Plaats reactie
1
Op internet zijn verschillende meldingen verschenen van eigenaren van een Synology NAS waarvan bestanden door een nieuwe vorm van ransomware zijn versleuteld. Een NAS (Network Attached Storage) is een opslagapparaat dat via het netwerk te bereiken is en grote hoeveelheden bestanden kan bevatten.

De ransomware die nu in omloop is noemt zichzelf SynoLocker en toont een waarschuwing dat belangrijke bestanden op de NAS zijn versleuteld. De gebruiker moet vervolgens via Tor Browser een website op het Tor-netwerk bezoeken met instructies om weer toegang tot de bestanden te krijgen. In de instructies staat dat de gebruiker 0,6 Bitcoin moet betalen, wat met de huidige wisselkoers overeenkomt met 263 euro.

Het is nog onduidelijk hoe de ransomware precies toegang tot het apparaat weet te krijgen. Het zou onder andere om een Synology NAS DS211J, DS212J, DS213J en DS1513 gaan. Op Hacker News wordt gesuggereerd dat het mogelijk om apparaten gaat waar de EZ-Internet service is ingeschakeld, waardoor de NAS toegankelijk via het internet is. Voor zover bekend kunnen gebruikers de bestanden niet zelf ontsleutelen. Wel is het mogelijk om het besturingssysteem van de NAS opnieuw te installeren en zo weer werkend te krijgen, alleen zijn de bestanden dan nog steeds niet toegankelijk.

Links:
http://forum.synology.com/enu/viewtopic ... 16#p333825" onclick="window.open(this.href);return false;
http://www.synology-forum.de/showthread ... r&p=445015" onclick="window.open(this.href);return false;
" onclick="window.open(this.href);return false;
https://news.ycombinator.com/item?id=8128521" onclick="window.open(this.href);return false;
" onclick="window.open(this.href);return false;

De onderstaande afbeeldingen zijn verkleind, klik op de thumbnail voor een vergroting.

ImageImage
Source: https://www.security.nl/posting/397554/ ... hannel=rss" onclick="window.open(this.href);return false;
If it ain't broken, don't fix it
2
Peter V schreef:Mark Loman zegt in zijn tweet dat de nieuwste DSM moet worden geïnstalleerd en dat webtoegang moet worden afgesloten. Slachtoffers zouden de DSM-versie hebben waarin de Heartbleed bug nog niet was gefikst.

" onclick="window.open(this.href);return false;
Dus, nieuwste DSM installeren. Hoe?
Niet aan mij vragen, ik heb er gen. :p
3
Dit is geen oplossing noch workaround. Men -denkt- dat het dit is, maar is helemaal niet zeker of daar wel de oorzaak in ligt, dus ook niet of je dan wel beschermd zult zijn.

Dit is de officiele verklaring van Synology (Engels):
For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php" onclick="window.open(this.href);return false;:

· When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.

· A process called “synosync” is running in Resource Monitor.

· DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.

For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:

· For DSM 4.3, please install DSM 4.3-3827 or later

· For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later

· For DSM 4.0, please install DSM 4.0-2259 or later

DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download" onclick="window.open(this.href);return false;.

If users notice any strange behaviour or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.comwhere a dedicated team will look into their case.


We sincerely apologise for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.
Mocht iemand iets niet begrijpen wil ik het best vertalen.
Greetings, Black Tiger.
4
Weer een officiële verklaring van Synology die via mail naar gebruikers is gezonden. Het probleem schijnt te zitten in pré 4.3 firmware (DSM), na een upgrade zou het risico over moeten zijn:
Volgens de NAS-fabrikant kan de ransomware alleen binnenkomen bij DSM 4.3 of eerder. De nieuwste versie van Synology's DiskStation Manager, versie 5, zou niet vatbaar zijn. Daarom adviseert Synology dringend om te upgrade naar DSM 5.0. Ook voor DSM 4.3, 4.1 en 4.0 zijn patches beschikbaar.

De ransomware is te herkennen aan het proces 'synosync' dat in de resource-monitor te vinden is. Daarnaast laat de kwaadaardige software in het control-panel van DSM zien dat er een recente versie is geïnstalleerd, terwijl er in feite een oudere versie draait.

Getroffen gebruikers kunnen contact opnemen met security@synology.com. Een apart daarvoor in het leven geroepen team zal hun situatie dan bekijken en waar mogelijk hulp bieden.
Greetings, Black Tiger.
6
Zojuist nog een leuker artikel gevonden, oplossing is gevonden!:
Onderzoekers van het Nederlandse beveiligingsbedrijf Fox-IT en het Amerikaanse FireEye zijn erin geslaagd om de privésleutels van de CryptoLocker te achterhalen, waardoor alle slachtoffers van deze ransomware hun versleutelde bestanden kosteloos kunnen terugkrijgen.

Via de website decryptcryptolocker.com die beide beveiligingsbedrijven lanceerden, kunnen slachtoffers van CryptoLocker hun e-mailadres invullen en een versleuteld bestand uploaden. Daarbij wordt geadviseerd om een bestand te uploaden dat geen gevoelige informatie bevat. Aan de hand van het geuploade bestand wordt vervolgens de privésleutel teruggestuurd waarmee gebruikers de overige bestanden kunnen ontsleutelen.
Bron: https://www.security.nl/posting/397796/ ... ransomware" onclick="window.open(this.href);return false;
Greetings, Black Tiger.
9
Nou ja, inderdaad wel een behoorlijke vooruitgang dat de encryptie is gekraakt.
Enige bescherming tegen Synolock is nieuwste DSM en alleen de echt nodige poorten openzetten.
10
Update, 8-8 20:31: Synology laat in een mail aan al zijn gebruikers weten de diensten DDNS en QuickConnect per direct te beëindigen voor NAS-apparaten die geen recente versie van DSM draaien, als extra prikkel om gebruikers van kwetsbare NAS'en te laten upgraden.

Synology heeft per mail een statement rondgestuurd over de SynoLocker-ransomware. Deze ransomware maakt gebruik van kwetsbaarheden in de populaire NAS-devices, waarna de data wordt versleuteld en de gebruiker wordt gedwongen om bitcoins over te maken voordat de data weer wordt ontsleuteld.

Volgens de NAS-fabrikant kan de ransomware alleen binnenkomen bij DSM 4.3 of eerder. De nieuwste versie van Synology's DiskStation Manager, versie 5, zou niet vatbaar zijn. Daarom adviseert Synology dringend om te upgrade naar DSM 5.0. Ook voor DSM 4.3, 4.1 en 4.0 zijn patches beschikbaar.

De ransomware is te herkennen aan het proces 'synosync' dat in de resource-monitor te vinden is. Daarnaast laat de kwaadaardige software in het control-panel van DSM zien dat er een recente versie is geïnstalleerd, terwijl er in feite een oudere versie draait.

Getroffen gebruikers kunnen contact opnemen met security@synology.com. Een apart daarvoor in het leven geroepen team zal hun situatie dan bekijken en waar mogelijk hulp bieden.

Het volledige statement:

We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php" onclick="window.open(this.href);return false;:
  • When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
  • A process called “synosync” is running in Resource Monitor.
  • DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
  • For DSM 4.3, please install DSM 4.3-3827 or later
  • For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
  • For DSM 4.0, please install DSM 4.0-2259 or later
DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download" onclick="window.open(this.href);return false;.

If users notice any strange behaviour or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com where a dedicated team will look into their case.

We sincerely apologise for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
Plaats reactie

Maak een account aan of log in om deel te nemen aan de discussie

Je moet lid zijn om een ​​reactie te kunnen plaatsen

Maak een account aan

Geen lid? Registreer om lid te worden van onze community
Leden kunnen hun eigen onderwerpen starten en zich abonneren op onderwerpen
Het is gratis en duurt maar een minuut

Registreer

Log in

Gebruikersnaam
Wachtwoord

Terug naar “NAS, Cloudopslag & Webhosting (Servers)”