Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Synology gekraakt

21-08-2014, 19:36 door mravatar3, 47 reacties
Beste Security.nl community,

Wij hebben bij een klant een synology nas geinstalleerd, welke de klant gebruikte voor zijn persoonlijke opslag en al zijn zakelijke bestanden.

Afgelopen week werkte de synology schijf niet meer, bij het openen van de NAS komt nu een scherm naar boven met de melding van Synolocker: "All the data on the nas has been encrypted with strong ...." Als wij de data nog willen hebben dan moeten wij 1200 euro overmaken naar de hackers.

Heeft iemand ook dit probleem al een gehad? Het belangrijkste is dat de klant zijn data terug krijg wat erop staat.
Reacties (47)
21-08-2014, 19:45 door golem
Even dat andere topic bekijken ?
https://www.security.nl/posting/398737/Synolocker+losgeld+betalen%3F
21-08-2014, 19:50 door Anoniem
Zet de data gewoon terug van de backup?
21-08-2014, 21:12 door Anoniem
Door mravatar3:
Het belangrijkste is dat de klant zijn data terug krijg wat erop staat.

Dan zal hij moeten betalen. En wellicht de rekening bij jullie neerleggen. Of de backup erbij pakken inderdaad.
Volgende keer zul je moeten opletten dat je de software updates op zo'n ding netjes installeert.
Het is immers gewoon een computer.

Zo iets niet aan internet knopen is ook al heel wat veiliger.
21-08-2014, 22:13 door Anoniem
Hoi Wij hebben geen backups omdat de Synology 12TB is.
21-08-2014, 22:14 door Anoniem
Door Anoniem:
Door mravatar3:
Het belangrijkste is dat de klant zijn data terug krijg wat erop staat.

Dan zal hij moeten betalen. En wellicht de rekening bij jullie neerleggen. Of de backup erbij pakken inderdaad.
Volgende keer zul je moeten opletten dat je de software updates op zo'n ding netjes installeert.
Het is immers gewoon een computer.

Zo iets niet aan internet knopen is ook al heel wat veiliger.

Een vraag is dan nog altijd wie er aansprakelijk voor is... Maar dit klinkt wel heel bizar, een Synology systeem wat doorgekraakt wordt.
21-08-2014, 22:27 door Anoniem
Geen baclup?!
Dan is zo ie zo dom.

Amyway: je data ben je kwijt, tip voor de volgende keer hang niet alles zomaar aan het internet...........

Veel sterkte!
21-08-2014, 22:28 door Briolet - Bijgewerkt: 21-08-2014, 22:37
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Waarom zou je een grote hoeveelheid bestanden niet hoeven backupppen? Zelfs datacentra maken een backup van alle data.

Het wel/niet backuppen moet afhangen van het belang van de data, niet hoeveel date het betreft.
21-08-2014, 23:16 door Anoniem
Een andere vraag is wie is hiervoor aansprakelijk voor de claims?
22-08-2014, 01:08 door [Account Verwijderd]
[Verwijderd]
22-08-2014, 08:47 door Anoniem
Door rufus-1.4.9.exe: dit zou moeten werken.

http://www.safebro.com/synolocker-virus-remove

heb je de bron, en het topic wel eens gelezen?
de link die je aanbied, is een "oplossing" voor Synolocker, helaas hebben Synology-nas'en geen taakbeheer, regedit of een "%AllUsersProfile%"-folder.. dit is een "oplossing" voor windows-virussen.. helaas geen echte..
22-08-2014, 09:13 door Briolet - Bijgewerkt: 22-08-2014, 09:16
@Rufus: Hoe je de malware verwijderd staat ook op de Synology site. Bovendien hebben alle geregistreerde gebruikers ook een mail gekregen met uitleg.

Voor de mensen die denken dat het altijd eigen schuld is omdat men niet op tijd heeft ge-update, moet ik toch een nuance aanbrengen. Een kwetsbare versie is o.a. DSM 4.3-rev 3810. In de versies na 3810 is de kwetsbaarheid verholpen. Toch heb ik in het verleden, dus ook voor de recente Synolocker besmetting, al meldingen gezien dat DSM vertelde dat het systeem up-to-date is terwijl juist deze versie actief was. Een heel recent voorbeeld staat op: http://www.synology-forum.nl/synology-dsm-5-0/updaten-naar-dsm-5-lukt-niet-'veldwaarde-is-ongeldig'/

Dit is iemand die naar DSM 5 wil updaten, maar het systeem zegt dat zijn systeem bijgewerkt is. En dat terwijl hij de kwetsbare versie DSM 4.3-rev 3810 draait (Zie zijn screenshot in het 4e bericht in de posting).
22-08-2014, 09:28 door Anoniem
12 TB, dat verklaart waarom dit bericht weken nadat de exploit bekend is geworden pas geplaatst wordt.
Dat ding was nog druk aan het converteren!

Als je de grote jongen wilt uithangen, dan zul je ook grote maatregelen moeten nemen. koppel dan op zijn minst nog zo'n beest aan een windows bakje aan de binnenkant van je firewall (zo'n ding dat je tussen jou en het internet hebt staan), waarbij je die windows bak (of een Linux, maar dan alleen als je daar echt veel verstand van hebt) gewoon met software een backup laat maken van dat ding dat je bloot tegen het internet aangedrukt hebt staan.

die safebro link lijkt me flauwekul, omdat synolocker volgens mij niet op je pc staat, maar op je NAS. maar daar kan ik naastzitten.
22-08-2014, 09:35 door Anoniem
Door Briolet:
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Waarom zou je een grote hoeveelheid bestanden niet hoeven backupppen? Zelfs datacentra maken een backup van alle data.

Het wel/niet backuppen moet afhangen van het belang van de data, niet hoeveel date het betreft.

Ik denk dat er in het geval van een datacenter best wel gevallen zullen zijn die tegen dit soort hacks ook niet bestand zijn.
Hun "backups" zijn vaak mirrors naar storage system die een aantal versies van hetzelfde bestand nog bewaren voor zover
er disk capaciteit is. Als er een grootschalige attack van deze vorm op een vrij volle storage omgeving gepleegd wordt
dan kun je niet garanderen dat alle goede data er nog is.

Wel zou je kunnen verwachten dat een beetje goede beheerder in de gaten heeft dat er iets fout aan het gaan is, aan de
hand van performance indicatoren. Echter, dit vereist een slimme alerte beheerder en die zijn ook zeldzaam.

De enige goede backup is een offline backup (bijvoorbeeld op tape), maar die hebben de meeste datacentra allang
afgeschaft.
22-08-2014, 09:41 door PietdeVries
Door Briolet:
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Waarom zou je een grote hoeveelheid bestanden niet hoeven backupppen? Zelfs datacentra maken een backup van alle data.

Het wel/niet backuppen moet afhangen van het belang van de data, niet hoeveel date het betreft.

Tja - dat kan wel wezen, maar waar maak je in hemelsnaam een backup van 12 TB naar toe? Naar DVD? Naar een externe harde schijf? Een backup maken van 12 TB is gewoon niet te doen - zeker niet als je het "goed" wilt doen met incremental backups en zo, met als gevolg dat je minstens 24 TB aan backup media moet hebben.

Wel interessant is hoe deze besmetting heeft kunnen gebeuren. De OP geeft aan dat zijn bedrijf het NAS geplaatst heeft. Is het dan wel goed geconfigureerd? Synolocker gebruikt bepaalde openstaande services - heeft de klant echt gevraagd om die services open te zetten naar internet? En waarom draaide het NAS op een oude versie van DSM? Synology geeft aan dat al maanden geleden een gepatchte versie van DSM is uitgebracht?
22-08-2014, 09:45 door PietdeVries
Door rufus-1.4.9.exe: dit zou moeten werken.

http://www.safebro.com/synolocker-virus-remove

Die link verspreidt klinkklare onzin!

Quote van de site:

Symptoms and risks of being hijacked by SynoLocker ransomware

This malware enters into your computer without your knowledge
It corrupts registry, blocks certain softwares and utilities
It pretends to be a Cyber department of Police
Warns you of illegal activities, it says you have been violating copyright and other related laws
It blocks you from doing anything with your computer, puts a fake ransom warning on desktop and makes computer unusable
It scares you with fake notices and demands you to pay a fine by sending money via ukash or paysafecard etc


Nog een quote - nu hoe je zogenaamd het virus moet verwijderen:


Stop malicious process:
Open Task Manager and delete;
[random-chars].exe

Remove SynoLocker registry settings:
Open REGEDIT from RUN in the Start menu and find keys associated with this malware.

Delete SynoLocker files and folders:
%AllUsersProfile%\Application Data\
%AllUsersProfile%\~

Pure onzin - site niet gebruiken
Synolocker draait op je NAS - niet op je PC. Het doet niets met je registry en vertelt je zeker niet dat het van de FBI is.
22-08-2014, 09:47 door Anoniem
ps,

als ik je website en online footprint bekijk, is het ophoesten van die 1200,- een beetje veel.
Je site ziet er professioneel en goedverzorgd uit, maar geeft bij nadere inspectie toch het idee dat het bedrijf door een 16/17 jarige gerund wordt. Daar zou ik mijn 12 TB aan data niet aan toevertrouwen, zeker niet als er geen backup wordt gemaakt.

De vraag is dus of de klant je deze faal wel volledig mag aanrekenen, omdat ik niet verwacht dat jullie een strakke SLA hebben afgesproken, en daarmee jouw effort een beetje best-effort wordt. De klant is dan een dubbeltje-op-de-eerste-rang-ezel.
Wel moet je de NAS voor de klant van een recente firmware voorzien, en op basis van deze ervaring een ander ontwerp maken voor het vlotjes benaderen van de data. (als de klant je klant nog is)
als de data echt onvervangbaar belangrijk is, doe dan niks tot er ergens iemand een gratis decryptor maakt, of laat de klant die 1200,- ophoesten, waardoor je wellicht je data weer terug krijgt, of nog eens 1200,- weggeeft aan niks.

Tijd dus on je SLA en aansprakelijkheids verzekering te checken.
Zie dit als een leer-moment.
22-08-2014, 09:50 door Anoniem
Door PietdeVries:
Door Briolet:
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Waarom zou je een grote hoeveelheid bestanden niet hoeven backupppen? Zelfs datacentra maken een backup van alle data.

Het wel/niet backuppen moet afhangen van het belang van de data, niet hoeveel date het betreft.

Tja - dat kan wel wezen, maar waar maak je in hemelsnaam een backup van 12 TB naar toe? Naar DVD? Naar een externe harde schijf? Een backup maken van 12 TB is gewoon niet te doen - zeker niet als je het "goed" wilt doen met incremental backups en zo, met als gevolg dat je minstens 24 TB aan backup media moet hebben.

Wel interessant is hoe deze besmetting heeft kunnen gebeuren. De OP geeft aan dat zijn bedrijf het NAS geplaatst heeft. Is het dan wel goed geconfigureerd? Synolocker gebruikt bepaalde openstaande services - heeft de klant echt gevraagd om die services open te zetten naar internet? En waarom draaide het NAS op een oude versie van DSM? Synology geeft aan dat al maanden geleden een gepatchte versie van DSM is uitgebracht?

Cloud / Tape / een andere Nas die ergens offsite staat ??? zomaar een paar voorbeelden die mij binnenschieten...
En als het voor een bedrijf is zal een 2de nas toch niet zo'n investeering moeten zijn. daarnaast vraag ik me in deze situatie wel af of dit bedrijf wel zijn beveiliging op orde heeft.. ik bedoel.. waar ben je mee bezig als zoiets bedrijfsmatig (met belangrijke) data rechtstreeks aan het internet hangt... klopt er toch ergens iets niet in de risico ananlyse denk ik zo..
22-08-2014, 09:54 door Anoniem
@Piet de vries:
Je hoeft niet alle 12 TB te backuppen, slechts datgene wat erg belangrijk is. Mocht dat voor alle 12 TB gelden, koop dan gewoon een extra 12 TB nas, zet die op een andere locatie en backup daar alles naar toe. 12 TB kost je inclusief NAS niet meer dan € 1500,-. dat lijkt misschien veel geld maar wanneer het voortbestaan van je bedrijf er van af hangt is het niet te veel.
22-08-2014, 10:06 door Anoniem
Door PietdeVries:
Wel interessant is hoe deze besmetting heeft kunnen gebeuren. De OP geeft aan dat zijn bedrijf het NAS geplaatst heeft. Is het dan wel goed geconfigureerd? Synolocker gebruikt bepaalde openstaande services - heeft de klant echt gevraagd om die services open te zetten naar internet? En waarom draaide het NAS op een oude versie van DSM? Synology geeft aan dat al maanden geleden een gepatchte versie van DSM is uitgebracht?
Omdat OP blijkbaar Synology apparaten installeert voor klanten zonder verstand van zaken te hebben...


Door Briolet: @Rufus: Hoe je de malware verwijderd staat ook op de Synology site. Bovendien hebben alle geregistreerde gebruikers ook een mail gekregen met uitleg.

Voor de mensen die denken dat het altijd eigen schuld is omdat men niet op tijd heeft ge-update, moet ik toch een nuance aanbrengen. Een kwetsbare versie is o.a. DSM 4.3-rev 3810. In de versies na 3810 is de kwetsbaarheid verholpen. Toch heb ik in het verleden, dus ook voor de recente Synolocker besmetting, al meldingen gezien dat DSM vertelde dat het systeem up-to-date is terwijl juist deze versie actief was. Een heel recent voorbeeld staat op: http://www.synology-forum.nl/synology-dsm-5-0/updaten-naar-dsm-5-lukt-niet-'veldwaarde-is-ongeldig'/

Dit is iemand die naar DSM 5 wil updaten, maar het systeem zegt dat zijn systeem bijgewerkt is. En dat terwijl hij de kwetsbare versie DSM 4.3-rev 3810 draait (Zie zijn screenshot in het 4e bericht in de posting).
Daarom controleer je ook of de versie die je draait de meest recente versie is (of de versie die je wilt hebben) en niet of de updater "zegt dat je up to date bent".

Door Anoniem: Een andere vraag is wie is hiervoor aansprakelijk voor de claims?
Als je klant slim is (Ik neem aan dat deze anoniem de TS is?) legt deze de schade op jou bordje, en dan wens ik je veel succes met het aanvechten van de claim. Synolocker is immers gewoon te voorkomen door de Synology goed te installeren (software updates e.d.). Aangezien het installeren van de Synology nou juist de taak was waar je mee belast bent lijkt dit me jou verantwoordelijkheid
22-08-2014, 10:52 door Anoniem
Je hebt in dit geval een aantal opties:

1. Backup gebruiken, indien geen, zie stap 2.
2. 2 schijven demonteren van de NAS en laten scannen via een malware programma bv. http://www.enigmasoftware.com/products/spyhunter/ of dergelijk
3. Waarschijnlijk een variant van de cryptolocker, check eventueel hier of dit kan gedecrypt worden via deze tool of althans stel de vraag aan hen: https://www.decryptcryptolocker.com/
4. Security bedrijf contacteren contacteren die dit kunnen analyseren, uiteraard is dit ook betalend. Bedrijven als Fox IT of FireEye e.d.
5. Wachten totdat een patch hiervoor is gevonden
6. NAS herinstalleren met de nieuwste firmware na 4.x versie. Uiteraard verlies je je data. Meer info vindt je hier:
https://www.synology.com/nl-nl/support/security_SynoLocker
22-08-2014, 11:01 door Anoniem
Door Anoniem: @Piet de vries:
Je hoeft niet alle 12 TB te backuppen, slechts datgene wat erg belangrijk is. Mocht dat voor alle 12 TB gelden, koop dan gewoon een extra 12 TB nas, zet die op een andere locatie en backup daar alles naar toe. 12 TB kost je inclusief NAS niet meer dan € 1500,-. dat lijkt misschien veel geld maar wanneer het voortbestaan van je bedrijf er van af hangt is het niet te veel.

Dan moet je wel een ander merk NAS nemen!!! Anders heeft het totaal geen zin.
En ik denk dat het ook wel slim is om te kijken naar welk ander merk je dan neemt en of je er een kunt kiezen die
werkelijk totaal andere software heeft. Dat kan lastig worden want vaak is het Linux en andere opensource spullen, en
daar zat in dit geval het probleem in. Er zullen dus best ook wel andere NASsen zijn met hartbleed bug.
Door een ander merk te nemen verklein je wel de kans dat ze allemaal tegelijk aangevallen worden door een worm.

Op zich vind ik de opmerking "Een backup maken van 12 TB is gewoon niet te doen" wel wat vreemd want met een
stapel USB disken kun je al een hoop doen en het is maar wat de data waard is.
Als je wel het geld hebt voor 12TB aan storage maar niet voor backup media, dan betekent dat dat je er geen waardevolle
dingen op kunt zetten. Klaar. Dan maar minder storage en wel backup, of wel je 12TB en niet huilen als het weg is.
22-08-2014, 11:23 door Anoniem
Misschien is 12TB wel iets te veel voor dit type NAS? Geen backup dan ben je als bedrijf wel een beetje dom bezig.
Als je pand afbrand? Alles kwijt?

Dus of dit met good-old-tape en dan bij de buurman een tape neerleggen. En wel checken natuurlijk, als vanouds, week, maand en jaartape.
Synchroniseren met een NAS bij de buurman helpt niet, dan sync je ook de de geëncrypte bestanden en heb je het probleem op 2 plaatsen. Dus dit kan wel met vorige versie optie die je op bijvoorbeeld NetApp filers aantreft.

Dus eigenlijk is Synologie goedkoop en meteen duurkoop
22-08-2014, 11:26 door Anoniem
Door Anoniem:
Door rufus-1.4.9.exe: dit zou moeten werken.

http://www.safebro.com/synolocker-virus-remove

heb je de bron, en het topic wel eens gelezen?
de link die je aanbied, is een "oplossing" voor Synolocker, helaas hebben Synology-nas'en geen taakbeheer, regedit of een "%AllUsersProfile%"-folder.. dit is een "oplossing" voor windows-virussen.. helaas geen echte..

Dit doet me denken aan die websites die uitgaande van wat templates een hoop algemene tekst oplepelen die gerelateerd
is aan je zoekterm, met als uiteindelijk advies om hun super-duper-system-repair tool te kopen.

Als je zoekt op bepaalde bestandsnamen binnen Windows waarvan je je afvraagt wat het precies is, of op bestandsnaam
extensies, namen van virussen e.d. dan kom je vaak op dit soort sites.

Een hoop algemene blabla maar je hebt er weinig aan en in dit geval slaat het de plank ook nog eens volledig mis :-)
22-08-2014, 11:27 door Anoniem

Dan moet je wel een ander merk NAS nemen!!! Anders heeft het totaal geen zin.

Goed punt - alleen vraag ik me af of dat in dit geval zou hebben geholpen. Tenzij je meerdere versies van een file opslaat (en dus x keer 12 TB aan schijfruimte nodig hebt voor je backup), zal de backup gewoon de encrypted files bevatten!
22-08-2014, 11:33 door Anoniem
Door Anoniem: Je hebt in dit geval een aantal opties:

Het is niet nodig om de opties te gaan opnoemen want daarover staan al uitstekende verhandelingen elders op dit
forum, en die zijn denk ik ook beter onderbouwd (zodat er geen nutteloze "probeer dit eens" handelingen in staan)
22-08-2014, 11:46 door Anoniem
Door PietdeVries:

Tja - dat kan wel wezen, maar waar maak je in hemelsnaam een backup van 12 TB naar toe?[/quote]
Door de hardware dubbel uit te voeren?

Ernstig geval van budgettaire onkunde.
22-08-2014, 12:12 door Trancoded
Wanneer je in dergelijk artikel begint van "Wij hebben bij onze klant ..." dan veronderstel je dat de basis toch wel in orde zit hoor, dergelijke issue was enkel een probleem wanneer je de NAS niet had geupdate. Ook sowieso niet via het internet beschikbaar maken, ik hoop toch dat je op zn minst niet het standaard administrator wachtwoord in gebruik hebt ...

Welke service bied je dan aan aan je klant? Ik mag dan hopen geen IT zaken, want als je de lijn doortrekt naar de rest, dan zou het me niet verwonderen als de rest ook wankel draait ...

Veel succes met de opkuis en hopelijk leer je uit deze fouten
22-08-2014, 12:14 door Anoniem
Volgens mij vergeten we allemaal even het item aangifte doen.
Zonder dit is er nergens aanspraak op te maken, ook niet in de toekomst als deze "grapjas" eens gepakt gaat worden.

Succes.
J
22-08-2014, 12:15 door Anoniem
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Ik heb dan geen Synology maar een QNAP, maar die is ook ongeveer zo groot. Op een tweede locatie staat gewoon een tweede QNAP waar iedere nacht een backup naar plaats vindt. Bij mij is 1TB data meer waard dan de kosten van 2x 1TB QNAP kosten.

Maar ja, ook ik ken partijen die hun data niet zo veel waar vinden. Maar dan is $ 1200 waarschijnlijk ook te veel. Als ze hun data niet zo veel waard vinden, moeten ze die gewoon opnieuw gaan genereren.

Peter
22-08-2014, 12:21 door Anoniem
Ik zou liever niet in zee gaan met iemand die bestanden deelt via vage torrentsites...
22-08-2014, 13:29 door Anoniem
Door Anoniem:
Door Anoniem: Hoi Wij hebben geen backups omdat de Synology 12TB is.

Ik heb dan geen Synology maar een QNAP, maar die is ook ongeveer zo groot. Op een tweede locatie staat gewoon een tweede QNAP waar iedere nacht een backup naar plaats vindt

Dan zou ik nog maar eens goed gaan nadenken. Als je Synology getroffen wordt door Synolocker en dan in de nacht
vrolijk een backup maakt op je QNAP dan ben je alsnog je bestanden kwijt!

Je kunt geluk hebben als:
1. je backupscript simplistisch alleen de filedate/time vergelijkt en het cryptovirus zo symphatiek is deze onveranderd
te laten. dan maakt je script misschien geen backup.

2. je internetverbinding niet snel genoeg is om alles in een nacht te backuppen, waardoor je de volgende dag als je erachter
komt dat het foute boel is nog een deel van je bestanden kunt redden

3. je backup meerdere generaties maakt zodat je nog naar de 1-na-laatste versie terug kunt na deze ramp.
dan heb je wel een oudere versie dan je had kunnen hebben, en het gaat alsnog fout als het een tijdje duurt voor je
erachter komt dat het fout aan het gaan is.

Ik denk dat veel mensen met clevere online backup oplossingen zich ten onrechte rijk rekenen. Deze systemen zijn in
principe slecht. Alleen met heel goede software en voldoende monitoring (en extra disk capacteit voor meerdere versies)
is er wat mee te doen, maar dan nog heb je een flink risico dat de hacker ook je online backup vernietigd.
Was laatst ook bij een cloud provider gebeurd, is niet?

De enige goede backup is een offline backup, met voldoende generaties en bewaartermijn.
22-08-2014, 13:36 door Briolet
Door Trancoded: Ook sowieso niet via het internet beschikbaar maken, ik hoop toch dat je op zn minst niet het standaard administrator wachtwoord in gebruik hebt ...

Maar een heleboel mensen kopen just deze nas om vanaf het internet bij hun data te kunnen. Dilemma dus. In elk geval niet meer dan nodig via het internet beschikbaar maken. Bij deze bug was het geen probleem geweest als er FTP, WebDav, of FileStation toegang gegeven was. Bij iemand die dus alleen filetoegang vrijgeschakeld had, was er niets aan de hand.

De door SynoLocker misbruikte bug zat in het interface waarmee je op de beheerders instellingen kunt inloggen. (webman). En omdat dat juist iets is waar je niet vaak bij hoeft, kun je die uitsluiten van het internet. Wil je er toch bij, dan gebruik je maar VPN. Niet geschikt voor de meute maar een systeem beheerder moet daar toch mee vertrouwd zijn.

De bug in webman zorgde ervoor dat een ieder, dus ook niet administrators programmas op de nas konden wegschrijven. Ik haal uit de beschrijving van de bug dat daar helemaal geen account voor nodig was en andere halen er uit dat er wel een account voor nodig was. In het laatste geval was een guest account ook genoeg. Default staat het gastaccount aan op de Synology Nas. In zijn algemeenheid is het verstandig als die direct uit gezet wordt. In theorie kan zo'n account geen kwaad, maar als er een bug gevonden wordt, zoals nu, hebben de aanvallers direct een account waar ze geen wachtwoord bij hoeven te zoeken.
22-08-2014, 13:39 door Anoniem
Door Anoniem:dit kan wel met vorige versie optie die je op bijvoorbeeld NetApp filers aantreft
Inderdaad. Wel moet je dan opletten dat je je NAS maar voor 30-40% vult want anders dan gaat het evengoed
mis. (als hij alle bestanden gaat vervangen door gecrypte versies dan is er op een gegeven moment geen ruimte
meer voor vorige versies en dan gaat ie die wissen)

Overigens wel interessante vraag: welke NASsen in het hobby/kleinzakelijk segment (dus in de categorie Synology,
QNAP etc waar het hier over gaat) bieden deze functie? Daar zou je wat mee kunnen, ook als mirror.
22-08-2014, 13:46 door Briolet - Bijgewerkt: 22-08-2014, 19:01
Door Anoniem:

Dan moet je wel een ander merk NAS nemen!!! Anders heeft het totaal geen zin.

Goed punt - alleen vraag ik me af of dat in dit geval zou hebben geholpen. Tenzij je meerdere versies van een file opslaat (en dus x keer 12 TB aan schijfruimte nodig hebt voor je backup), zal de backup gewoon de encrypted files bevatten!

Direct overschrijven van oude data is niet direct een backup te noemen. Net zo min als dat raid een backup is. Gelukkig staat op de Synology Nas het programma TimeBackup. Dat schrijft elk uur alleen de veranderingen naar een 2e nas zodat je alle oude data behoud. Op een bepaald moment gaat hij uitdunnen zodat er alleen een bestand met wekelijkse veranderingen opgeslagen blijft. Pas als er versies van 3 maand oud tussen zitten, begint hij oude versies van een file weg te gooien. Die tijd kun je ook langer maken. In elk geval is duidelijk dat de backup-nas een veelvoud groter moet zijn dan de oorspronkelijke data.

En als de communicatie tussen de 2 nassen, alleen via het backup protocol mogelijk is, wordt het lastig voor malware om ook bij de oude versies in die backup op de 2e nas te komen.
22-08-2014, 16:02 door Anoniem
Hoor niet veel Linux fans nu...je weet wel, diegenen die al jaren schreeuwen dat het safe is en geen antivirus behoeft.
I bet this is just the beginning.
Veel data is veel waard is de logica van de crimineel, dus waard om te aan te vallen.

Helaas...ook beveiligen, net als je Android, FreeNas of whatever je aan het internet knoopt. Het is hier al veel gezegd, het maakt niet uit wat je draait, maar zodra op het internet: beveiligen die handel of niet doen !
22-08-2014, 16:09 door Anoniem
En als de communicatie tussen de 2 nassen, alleen via het backup protocol mogelijk is, wordt het lastig voor malware om ook bij de oude versies in die backup op de 2e nas te komen.

Als je die tweede NAS achter een dichtgetimmerde firewall stopt dan héél misschien (of DMZ wellicht met wat aanpassingen)
Bijna niemand die dat doet in deze wereld.

Je moet je afvragen hoe dat de cybercriminelen bij de NAS kunnen komen. Het lek is dus waarschijnlijk op het hele LAN en zou eerst eens beginnen de zaak uit te trekken en individueel alle apparatuur door te scannen. Jezelf focussen op de NAS alleen gaat je zeker de das omdoen...

my 5c
22-08-2014, 16:45 door Anoniem
https://www.security.nl/posting/399491/Tool+helpt+slachtoffers+SynoLocker+bij+terugkrijgen+bestanden

Heb jij even mzzl.
22-08-2014, 17:27 door Flashback956 - Bijgewerkt: 22-08-2014, 17:29
22-08-2014, 18:46 door softwaregeek
Het Finse beveiligingsbedrijf F-Secure heeft software uitgebracht waarmee bestanden die door de SynoLocker-ransomware zijn versleuteld, kunnen worden teruggehaald. Daarvoor moet wel eerst losgeld worden betaald aan de cybercriminelen, omdat de ontsleutelcode nodig is.

SynoLocker versleutelt heimelijk bestanden op een Synology-nas. Vervolgens krijgt de gebruiker een waarschuwing te zien, waarin de criminelen vragen om losgeld. Ze maken daarbij een valse belofte. "In de meeste gevallen die wij hebben onderzocht, werkte het ontsleutelen niet of was de ontsleutelcode incorrect", zo stelt het Finse beveiligingsbedrijf.
22-08-2014, 19:11 door [Account Verwijderd]
[Verwijderd]
22-08-2014, 19:50 door Anoniem
Als Linux fan weet ik donders goed dat ook Linux(based) systemen beveiligd moeten worden.

Ookal zeggen veel Linux (en ook Apple) fans dat dat niet nodig is... dat is niet waar!

Echter zo'n Synology NAS geeft niet veel opties voor virusscanners etc.

Daarom moet je er een goede Firewall voor zetten en alleen de toegang wereldwijd open zetten waar echt nodig. Of zet een VPN op om er bij te kunnen.

Een eenvoudige Fortigate firewall heeft deze functionaliteit al.
22-08-2014, 20:23 door Anoniem
Is de volledige 12TB in gebruik? (zit de schijf vol?). Je zou wellicht nog kunnen proberen de data te parsen m.b.v. forensic toolkits, ik weet alleen het fijne niet af van dit stukje malware. Hopen voor je dat het geen full disk encryption is.
Ben het overigens wel met de andere reacties eens, dit is echt een slechte implementatie van die NAS...
22-08-2014, 21:20 door Anoniem
Door Anoniem:
Je moet je afvragen hoe dat de cybercriminelen bij de NAS kunnen komen. Het lek is dus waarschijnlijk op het hele LAN en zou eerst eens beginnen de zaak uit te trekken en individueel alle apparatuur door te scannen. Jezelf focussen op de NAS alleen gaat je zeker de das omdoen...

my 5c

Met een waarde van 0,0c.
Je zou je ook eerst kunnen inlezen op de materie voor je vanalles gaat veronderstellen!
Hoe de criminelen bij de NAS kunnen komen dat is helemaal niet de vraag, dat zetten de bezitters zelf open!
Niks hele LAN, niks andere apparatuur, gewoon een open poort die ook naar de router wordt gecommuniceerd.
Het enige probleem is dat de bezitters dachten dat er veilige versleuteling op zat, terwijl het OpenSSL was.
Zomaar wat bazelen gaat je zeker de das omdoen!
23-08-2014, 08:24 door Anoniem
Door Briolet:Gelukkig staat op de Synology Nas het programma TimeBackup. Dat schrijft elk uur alleen de veranderingen naar een 2e nas zodat je alle oude data behoud.

Leuke functie, alleen was de topicstarter ook hier niet mee gered, immers worden alle bestanden versleuteld, ofwel alle bestanden worden gewijzigd, en dus overschreven........
23-08-2014, 10:26 door Anoniem
Door Anoniem:
Door Briolet:Gelukkig staat op de Synology Nas het programma TimeBackup. Dat schrijft elk uur alleen de veranderingen naar een 2e nas zodat je alle oude data behoud.

Leuke functie, alleen was de topicstarter ook hier niet mee gered, immers worden alle bestanden versleuteld, ofwel alle bestanden worden gewijzigd, en dus overschreven........

Ja maar het idee van die TimeBackup is dat je ook nog terug kunt naar hoe een file vroeger was.
Dwz hij bewaart niet alleen de inhoud zoals die nu is, maar ook hoe die gisteren was, eergisteren was, vorige week was,
vorige maand was, etc.
Dat is op zich heel mooi maar het heeft uiteraard alleen zin als je een 2e NAS hebt die NIET besmet is en die al die
backups veilig voor je bewaart. En ik vind het een beetje jammer dat het kennelijk in een applicatie gebouwd is en
niet in het filesystem (van die 2e NAS). Je kunt daar namelijk ook veel aan hebben als het op je main NAS beschikbaar
is in het filesystem. Niet in het geval van dit soort besmettingen (want dan zouden de criminelen er ongetwijfeld wat aan
gedaan hebben om dit nutteloos te maken), maar wel in het normale gebruik.
Zoals al eerder geschreven, NetApp heeft dit wel. Misschien ook ergens een hobby NAS?

Feit blijft wel dat dit soort systemen alleen werkt als je je capaciteit maar gedeeltelijk gebruikt. De oude exemplaren
staan in de ruimte die het systeem als "vrij" rapporteert. Als je de disk helemaal vult dan zijn er ook geen oude versies.
23-08-2014, 10:30 door Anoniem
Door Anoniem:
Daarom moet je er een goede Firewall voor zetten en alleen de toegang wereldwijd open zetten waar echt nodig. Of zet een VPN op om er bij te kunnen.

Een eenvoudige Fortigate firewall heeft deze functionaliteit al.

Een firewall had hier niet tegen geholpen! Een VPN (evt geimplementeerd in een device wat tevens firewall is) wel, maar
alleen omdat dat gelaagde security is. Je moet beide systemen kraken om er in te kunnen.

Zoals je op dit forum gelezen hebt was er ook een inbraak in een VPN ergens. Had deze NAS bezitter een Juniper VPN
ervoor gehad dan zouden de hackers er evengoed in gekomen zijn, door eerst de VPN en daarna de NAS te kraken.
(met dezelfde bug)

Dat dit dan in de praktijk niet gebeurd zou zijn is een ander verhaal, het zou wel kunnen.
23-08-2014, 10:33 door Briolet
Door Anoniem:
Door Briolet:Gelukkig staat op de Synology Nas het programma TimeBackup. Dat schrijft elk uur alleen de veranderingen naar een 2e nas zodat je alle oude data behoud.

Leuke functie, alleen was de topicstarter ook hier niet mee gered, immers worden alle bestanden versleuteld, ofwel alle bestanden worden gewijzigd, en dus overschreven........

Niet als het werkt als bedoeld. Als alle bestanden versleuteld zijn, zijn alle bestanden veranderd. Maar met een versie historie van 3 maand, blijven alle vorige versies in je backup staan. De vraag is natuurlijk wat er gebeurt als de backup binnen die 3 maand vol is, wat niet onwaarschijnlijk is omdat er nu veel meer modificaties zijn dan voorzien. Gaat hij dan eerder wissen? Ik begreep dat dat niet gebeurd en dat het backup process dan een foutmelding heeft over te weinig backup ruimte.

Als de backup op een usb verbonden externe disk staat is de backup natuurlijk ook verloren. De vraag is of de malware rechtstreeks bij een backupdisk kan als die op een tweede nas staat. TimeBackup gebruikt een administrator wachtwoord om de backup-nas te benaderen en dat wachtwoord en account kan SynoLocker niet weten. Dan zou de malware al een gemodificeerde kopie van TimeBackup moeten installeren om via de interne processen het wachtwoord te gebruiken. Dat is bij deze malware niet gebeurd maar had waarschijnlijk ook gekund als de nog meer tijd in de code gestopt hadden..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.