data recovery ds 412+

[klen]

Ik zou toch maar eens een data recovery buro inschakelen. Je kan altijd een quote laten maken.

[Briolet]

- we kunnen niet of heel moeilijk checken welke bestanden het nog doen ( omdat computer bij benaderen nas vaak vast loopt). het lijkt erop dat bv vectorworks bestanden het nog wel doen.

Als Synology op je nas ingelogd heeft en beweerd dat dit Synolocker is, lijkt me dat toch waar. Alle encrypted bestanden hebben een specifieke tekst string in de file staan waarmee je ze eenduidig kunt herkennen. Als je het Synolocker draadje op dit forum doorleest, vind je op een van de laatste pagina's zelfs een paar regels code die een mooie listing van alle geïnfecteerde files geeft.
Ik zou beginnen om zo'n beschadigd bestand met een tekstverwerker te openen en dan die specifieke string te zoeken. Het wel/niet aanwezig zijn zal direct meer duidelijkheid geven.

Synolocker tast alleen files met specifieke extensies aan. Het kan dus goed zijn dat hij  dan van alle vectorworks files afgebleven is.

[Handige Harry]

Vind het al met al een raar en vreemd verhaal.
Maar zeer zeker vervelend voor TS.

Maar lijkt wel of het de ene keer duidelijk probleem A is en dan ineens toch misschien probleem B of toch nog C.

Hoop dat er snel een oplossing komt iig.
Succes dus

[Babylonia]

Er blijven een aantal vragen staan waardoor ik twijfel of het synolocker is.
- voor de vakantie ( 6 aug) deed alles het prima
- na de vakantie blijkt de dsm software weg

DSM verdwijnt niet zomaar. Vraag:
Heeft de NAS tijdens de vakantie gewoon aangestaan, of zijn alle systemen uitgeschakeld geweest?
Bij het laatste, en dan na opnieuw inschakeling van netwerk / routers etc. na de vakantie zou de NAS een ander IP-adres hebben kunnen krijgen (door DHCP ??). DSM "weg" of simpelweg niet bereikbaar door veranderde IP e.d. zijn twee totaal verschillende zaken.

- nu het opnieuw installeren van de dsm volgen alle problemen.

Wie is begonnen met het opnieuw installeren van DSM. Uitbesteed aan "Apple Lab" of door jullie zelf uitgevoerd??

- buiten dat de bestanden beschadigd zijn is de nas ook zo goed als niet bereikbaar, computer loopt vast

Vreemd dat een computer vast loopt, is een zelfstandig draaiend systeem, staat los van een NAS.
Of je hebt wel of geen connectie met een NAS (of slechte connectie met haperende data-overdracht), maar lijkt me geen reden voor "vastlopen" van een computer.

- de nas werd gebruikt als server om ons werk op te zetten en bij mijn weten geen open poorten voor bv bit-torrents

Wel of geen bit-torrents, maakt niet zoveel uit. Was de NAS wel van buitenaf (vanaf internet) benaderbaar via de "normaal" daarvoor gebruikelijke poorten?

- we kunnen niet of heel moeilijk checken welke bestanden het nog doen ( omdat computer bij benaderen nas vaak vast loopt). het lijkt erop dat bv vectorworks bestanden het nog wel doen.

Gebruik je de NAS zodanig dat bestanden rechtstreeks vanaf de NAS geopend worden, of worden (werden) ze eerst lokaal naar de computer overgebracht, en lokaal vanaf de computer geopend?
Openen van bestanden "vanuit de NAS" kan nogal wel eens problemen geven met tijdelijke bestanden die op de NAS gegenereerd worden. Daar zijn genoeg draadjes hier op het forum van te vinden. Indien dat het geval is, kan ik me voorstellen dat de bestanden op de NAS corrupt worden. Zijn daarna niet meer normaal benaderbaar.
Ga je vervolgens die corrupte bestanden back-uppen zonder een historie van oudere bestanden, ben je de data (de nog wel werkende althans) erna "kwijt".

Mogelijk zat er een volledig verkeerde werkwijze aan ten grondslag hoe een NAS in te zetten?

[Patchie]

Misschien mosterd na de maaltijd.
Maar als je een nas installeert dan markeer ik altijd de schijven met een permenent stift schijf 1 tot schijf x.

Als je dan je nas offline haalt om hem stof vrij te maken, dan heb je dit soort problemen ook niet.
Haalt een "grapjas" je schijven eruit en stopt ze er in een andere vorm weer in dan kun je het simpel herstell.

Suc6

[supermarked]

Bad news. Het is def Synolocker. Zowel hoofdkantoor Synology als een data recovery bedrijf geven het aan.
Advies is NAS + harde schijven bewaren tot er misschien later een oplossing voor komt.

Erg zuur voor een NAS die we begin jan hebben gekocht. Zowel NAS als schijven kunnen we niet gebruiken maar moeten wel bewaard worden. Voor nu geld NAS + facturen hulp + 5 jaar werk weg. Er wacht ons niks anders dan wachten op een synolocker oplossing.

Het "mooie" is dat het data recovery bedrijf zelf alles via dropbox doen omdat het minder hack gevoelig is.

[Handige Harry]

@supermarked dat is geen goed nieuws. 
Hopen dat alsnog een sleutel boven water komt.

[Robert Koopman]

Balen!

Maar waarom mag je de NAS niet in gebruik nemen?
Nieuwe schijven erin kan toch niet het probleem zijn?

[Babylonia]

Erg zuur voor een NAS die we begin jan hebben gekocht. Zowel NAS als schijven kunnen we niet gebruiken maar moeten wel bewaard worden. Voor nu geld NAS + facturen hulp + 5 jaar werk weg. Er wacht ons niks anders dan wachten op een synolocker oplossing.

Inderdaad erg zuur. Maar zoals eerder aangehaald vraag ik me af of je het bedrijf wat je had ingehuurd om de NAS voor je in te regelen (Apple Lab) aansprakelijk kunt stellen voor de nu geleden schade?
Begin januari was de DSM versie reeds zodanig ge-update dat het was beschermd tegen de Synolocker Hack. Apple Lab heeft haar werk dan niet goed gedaan als men niet de laatste versie erop heeft gezet (bovendien een verouderd NAS-model), waar jij nu de dupe van bent.

[supermarked]

Is er ergens bekend welke software wanneer is vrijgekomen?
En vanaf welke update deze beveiligd was tegen synolocker.

We hebben pech met het virus maar er zijn ook de nodige fouten gemaakt voor, tijdens en na de hack die ik wil verhalen.

[Birdy]

In je « Reactie #10 Gepost op: 11 september 2014, 12:19:33 » zeg je dat dsm 5.0-4493 update 4 geïnstalleerd is op de DS412+ echter, was dat ook zo 3 maanden geleden toen je de NAS ter beschikking kreeg (zeg maar 11 juni).

De HAM vraag is natuurlijk, op welke versie zat jouw NAS omdat, toevallig of niet, DSM opnieuw was geinstalleerd begin (in ieder geval voor 11) September en DSM 5.0-4493 update 4 is van 26 Augustus.

Is er ergens bekend welke software wanneer is vrijgekomen?

Ja, hier.

En vanaf welke update deze beveiligd was tegen synolocker.

Hier kun je lezen over welke updates het gaat.

Echter, er zijn ook meldingen geweest op DSM 5, mij is op dit moment nog even niet duidelijk of dit meldingen waren van gebruikers die waren upgraded naar DSM 5 terwijl ze al besmet waren in DSM 4.

[Babylonia]

Ter aanvulling:
http://mysynology.nl/synology-stuurt-mail-rond-over-synolocker-ransomware/

Statement van Synology:
.....Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

Critical update packs zijn inderdaad terug te vinden in december 2013 voor "3810" DSM-versies
(binnen de betreffende mappen):    http://ukdl.synology.com/download/criticalupdate/update_pack/

Verder heb ik elders inderdaad wel gelezen dat bij infectie onder DSM 4.3 een update naar DSM 5.0 niet meer helpt.

Maar gezien het statement van Synology dat er in December 2013 reeds een patch/update was van DSM 4.3 die bescherming bood tegen de Synolocker Hack. Was de aan de TS geleverde NAS (januari 2014) in ieder geval dan niet voorzien van de laatste versie DSM 4.3 die door Apple Lab is geïnstalleerd / ingeregeld.

Verder is me niet duidelijk of Apple Lab tussendoor (na januari 2014) nog Systeembeheer services heeft uitgevoerd voor het bedrijf van de TS met de NAS. Is dat wel het geval, ook dan had het DSM nog naar een nieuwere versie ge-update kunnen zijn, alvorens de Synolocker Hack actief werd.
Bij service en update na besmetting, is het leed al geschied.