recordere.dk forum     Det danske community for hjemmets elektronik og indhold     Siden 2003
<b>Forside</b> Forside > Generelle emner > Netværk
  Nye indlæg Nye indlæg  Seneste forum emner Seneste   Seneste forum emner (vindue) Vindue   De emner du deltager i Mine emner RSS Feed - Synolocker - advarsel til Synology brugere
  FAQ FAQ  Søg i forum   Opret ny bruger Opret ny bruger  Log ind Log ind

Synolocker - advarsel til Synology brugere

 Besvar Besvar Side  123 11>
Forfatter
Besked
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Emne: Synolocker - advarsel til Synology brugere
    Sendt: 03-August-2014 kl. 20:33
Hej

ADVARSEL til Synology brugere.

I eftermiddags da jeg forsøgte at logge på min Synology DS411+ fik jeg beskeden at alle filer var i færd med at blive krypteret og skulle de dekrypteres måtte jeg betale nogle Bitcoins (hvordan og hvortil kan jeg ikke huske)
Jeg erfarede kopiering af filer til min NAS pludselig tog MEGET længere tid end normalt, derfor ville jeg logge på og se hvad den havde gang i.........
Min normale loginside var erstattet af en side med instruks på hvordan jeg fik dekrypteret mine filer, jeg skyndte mig ud at tage strømkablet i skabet, derfor kan jeg ikke huske den præcise tekst, men genkender nedenstående beskrivelse som den samme jeg fik.
En googling på Synolocker har vist mig 2 personer som er ude i nøjagtig det samme (jeg fik den samme besked som begge).

En af dem her:
Meldt på Synology forum
Jeg aner af gode grunde ikke hvad jeg nu skal gøre, heldigvis har jeg backup i orden hos en bekendt's NAS.
Jeg tænker den er hacket via port 22, da det er den eneste jeg har åben ud, netop for at kunne udveksle backup med min ven.

Edit: en mere:
På twitter
Edit:
Kan se også port 5000 har været åbnet til min NAS, altså har det været muligt at logge på webinterface udefra!

Redigeret af ridderdk - 04-August-2014 kl. 22:24
Til top
Ehlz Se dropdown menu
Super bruger
Super bruger


Oprettet: 23-Januar-2012
Sted: Århus
Status: Offline
Point: 299
Funktioner Funktioner   Tak (0) Tak(0)   Citér Ehlz Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 20:51
Surt show....Kender desværre ikke til situationen og ej heller til en løsning. Jeg har selv aktiveret Ip block ved 1 forkert loginforsøg da jeg bruger netbackup og således er tvunget til at have port 22 open og dagligt blokerer 10-20 ip adresser som forsøger at få adgang. Det kan absolut anbefales!

Håber du finder en løsning

/Ehlz
Til top
strandvasker Se dropdown menu
Guld medlem
Guld medlem


Oprettet: 30-September-2009
Sted: Denmark
Status: Offline
Point: 2346
Funktioner Funktioner   Tak (0) Tak(0)   Citér strandvasker Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 20:53
Lyder lidt trist med din nas og jeg har ikke lige noget bud på en løsning, men nedenstående bliver jeg lige nødt til at sprøge ind til:

Oprindeligt skrevet af ridderdk ridderdk skrev:

Jeg tænker den er hacket via port 22, da det er den eneste jeg har åben ud, netop for at kunne udveksle backup med min ven.
Port 22 er normalt beregnet til fjernadministration, det er porten til SSH, det lyder lidt mystisk at udveksle backup over den.
Til top
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 20:59
Oprindeligt skrevet af strandvasker strandvasker skrev:

Lyder lidt trist med din nas og jeg har ikke lige noget bud på en løsning, men nedenstående bliver jeg lige nødt til at sprøge ind til:


Oprindeligt skrevet af ridderdk ridderdk skrev:

Jeg tænker den er hacket via port 22, da det er den eneste jeg har åben ud, netop for at kunne udveksle backup med min ven.

Port 22 er normalt beregnet til fjernadministration, det er porten til SSH, det lyder lidt mystisk at udveksle backup over den.

Ja, du har ret, det irriterer mig også gevaldigt at man ikke kan ændre det. Netbackup buger port 22, og jeg har også dagligt MANGE IP blocks pga. det.
Til top
Ehlz Se dropdown menu
Super bruger
Super bruger


Oprettet: 23-Januar-2012
Sted: Århus
Status: Offline
Point: 299
Funktioner Funktioner   Tak (0) Tak(0)   Citér Ehlz Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 21:03
Synology er informeret omkring ulempen ved tvungen anvendelse af port 22 ved krypteret netbackup. Vi kan jo håbe på de ændre det. Dog er det jo kun nødvendigt med åben port 22 på den DS du laver backup til. Så hvis det er tilfældet så har du vel stadig alt din data på den DS du laver backup fra?

/Ehlz
Til top
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 21:12
Oprindeligt skrevet af Ehlz Ehlz skrev:

Synology er informeret omkring ulempen ved tvungen anvendelse af port 22 ved krypteret netbackup. Vi kan jo håbe på de ændre det. Dog er det jo kun nødvendigt med åben port 22 på den DS du laver backup til. Så hvis det er tilfældet så har du vel stadig alt din data på den DS du laver backup fra?

/Ehlz


Jaee, umiddelbart har jeg stadig data liggende. Men kan ikke svare mere præcist idet jeg skyndte mig at slukke......

Til gengæld har jeg backup liggende hos min ven (har checket), hans backup som så er placeret hos mig, er nu af MEGET tvivlsom brugbarhed
Til top
Ehlz Se dropdown menu
Super bruger
Super bruger


Oprettet: 23-Januar-2012
Sted: Århus
Status: Offline
Point: 299
Funktioner Funktioner   Tak (0) Tak(0)   Citér Ehlz Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 21:16
Jeg skal bare lige forstå Ridder. Den synology der er blevet hacket, har port 22 åben, hvorfor?  Jeg spørger fordi netbackup jo anvendes til at lave backup af én synology til en anden synology, og port 22 skal kun være åben på den synology der laves backup til.

/ehlz


Redigeret af Ehlz - 03-August-2014 kl. 21:17
Til top
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 21:24
Oprindeligt skrevet af Ehlz Ehlz skrev:


Jeg skal bare lige forstå Ridder. Den synology der er blevet hacket, har port 22 åben, hvorfor?  Jeg spørger fordi netbackup jo anvendes til at lave backup af én synology til en anden synology, og port 22 skal kun være åben på den synology der laves backup til.

/ehlz


Ja, port 22 på min boks var åben for at tillade at min ven kunne placere en kopi af HANS vigtige data på MIN boks.

Forestil dig 2 Synology bokse som hver især bruger hinandens tjenester.
Ok?

Til top
Ehlz Se dropdown menu
Super bruger
Super bruger


Oprettet: 23-Januar-2012
Sted: Århus
Status: Offline
Point: 299
Funktioner Funktioner   Tak (0) Tak(0)   Citér Ehlz Citér  BesvarSvar Direkte link til dette indlæg Sendt: 03-August-2014 kl. 21:31
Jep, det giver selvfølgelig mening. Og så har du jo formentlig også stadig din data intakt. Ville bare sikre mig at du ikke havde port 22 åben uden grund.

Håber du finder ud af det!
Til top
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 04-August-2014 kl. 00:11
kan da lige opdatere.
jeg tændte min NAS igen efter at have læst den stadig kan bruges mens krypteringen foregår.
ved forsøg på login (http://nas_ip:5000/webman/index.cgi) bliver man redirected til http://nas_ip:5000/index.html og følgende vises:

SynoLocker™
Automated Decryption Service
All important files on this NAS have been encrypted using strong cryptography


List of encrypted files available here.

Follow these simple steps if files recovery is needed:
Download and install Tor Browser.
Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
Login with your identification code to get further instructions on how to get a decryption key.
Your identification code is 1Jy5xUncpXrHtmdNyJDKiX88RM1iHFpNdm (also visible here).
Follow the instructions on the decryption page once a valid decryption key has been acquired.


Technical details about the encryption process:
A unique RSA-2048 keypair is generated on a remote server and linked to this system.
The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
A random 256-bit key is generated on this system when a new file needs to be encrypted.
This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
The 256-bit key is then encrypted with the RSA-2048 public key.
The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
The encrypted file is renamed to the original filename.
To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
Note: Without the decryption key, all encrypted files will be lost forever.

Alle shares er tilgængelige, dog ser det ud til alle filer der er listet i crypted.log er ulæselige.
Heldigvis ser det ud til den tager et share ad gangen og er lige nu i fuld gang med mit Backup share. Det betyder heldigvis ikke noget, da jeg har Backup mappen liggende flere steder, bl.a hos min vens Synology boks.

Så jeg har sat 6 Robocopy kommandoer igang på 3 forskellige pc'ere for at kopiere de resterende ikke så vigtige shares - rippet music og film osv.

Iøvrigt er hastigheden på kopiering af filer igen som normalt.

Redigeret af ridderdk - 04-August-2014 kl. 00:13
Til top
antilles Se dropdown menu
Super bruger
Super bruger


Oprettet: 05-Januar-2009
Sted: BallerupDenmark
Status: Offline
Point: 385
Funktioner Funktioner   Tak (0) Tak(0)   Citér antilles Citér  BesvarSvar Direkte link til dette indlæg Sendt: 04-August-2014 kl. 11:26
Det lyder dælme som en ubehagelig oplevelse! 

Jeg har også en Synology, men er ikke selv blevet ramt. Har du en ide om hvordan de er kommer ind? Såvidt jeg ved, så SKAL de igennem dit password lige gyldig hvordan din synology er sat op. Men det er klart at hvis du har haft et simpelt pass word, og ingen blocking af for mange forgæves login forsøg. Efter heartbleed hullet er blevet lukket, kan jeg ikke rigtig se hvordan de ellers kan komme ind. 

Jeg har tested mit password her: https://howsecureismypassword.net/
Og opnået 58 år i "score"

Martin
Til top
ridderdk Se dropdown menu
Guld medlem
Guld medlem
Avatar

Oprettet: 29-September-2006
Sted: Køge, Denmark
Status: Offline
Point: 950
Funktioner Funktioner   Tak (0) Tak(0)   Citér ridderdk Citér  BesvarSvar Direkte link til dette indlæg Sendt: 04-August-2014 kl. 12:21
Oprindeligt skrevet af antilles antilles skrev:

Det lyder dælme som en ubehagelig oplevelse! 

Jeg har også en Synology, men er ikke selv blevet ramt. Har du en ide om hvordan de er kommer ind? Såvidt jeg ved, så SKAL de igennem dit password lige gyldig hvordan din synology er sat op. Men det er klart at hvis du har haft et simpelt pass word, og ingen blocking af for mange forgæves login forsøg. Efter heartbleed hullet er blevet lukket, kan jeg ikke rigtig se hvordan de ellers kan komme ind. 

Jeg har tested mit password her: https://howsecureismypassword.net/
Og opnået 58 år i "score"

Martin

Det er formentlig gennem port 22 (SSH remote login normalt)
Netbackup tjenesten bruger denne port, derfor har min boks lyttet på port 22.
Jeg har haft blokering efter 3 forsøg, men mit password har ikke været særligt sikkert må jeg indrømme.
Derudover så vil jeg også fremover disable admin account og lave en ny til formålet med et mere sikkert password.
De har sikkert kun forsøgt med user "admin", da det er default, derfor bør den deaktiveres/renames

Edit:
Iøvrigt, PAS PÅ med at angive dit password på en side du vel ikke kender specielt godt?
Jeg tastede et password ind som kunne sammenlignes med mit gamle, og det gav mig 36 minutter på en desktop PC at knække, så 58 år er sikkert udtryk for et sikkert password :-)

Redigeret af ridderdk - 04-August-2014 kl. 12:27
Til top
 
 Besvar Besvar Side  123 11>
 
Skift forum Forum-tilladelser Se dropdown menu