Auteur Topic: Opgepast!: Ransomware Locky  (gelezen 6470 keer)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: Opgepast!: Ransomware Locky
« Reactie #1 Gepost op: 19 februari 2016, 20:13:25 »
Je moet wel heel dom zijn om zoveel stappen te nemen (4) voordat Locky z'n slag kan slaan.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Stephan296

  • Gast
Re: Opgepast!: Ransomware Locky
« Reactie #2 Gepost op: 19 februari 2016, 20:15:01 »
Mee eens maar je hebt een hoop domme ganzen op de wereld; -)

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 524
  • Berichten: 2.719
  • a.k.a. MMD
Re: Opgepast!: Ransomware Locky
« Reactie #3 Gepost op: 19 februari 2016, 20:28:37 »
Dit gevonden:

In DSM: Configuratiescherm-->Bestandservices-->Geavanceerde instellingen--> Optie bestanden blokkeren
In dat veld:
/*.locky/toevoegen.
Dit zou voorkomen dat bestanden op de NAS encrypt kunnen worden.

Voor de rest van je machines op je netwerk kun je de IP`s en URL`s die hier vermeld staan blokkeren in de firewall:
http://blog.dynamoo.com/2016/02/malware-spam-rechnung-nr-2016131.html
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Phoenix77

  • Bedankjes
  • -Gegeven: 13
  • -Ontvangen: 24
  • Berichten: 238
Re: Opgepast!: Ransomware Locky
« Reactie #4 Gepost op: 19 februari 2016, 21:35:56 »
Wanneer ik
Citaat
/*.locky
invul krijg ik de melding dat een aantal van mijn instellingen ongeldig zijn.
/*.locky/ wordt wel geaccepteerd maar geen idee of dit werkt.

Andere vraag: Enkel gevaarlijk voor Windows gebruikers of zijn ook OSX gebruikers vatbaar?
  • Mijn Synology: DS214Play
  • HDD's: 2 WD30EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: Opgepast!: Ransomware Locky
« Reactie #5 Gepost op: 19 februari 2016, 22:35:16 »
In DSM: Configuratiescherm-->Bestandservices--> Optie bestanden blokkeren
Moet zijn: Configuratiescherm-->Bestandservices--> Geavanceerde instellingen > Optie bestanden blokkeren  ;)



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: Opgepast!: Ransomware Locky
« Reactie #7 Gepost op: 19 februari 2016, 22:56:03 »
Andere vraag: Enkel gevaarlijk voor Windows gebruikers of zijn ook OSX gebruikers vatbaar?
OSX kan toch geen .exe starten ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Opgepast!: Ransomware Locky
« Reactie #8 Gepost op: 20 februari 2016, 00:05:00 »
zijn ook OSX gebruikers vatbaar?

Op OSX kun je geen gedownloade uitvoerbestanden runnen. Je krijgt dan extra firewall vragen. In sommige gevallen moet je zelfs de firewall uitzetten om iets te kunnen runnen. Ik dacht dat zelfs het .docx bestand daar onder viel. Maar dat kan ook komen doordat ik nooit onder een admin account werk op mijn mac.

Apple slaat in de metadata op waar de files vandaan komen. Download of uit een e-mail heeft dan vaak een extra toestemming nodig.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Goner

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 134
  • Berichten: 965
Re: Opgepast!: Ransomware Locky
« Reactie #9 Gepost op: 20 februari 2016, 13:41:45 »
Dit zou voorkomen dat bestanden op de NAS encrypt kunnen worden.
Die optie heet op mijn engelstalige NAS zo te zien :

Veto files: Hides files according to specified criteria. Criteria can include wildcards (*), and multiple entries should be separated by a slash (/). For example: /abc*/*.txt/*.conf/. Enabling this option affects system performance.

maar als ik dat zo lees, worden bestanden alleen maar niet getoond ... wat voorkomt dat in geval van malware besmetting ?
RTFM
NAS : DS212j with1 ST2000DM008 & 1 ST2000DL003 in SHR / DSM 5.2-5967 Update 8
LAN : Devolo 500&550Mbps homeplugs, 2 5-port switches, Maxxter ACT-WNP-RP-002
HW : Raspberry Pi 2B, Nintendo Wii U & Switch
OS : Windows 7

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Opgepast!: Ransomware Locky
« Reactie #10 Gepost op: 20 februari 2016, 13:58:31 »
In DSM: Configuratiescherm-->Bestandservices--> Optie bestanden blokkeren
Moet zijn: Configuratiescherm-->Bestandservices--> Geavanceerde instellingen > Optie bestanden blokkeren  ;)

Nog niet helemaal want op die pagina steen meerdere "Geavanceerde instellingen".

Moet zijn: Configuratiescherm-->Bestandservices--> Windows Bestandsservice --> Geavanceerde instellingen > Optie bestanden blokkeren  ;)  ;)

NB het valt op dat dit een SMB-only optie is. Als je de map via AFP of NFS  gekoppeld had, werkt deze truuk dus niet.

Vreemd dat Gonner op de engelstalige pagina "Hide" leest. Hide is toch echt een andere functie dan blokkeren. "Veto" is wel blokkeren, dus lijkt dit me een taalfout in de Engelse versie.

EDIT:
Citaat van: Help
Bestanden blokkeren: verbergt bestanden volgens specifieke criteria. De criteria kunnen jokertekens (*) bevatten en meerdere items moeten met een schuine streep (/) worden gescheiden. Bijvoorbeeld: /abc*/*.txt/*.conf/. Inschakelen van deze optie zal de systeemprestaties beïnvloeden.

Dus de Nederlande help geeft ook aan dat ze niet geblokkeerd worden, maar alleen niet getoond. Dan vraag ik me ook af of die truuk werkt. En misschien toch meer even zelf testen hoe deze functie werkt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.242
Re: Opgepast!: Ransomware Locky
« Reactie #11 Gepost op: 20 februari 2016, 14:16:06 »
The proof of the pudding is in eating it.

Ik heb een Veto regel aangemaakt en toen een file naar een smb schare gesleept. Mijn mac ziet direct dat hij geen toestemming heeft, maar vraagt eerst het wachtwoord van een beheerdersaccount van mijn mac. (Blijkbaar weet hij niet waarom hij de weigering krijgt.). Maar daarna krijg ik de volgende melding:



De tekst in de handleiding klopt dus niet. Tenzij hij reeds aanwezige files ook hidden maakt.

EDIT: Inderdaad. Als ik mijn share via AFP mount, kan ik die file er gewoon op slepen. Verbind ik daarna met SMB, is die file niet meer aanwezig. Hij is ook niet via de terminal zichtbaar als ik hidden files laat zien. SMB bied de file gewoon niet aan. (Hidden is bij mij iets anders) Ga ik weer terug naar AFP, dan zie ik die file weer.

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7772
  • Berichten: 43.099
  • FIFO / LIFO
    • Truebase
Re: Opgepast!: Ransomware Locky
« Reactie #12 Gepost op: 20 februari 2016, 14:33:17 »
Nou, ik ook de pudding eten dan maar dan een Windows pudding:




Windows verkenner copy:



Naar DS111-2 en krijg:



Dus, wordt niet naar DS111-2 gekopieerd.

EDIT:
Als ik mount en weer probeer, krijg ik dezelfde melding.
Als ik sleep van Windows naar File Station op de NAS dan komt die file er wel te staan en kan deze ook zien in File Station:



Voor Windows verkenner blijft deze file onzichtbaar.





CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Mariarty33

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: Opgepast!: Ransomware Locky
« Reactie #13 Gepost op: 25 november 2016, 14:50:19 »
Bedankt voor de info, dat is gewoon Locky is al lang geen nieuwe Ransomware. Ik vond ook een artikel, hier is de laatste informatie over het Locky http://cookieverwijderen.nl/ransomware/aesir-bestandvirus  :o

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1444
  • Berichten: 6.036
Re: Opgepast!: Ransomware Locky
« Reactie #14 Gepost op: 25 november 2016, 15:30:56 »
Het draadje is ook al van 20 februari ...


 

Opgepast Dsm kan niet normaal worden opgestart

Gestart door jwhen01Board Synology DSM 6.0

Reacties: 20
Gelezen: 4595
Laatste bericht 16 november 2016, 14:28:10
door jwhen01
Opgepast! Systeempartitie is mislukt-Gevaar-SMART normaal

Gestart door PedroBoard NAS hardware vragen

Reacties: 14
Gelezen: 4141
Laatste bericht 28 juni 2017, 14:59:02
door Pedro
opgepast een of meer opslagpool/ssd-caches zijn beschadigd.

Gestart door ramsesvdlBoard NAS hardware vragen

Reacties: 4
Gelezen: 1172
Laatste bericht 27 januari 2020, 00:00:37
door Briolet