Synolocker - advarsel til Synology brugere

Surt show....Kender desværre ikke til situationen og ej heller til en løsning. Jeg har selv aktiveret Ip block ved 1 forkert loginforsøg da jeg bruger netbackup og således er tvunget til at have port 22 open og dagligt blokerer 10-20 ip adresser som forsøger at få adgang. Det kan absolut anbefales!

strandvasker skrev: Lyder lidt trist med din nas og jeg har ikke lige noget bud på en løsning, men nedenstående bliver jeg lige nødt til at sprøge ind til: ridderdk skrev: Jeg tænker den er hacket via port 22, da det er den eneste jeg har åben ud, netop for at kunne udveksle backup med min ven. Port 22 er normalt beregnet til fjernadministration, det er porten til SSH, det lyder lidt mystisk at udveksle backup over den.

Ja, du har ret, det irriterer mig også gevaldigt at man ikke kan ændre det. Netbackup buger port 22, og jeg har også dagligt MANGE IP blocks pga. det.

Ehlz skrev: Synology er informeret omkring ulempen ved tvungen anvendelse af port 22 ved krypteret netbackup. Vi kan jo håbe på de ændre det. Dog er det jo kun nødvendigt med åben port 22 på den DS du laver backup til. Så hvis det er tilfældet så har du vel stadig alt din data på den DS du laver backup fra? /Ehlz

Jaee, umiddelbart har jeg stadig data liggende. Men kan ikke svare mere præcist idet jeg skyndte mig at slukke......

Til gengæld har jeg backup liggende hos min ven (har checket), hans backup som så er placeret hos mig, er nu af MEGET tvivlsom brugbarhed

Ehlz skrev: Jeg skal bare lige forstå Ridder. Den synology der er blevet hacket, har port 22 åben, hvorfor?  Jeg spørger fordi netbackup jo anvendes til at lave backup af én synology til en anden synology, og port 22 skal kun være åben på den synology der laves backup til. /ehlz

Ja, port 22 på min boks var åben for at tillade at min ven kunne placere en kopi af HANS vigtige data på MIN boks.

Forestil dig 2 Synology bokse som hver især bruger hinandens tjenester.
Ok?

kan da lige opdatere.
jeg tændte min NAS igen efter at have læst den stadig kan bruges mens krypteringen foregår.
ved forsøg på login (http://nas_ip:5000/webman/index.cgi) bliver man redirected til http://nas_ip:5000/index.html og følgende vises:

SynoLocker™
Automated Decryption Service
All important files on this NAS have been encrypted using strong cryptography


List of encrypted files available here.

Follow these simple steps if files recovery is needed:
Download and install Tor Browser.
Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
Login with your identification code to get further instructions on how to get a decryption key.
Your identification code is 1Jy5xUncpXrHtmdNyJDKiX88RM1iHFpNdm (also visible here).
Follow the instructions on the decryption page once a valid decryption key has been acquired.


Technical details about the encryption process:
A unique RSA-2048 keypair is generated on a remote server and linked to this system.
The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
A random 256-bit key is generated on this system when a new file needs to be encrypted.
This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
The 256-bit key is then encrypted with the RSA-2048 public key.
The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
The encrypted file is renamed to the original filename.
To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
Note: Without the decryption key, all encrypted files will be lost forever.

Alle shares er tilgængelige, dog ser det ud til alle filer der er listet i crypted.log er ulæselige.
Heldigvis ser det ud til den tager et share ad gangen og er lige nu i fuld gang med mit Backup share. Det betyder heldigvis ikke noget, da jeg har Backup mappen liggende flere steder, bl.a hos min vens Synology boks.

Så jeg har sat 6 Robocopy kommandoer igang på 3 forskellige pc'ere for at kopiere de resterende ikke så vigtige shares - rippet music og film osv.

Iøvrigt er hastigheden på kopiering af filer igen som normalt.

Redigeret af ridderdk - 04-August-2014 kl. 00:13

antilles skrev: Det lyder dælme som en ubehagelig oplevelse!  Jeg har også en Synology, men er ikke selv blevet ramt. Har du en ide om hvordan de er kommer ind? Såvidt jeg ved, så SKAL de igennem dit password lige gyldig hvordan din synology er sat op. Men det er klart at hvis du har haft et simpelt pass word, og ingen blocking af for mange forgæves login forsøg. Efter heartbleed hullet er blevet lukket, kan jeg ikke rigtig se hvordan de ellers kan komme ind.  Jeg har tested mit password her: https://howsecureismypassword.net/ Og opnået 58 år i "score" Martin

Det er formentlig gennem port 22 (SSH remote login normalt)
Netbackup tjenesten bruger denne port, derfor har min boks lyttet på port 22.
Jeg har haft blokering efter 3 forsøg, men mit password har ikke været særligt sikkert må jeg indrømme.
Derudover så vil jeg også fremover disable admin account og lave en ny til formålet med et mere sikkert password.
De har sikkert kun forsøgt med user "admin", da det er default, derfor bør den deaktiveres/renames

Edit:
Iøvrigt, PAS PÅ med at angive dit password på en side du vel ikke kender specielt godt?
Jeg tastede et password ind som kunne sammenlignes med mit gamle, og det gav mig 36 minutter på en desktop PC at knække, så 58 år er sikkert udtryk for et sikkert password :-)

Redigeret af ridderdk - 04-August-2014 kl. 12:27