Auteur Topic: Synolocker  (gelezen 12827 keer)

Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Synolocker
« Gepost op: 03 augustus 2014, 21:12:16 »
Met het risico dat dit topic al bestaat (kon het niet vinden) - Het lijkt erop dat mijn Synology besmet is met een soort ransom ware: Synolocker

De standaard login pagina vertoont nu een melding dat alle bestanden ge-encrypt zijn en dat er betaald moet worden voor decryptie. Op Google is er bar weinig over te vinden, dus ik hoop dat er iemand op dit forum is die mij kan helpen.

De volledige melding hieronder:

______________________________________________________________

SynoLocker™

Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography



List of encrypted files available here.

Follow these simple steps if files recovery is needed:
1.Download and install Tor Browser.
2.Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
3.Login with your identification code to get further instructions on how to get a decryption key.
4.Your identification code is <deleted>
5.Follow the instructions on the decryption page once a valid decryption key has been acquired.


Technical details about the encryption process:
•A unique RSA-2048 keypair is generated on a remote server and linked to this system.
•The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
•A random 256-bit key is generated on this system when a new file needs to be encrypted.
•This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
•The 256-bit key is then encrypted with the RSA-2048 public key.
•The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
•The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
•The encrypted file is renamed to the original filename.
•To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
•Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
•When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.


Copyright © 2014 SynoLocker™ All Rights Reserved.


Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Re: Synolocker
« Reactie #1 Gepost op: 03 augustus 2014, 21:31:25 »
Vervolg: de ransom is 0,6 bitcoin, ongeveer 400 USD.

_______________________________________


SynoLocker™
Automated Decryption Service
6 days, 11 hours, 9 mins, 26 secs
PRICE OF DECRYPTION KEY DOUBLE WHEN COUNTDOWN EXPIRE

To decrypt your files you need to buy a unique decryption key that is linked to your identification code.

The only accepted payment method is Bitcoin.

Visit the help page if you need information on how to purchase and send a Bitcoin payment.

Follow these simple steps to get your decryption key:

    Send 0.6 BTC to this Bitcoin address: 1QFwchSD4Ykq6Z7YSTVBsoppcxfKVb4Vk
    Once the payment has been processed, the RSA private key will be available on your home page within ~1 hour (6 Bitcoin network confirmations).
    Get the link to the decryption page on your Synology NAS index.html page. Default is http://IP_ADDRESS:5000/redirect.html
    Copy and paste the RSA private key into the decryption page form then hit the submit button.
    After a short delay the webpage will start displaying the decryption progress.
    Contact support if you face any issues with the decryption process.


Copyright © 2014 SynoLocker™ All Rights Reserved.



Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Synolocker
« Reactie #3 Gepost op: 03 augustus 2014, 21:41:32 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Synolocker
« Reactie #4 Gepost op: 03 augustus 2014, 21:44:38 »
Weet je uit je hoofd of je SSH Terminal hebt aanstaan ?

Je zou dan met PuTTY of WinSCP eens een kijkje kunnen nemen of het inderdaad encrypted is:

Complete procedure:

WinSCP:
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.
2 - Download: http://winscp.net/eng/download.php
3 - Installeer WinSCP
4 - Start WinSCP klik op nieuw
5 - Bestandsprotocol: SCP
6 - Adres doelcomputer: <NAS-IP>
7 - Poortnummer: 22
8 - Gebruikersnaam: root
9 - Opslaan
10 - Inloggen (Password van je admin)

PuTTY:
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.
2 - Download putty.exe
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
3 - Start putty.exe
4 - Geef je IP-adres van je NAS op
5 - Zorg dat SSH aangeklikt is
6 - Save....geef een naam in "Saved Sessions"
7 - Klik op Open
8 - Je krijgt Putty scherm met "login as:"
9 - Geef in: root <enter>
10 - password: <Admin password> <enter> (PS: je ziet de cursor niet verplaatsen).

- Is jouw data op /volume1 leesbaar ?
- Gebruik dan WinSCP om je belangrijkste files te copieeren.



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Re: Synolocker
« Reactie #5 Gepost op: 03 augustus 2014, 21:55:03 »
Dank Birdy voor je uitgebreide reacties. De links had ik ook al gevonden, maar dat stemde me niet bepaald vrolijk.

Ik zal eens kijken of ik met SSH iets kan. De bestanden zijn ook via explorer wel zichtbaar, maar helaas niet te openen. Lijkt inderdaad encrypted.
Overigens lijkt dit een vrij recent iets, ik raad iedereen dan ook aan om maatregelen te nemen.
Mij viel vanmiddag op de de NAS behoorlijk stond te ratelen, ik dacht een Virusscan. Had ik maar gelijk gekeken. Pas toen ik een film ging kijken en deze haperde viel het RAMverbruik pas op. Na de herstart kon ik er niet meer in.

Man wat balen. Foto's van de kinderen waarvan sommige de enige kopie....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Synolocker
« Reactie #6 Gepost op: 03 augustus 2014, 22:04:43 »
Dit is een zeer recent geval heb ik gezien op het web en je wordt daar zeker niet vrolijk van  :twisted:

Je zou het in ieder geval moeten melden bij Synology:
http://www.synology.com/nl-nl/support/security

En ook via Support, misschien dat men daar een oplossing hiervoor kan vinden/maken:

Synology Ticket:
https://myds.synology.com/support/support_form.php?lang=nld

Of als je DS is geregistreerd of wilt registreren en dan een ticket:
https://myds.synology.com/support/register.php?lang=nld

Of als je wilt bellen:
http://www.synology.com/nl-nl/company/office_location


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Synolocker
« Reactie #7 Gepost op: 03 augustus 2014, 22:12:09 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Re: Synolocker
« Reactie #8 Gepost op: 03 augustus 2014, 22:14:54 »
Thanks Birdy

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: Synolocker
« Reactie #9 Gepost op: 03 augustus 2014, 22:28:58 »
Kun je aangeven wat je allemaal "open" had staan richting internet? Poorten e.d.?

Offline masterblaster

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 7
  • Berichten: 50
Re: Synolocker
« Reactie #10 Gepost op: 03 augustus 2014, 22:34:09 »
Tjeemig, dat zuigt echt apeballen. Zoveelste reden om echt belangrijke files (fotos, home videos) alleen offline te bewaren.
  • Mijn Synology: DS1512+
  • HDD's: 3x WD30EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Synolocker
« Reactie #11 Gepost op: 03 augustus 2014, 22:45:23 »


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Synolocker
« Reactie #12 Gepost op: 04 augustus 2014, 08:05:24 »
Tjeemig, dat zuigt echt apeballen. Zoveelste reden om echt belangrijke files (fotos, home videos) alleen offline te bewaren.

Ik zou dat anders willen formuleren: een van de redenen dat je altijd moet zorgen een backup te hebben.


Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Offline Heppieboeddah

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 36
  • Berichten: 387
Re: Synolocker
« Reactie #13 Gepost op: 04 augustus 2014, 08:56:35 »
Kun je aangeven wat je allemaal "open" had staan richting internet? Poorten e.d.?

Daar ben ik dus ook wel benieuwd naar. Zie ook mijn bijdrage in http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/
 

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: Synolocker
« Reactie #14 Gepost op: 04 augustus 2014, 09:08:06 »
Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.
Maar is afwachten tot er meer details bekend zijn.


 

LET OP: NAS HACK: Synolocker actief.

Gestart door BirdyBoard Synology DSM algemeen

Reacties: 565
Gelezen: 181300
Laatste bericht 05 september 2014, 21:42:59
door Kwazie
Houdt dit ook verband met de synolocker?

Gestart door Erwin1Board The lounge

Reacties: 1
Gelezen: 1103
Laatste bericht 17 september 2015, 16:50:55
door Briolet
LEK?! Synolocker - Cryptolocker voor NAS ?

Gestart door KohenBoard Synology DSM 5.1 en eerder

Reacties: 4
Gelezen: 3440
Laatste bericht 04 augustus 2014, 14:17:57
door Birdy
Update mbt. Synolocker

Gestart door BjörnBoard Synology DSM algemeen

Reacties: 39
Gelezen: 18595
Laatste bericht 06 augustus 2014, 14:32:35
door Björn