Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: Pippin op 19 februari 2016, 19:51:13
-
http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
-
Je moet wel heel dom zijn om zoveel stappen te nemen (4) voordat Locky z'n slag kan slaan.
-
Mee eens maar je hebt een hoop domme ganzen op de wereld; -)
-
Dit gevonden:
In DSM: Configuratiescherm-->Bestandservices-->Geavanceerde instellingen--> Optie bestanden blokkeren
In dat veld:
/*.locky/toevoegen.
Dit zou voorkomen dat bestanden op de NAS encrypt kunnen worden.
Voor de rest van je machines op je netwerk kun je de IP`s en URL`s die hier vermeld staan blokkeren in de firewall:
http://blog.dynamoo.com/2016/02/malware-spam-rechnung-nr-2016131.html
-
Wanneer ik
/*.locky
invul krijg ik de melding dat een aantal van mijn instellingen ongeldig zijn.
/*.locky/ wordt wel geaccepteerd maar geen idee of dit werkt.
Andere vraag: Enkel gevaarlijk voor Windows gebruikers of zijn ook OSX gebruikers vatbaar?
-
In DSM: Configuratiescherm-->Bestandservices--> Optie bestanden blokkeren
Moet zijn: Configuratiescherm-->Bestandservices--> Geavanceerde instellingen > Optie bestanden blokkeren ;)
-
http://tweakers.net/nieuws/108467/ransomware-locky-maakt-slachtoffers-in-duitsland-en-nederland.html
-
Andere vraag: Enkel gevaarlijk voor Windows gebruikers of zijn ook OSX gebruikers vatbaar?
OSX kan toch geen .exe starten ?
[attachimg=1]
-
zijn ook OSX gebruikers vatbaar?
Op OSX kun je geen gedownloade uitvoerbestanden runnen (https://support.apple.com/nl-nl/HT201940). Je krijgt dan extra firewall vragen. In sommige gevallen moet je zelfs de firewall uitzetten om iets te kunnen runnen. Ik dacht dat zelfs het .docx bestand daar onder viel. Maar dat kan ook komen doordat ik nooit onder een admin account werk op mijn mac.
Apple slaat in de metadata op waar de files vandaan komen (https://www.quora.com/How-does-OS-X-mark-files-as-downloaded-from-the-Internet). Download of uit een e-mail heeft dan vaak een extra toestemming nodig.
-
Dit zou voorkomen dat bestanden op de NAS encrypt kunnen worden.
Die optie heet op mijn engelstalige NAS zo te zien :
Veto files: Hides files according to specified criteria. Criteria can include wildcards (*), and multiple entries should be separated by a slash (/). For example: /abc*/*.txt/*.conf/. Enabling this option affects system performance.
maar als ik dat zo lees, worden bestanden alleen maar niet getoond ... wat voorkomt dat in geval van malware besmetting ?
-
In DSM: Configuratiescherm-->Bestandservices--> Optie bestanden blokkeren
Moet zijn: Configuratiescherm-->Bestandservices--> Geavanceerde instellingen > Optie bestanden blokkeren ;)
Nog niet helemaal want op die pagina steen meerdere "Geavanceerde instellingen".
Moet zijn: Configuratiescherm-->Bestandservices--> Windows Bestandsservice --> Geavanceerde instellingen > Optie bestanden blokkeren ;) ;)
NB het valt op dat dit een SMB-only optie is. Als je de map via AFP of NFS gekoppeld had, werkt deze truuk dus niet.
Vreemd dat Gonner op de engelstalige pagina "Hide" leest. Hide is toch echt een andere functie dan blokkeren. "Veto" is wel blokkeren, dus lijkt dit me een taalfout in de Engelse versie.
EDIT:
Bestanden blokkeren: verbergt bestanden volgens specifieke criteria. De criteria kunnen jokertekens (*) bevatten en meerdere items moeten met een schuine streep (/) worden gescheiden. Bijvoorbeeld: /abc*/*.txt/*.conf/. Inschakelen van deze optie zal de systeemprestaties beïnvloeden.
Dus de Nederlande help geeft ook aan dat ze niet geblokkeerd worden, maar alleen niet getoond. Dan vraag ik me ook af of die truuk werkt. En misschien toch meer even zelf testen hoe deze functie werkt.
-
The proof of the pudding is in eating it.
Ik heb een Veto regel aangemaakt en toen een file naar een smb schare gesleept. Mijn mac ziet direct dat hij geen toestemming heeft, maar vraagt eerst het wachtwoord van een beheerdersaccount van mijn mac. (Blijkbaar weet hij niet waarom hij de weigering krijgt.). Maar daarna krijg ik de volgende melding:
[attachimg=1]
De tekst in de handleiding klopt dus niet. Tenzij hij reeds aanwezige files ook hidden maakt.
EDIT: Inderdaad. Als ik mijn share via AFP mount, kan ik die file er gewoon op slepen. Verbind ik daarna met SMB, is die file niet meer aanwezig. Hij is ook niet via de terminal zichtbaar als ik hidden files laat zien. SMB bied de file gewoon niet aan. (Hidden is bij mij iets anders) Ga ik weer terug naar AFP, dan zie ik die file weer.
-
Nou, ik ook de pudding eten dan maar dan een Windows pudding:
[attachimg=1]
Windows verkenner copy:
[attachimg=2]
Naar DS111-2 en krijg:
[attachimg=3]
Dus, wordt niet naar DS111-2 gekopieerd.
EDIT:
Als ik mount en weer probeer, krijg ik dezelfde melding.
Als ik sleep van Windows naar File Station op de NAS dan komt die file er wel te staan en kan deze ook zien in File Station:
[attachimg=4]
Voor Windows verkenner blijft deze file onzichtbaar.
-
Bedankt voor de info, dat is gewoon Locky is al lang geen nieuwe Ransomware. Ik vond ook een artikel, hier is de laatste informatie over het Locky http://cookieverwijderen.nl/ransomware/aesir-bestandvirus (http://cookieverwijderen.nl/ransomware/aesir-bestandvirus) :o
-
Het draadje is ook al van 20 februari ...
-
Bedankt voor de info, dat is gewoon Locky is al lang geen nieuwe Ransomware. Ik vond ook een artikel, hier is de laatste informatie over het Locky http://cookieverwijderen.nl/ransomware/aesir-bestandvirus (http://cookieverwijderen.nl/ransomware/aesir-bestandvirus) :o
Kan dit artikel zal hier iemand helpen https://malwareless.com/aesir-ransomware-how-to-remove/
-
Moet zijn: Configuratiescherm-->Bestandservices--> Geavanceerde instellingen > Optie bestanden blokkeren ;)
En volgens mij: Configuratiescherm-->Bestandservices-->tabblad SMB/AFP/NFS-->Button: Geavanceerde instellingen > Optie bestanden blokkeren ;)
Want in tabblad "geavanceerd" is dit niet te vinden...
-
En ik zie nu dat ik meer dan een jaar achter loop :geek:
-
Precies.