dan tegen doen?

[Briolet]

Niet via die domeinnaam, maar als er ook poorten open staan wel. Maar dat heeft dan niet direct met QC te maken. QC zonder portforwarden is veiliger, maar met portforwarden is het sneller. Dat is een keuze die je maakt.

Advies blijft om sterke wachtwoorden te gebruiken, maar vooral om factor-2 inloggen in te schakelen. Beide adviezen gelden voor alle belangrijke accounts (DigiD, Gmail, iCloud etc)

[Wyodor]

Ik betwijfel of ze je QuickConnect URL weten.

[T430user]

QC account heb ik inmiddels wat complexer gemaakt, wat 2-traps verificatie betreft, ik ben de enige die op die manier contact met het diskstation maak, is dat dan nog nodig?

Edit
Ik gebruik geen portforwarding.

[Babylonia]

Zoals eerder in het onderwerp naar voren komt, kan de ransomware ook vanuit je netwerk "vanaf een PC" zijn werk doen, vanuit de "open" shares en connectie met een PC.  Er is dan helemaal geen connectie van buitenaf "rechtstreeks" naar de NAS.
O.a. al wat oudere informatie over vergelijkbare "WannaCry"

"DSM zal niet worden getroffen aangezien WannaCry enkel Microsoft Windows-systemen viseert. Als het echter gekoppeld is aan een aan Windows toegewezen netwerkstation met ingeschakelde schrijfmachtiging, loopt Synology NAS het risico om te worden gecodeerd."

[Briolet]

…wat 2-traps verificatie betreft, ik ben de enige die op die manier contact met het diskstation maak, is dat dan nog nodig?

Bij één persoon is het net zo zinvol.

Je kunt echter instellen om bekende apparaten te vertrouwen. Dan slaat hij de karakteristieken van de combinatie app/toestel op en vraagt na de eerste succesvolle inlog niet meer om de beveiligingscode. Alleen als de inlog-app een update krijgt of er veranderd iets anders aan het toestel, dan moet je die code weer een keer gebruiken.

Als je vertrouwde apparaten laat onthouden, hoef je die factor-2 code maar zelden in te tikken.

[T430user]

Een opmerking nog, wanneer ik de 2-trap's verificatie wil instellen dan moet ik ergens 6 cyfers invullen maar na inlezen q-code heb ik 13 letters en cyfers  door elkaar in beeld staan, welke 6 cyfers zijn dan daarvan geschikt ?

[Babylonia]

Dan heb je iets niet goed gedaan. Gewoon even opnieuw instellen.