SynoLocker: CryptoLocker voor Synology

[johcla]

Voor de Synology-bezitters onder ons: er is recent een CryptoLocker versie voor Synology in omloop:
http://www.cso.com.au/article/551527/sy ... s_devices/
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

[ubremoved_539]

Best zo'n ding niet publiek aan het internet hangen... maar steeds aanspreken via een VPN.

[Petervanakelyen]

Ik vraag me af hoe ze zijn binnengeraakt. 0day?
Interessant dat ze het encryptieproces beschrijven:

Technical details about the encryption process:

A unique RSA-2048 keypair is generated on a remote server and linked to this system.
The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
A random 256-bit key is generated on this system when a new file needs to be encrypted.
This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
The 256-bit key is then encrypted with the RSA-2048 public key.
The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
The encrypted file is renamed to the original filename.
To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

[Avenger 2.0]

Best zo'n ding niet publiek aan het internet hangen... maar steeds aanspreken via een VPN.

En dan best nog eens op een andere poort dan de standaard poort want misschien zit juist daar de bug in

Ik denk dat ze bij Synology toch eens dringend werk moeten maken van de security in de volgende DSM versie.
Lijkt me toch weer geen goede reclame voor Synology dit voorval.

[cloink]

Ouch, pijnlijk. De mijne hangt niet in de DMZ, maar blijkbaar had ik wel QuickConnect aanstaan en dat zorgt ervoor dat de DS zelf via Synology servers bereikbaar is. Voor alle veiligheid toch maar even een remote shutdown gedaan, ik zou het niet willen meemaken dat de DS gehacked wordt met dit soort ongein.

[johcla]

Best zo'n ding niet publiek aan het internet hangen... maar steeds aanspreken via een VPN.

Het hangt er van af welke features je gebruikt, of je hem helemaal van het internet kan loskoppelen.
Ik gebruik de PhotoStation intens om foto's van shoots met klanten te kunnen delen. En de file-sharing feature wordt gebruikt als alternatief voor WeTransfer.
De firewall is wel heel strikt ingesteld en zelfs poorten 80 en 443 zijn enkel van Belgische ip-adressen bereikbaar.

Een minpunt is wel dat ik via ftp ook backup's neem van websites die bij een hosting provider staan. Om een of andere reden moet het publieke adres van mijn NAS ook in de firewall toegang krijgen tot ftp. En omdat ik geen vast ip-adres heb thuis, is er dus een rule die alle Belgische ip-adressen toegang geeft tot de ftp-poort.

Back-up NAS staat remote en is wel enkel via lokale LAN en VPN bereikbaar.

[krisken]

Ook dat die service snel even uitgezet...
DSM 5.0-4493 Update 3

[TomG]

Firewall rules voor open poorten enkel van IP adressen van bepaalde landen (van waaruit services gebruikt zullen worden) toelaten helpt inderdaad al veel. Temeer omdat veel van die misbruiken van buiten Europa komen. In de praktijk is dit al stuk praktischer dan VPN, zeker op mobile devices of voor externe gebruikers (zoals hierboven als voorbeeld genoemd).
Poorten gaan wijzigen lijkt mij een stuk minder zinvol, zeker als men portscanners gaat gebruiken.

En om de schade van het onoverkomelijke toch te voorkomen. Meerdere backups bijhouden. Liefst een combinate van off-site en off-line.

Best zo'n ding niet publiek aan het internet hangen... maar steeds aanspreken via een VPN.

Een minpunt is wel dat ik via ftp ook backup's neem van websites die bij een hosting provider staan. Om een of andere reden moet het publieke adres van mijn NAS ook in de firewall toegang krijgen tot ftp. En omdat ik geen vast ip-adres heb thuis, is er dus een rule die alle Belgische ip-adressen toegang geeft tot de ftp-poort.

Via Dynamic DNS kan je ook wat regelen.
Stel dat een service op locatie A met een dynamic of vast IP toegankelijk moet zijn vanop locatie B met een dynamic IP. Dan probeer je ervoor te zorgen dat er op locatie B een dynamic DNS domain bestaat, zoals bij DynDNS bvb. Met een scriptje kan je op locatie A dan wel voor zorgen dat het IP achter de DDNS name op locatie B altijd toegang heeft tot locatie A (bash, iptables en crontab).

[NuKeM]

Nu hier toch over gesproken wordt, heeft iemand een handige guide of how-to om enkel Belgische IPs toe te laten (op bv. een Synology NAS)?

[krisken]

Hoe kan je dit juist bepalen dat bvb enkel Europese/Belgische inwoners gebruik kunnen maken van je NAS?

[johcla]

Op een Synology:
Control Panel -> Security -> Firewall
Dan rules aanmaken en bij IP-adressen kiezen voor region en de landen selecteren die je wil toelaten.

Synology baseert zich dan een dienst zoals whatismyipaddress. Ik heb dagelijks zo'n 10 à 20 gebruikers (steeds verschillend) die mijn NAS benaderen, en nog geen last mee gehad. Eén keer wel iemand die vanop zijn werk surfde en die via proxy van de Spaanse hoofdzetel ging. Ik heb dan dat ip-adres ook voor een tijd toegevoegd.

[krisken]

En welke lijst gebruik jij (maw waar kan ik al de ip's vinden die behoren tot BE)?

[cloink]

It's official: http://forum.synology.com/enu/viewtopic ... 08&t=88770

[johcla]

En welke lijst gebruik jij (maw waar kan ik al de ip's vinden die behoren tot BE)?

Je moet gewoon 'België' in je firewall op je NAS aanduiden, ik zal vanavond een screenshot posten.

[krisken]

Super! Bedankt hiervoor! Heb zelf een Synology draaien, maar niet helemaal ermee vertrouwd (eerlijk gezegd zelfs nog nooit firewall tab open gedaan).

[ubremoved_2964]

als ik dit lees: always have backups, en liefst ook offline

of een systeem wat niet gekraakt kan worden bij overschrijven, een voorbeeld is een rsnapshot backup

bvb rsnapshot machine die je nas via rsync backupped, en gezien je toch dialy snapshots hebt, zal in geval van mayhem de huidige daily gewoon meer plaats innemen, maar alle eerdere versies blijven bestaan

ik gebruik dit sinds 2006 over een openvpn

[ubremoved_539]

En welke lijst gebruik jij (maw waar kan ik al de ip's vinden die behoren tot BE)?

http://www.ipligence.com/free-ip-database?download_form

[MClaeys]

Als je NAS vol data staat duurt dit toch wel een tijd om te encrypteren? Of ben ik mis en is binnen enkele seconden de hele drive ontoegankelijk? Hoe meer toestellen online hangen hoe vaker dit zal gebeuren denk ik. Zeker zolang mensen de basis security blijven gebruiken.

[ubremoved_539]

Dit neemt inderdaad enige tijd in beslag (die dingen hun CPU is nu ook niet de meest krachtige).

[TomG]

Super! Bedankt hiervoor! Heb zelf een Synology draaien, maar niet helemaal ermee vertrouwd (eerlijk gezegd zelfs nog nooit firewall tab open gedaan).

Dan hoop ik voor u toch dat die niet vanaf het internet bereikbaar is.

als ik dit lees: always have backups, en liefst ook offline

of een systeem wat niet gekraakt kan worden bij overschrijven, een voorbeeld is een rsnapshot backup

bvb rsnapshot machine die je nas via rsync backupped, en gezien je toch dialy snapshots hebt, zal in geval van mayhem de huidige daily gewoon meer plaats innemen, maar alle eerdere versies blijven bestaan

ik gebruik dit sinds 2006 over een openvpn

Zoiets heb ik ook, combinatie van hardlinks en rsync althans. Draait op afzonderlijke server.

[Synman]

Bericht van synology op twittet:
@Synology: Regarding the Synolocker message issue, please look here for important information on the recommended steps: http://t.co/kqfpmF7SbA.

[mailracer]

oef, ik denk niet geinfecteerd te zijn. Zelf had ik verschillende poorten open staan op mijn router om toegang te hebben. Ik heb deze dan maar afgesloten en sommige services gestopt op mijn nas.

ALs je de synolocker screen bekijkt merk je op dat je in je rootmap een redirect.html bestand hebt staan waarin je de key moet ingeven om hem vrij te maken.
Deze heb ik er niet opstaan, dus geen infectie zichtbaar. Ik heb DSM 5 draaien met de laatste update.

[johcla]

In bijlage een screenshot van mijn firewall rules.

De eerste 2 lijnen zijn voor het LAN, hier en via VPN vanop een andere lokatie.
Dan de zaken waar ik toegang vanuit België geef (poort 9200 is SABnzbd)
En tot slot de fixed adressen van de websites die ik backup.

Een andere feature die geactiveerd is, is de Auto Block. Na 5 mislukte logins wordt een IP-adres voor 24 uur. Soms is dat vervelend als een klant typfouten maken bij het inloggen op Photostation, maar het is toch al paar keer gebeurd dat een klant moedwillig andere gebruikersnamen probeert. De wachtwoorden zijn wel van die aard dat je die niet in 5 keer raadt, en op onze accounts is ook 2-factor-authentication met Google Authenticator geactiveerd.

[cloink]

Ik heb de mijne maar gewoon effe uitgezet tot er duidelijkheid is vanuit Synology, aangezien de boel backuppen onbegonnen werk is (al zitten de meest cruciale zaken op Glacier, maar toch...).

Better safe than sorry.

[selder]

Mijn DS1512+ is alleen bereikbaar door PPTP VPN, en ik heb geen windows computers meer, alleen OSX/iOS, dus hoop ik dat ik niet ten onrechte mij niet teveel zorgen maak

[Avenger 2.0]

Mijn DS1512+ is alleen bereikbaar door PPTP VPN, en ik heb geen windows computers meer, alleen OSX/iOS, dus hoop ik dat ik niet ten onrechte mij niet teveel zorgen maak

Tenzij het gaat om de fout in VPN die ze misbruiken?
http://www.kb.cert.org/vuls/id/534284

[selder]

Dat gaat over OpenVPN, en over DSM4.3. Ik gebruik PPTP VPN en DSM5.0 update3 ...

[johcla]

Mijn NAS blijft voorlopig ook online.
Mijn backup-NAS heb ik na de sync van gisteren wel helemaal offline gehaald totdat er meer info van Synology is, en belangrijke files worden quasi realtime naar Crashplan gestuurd.

[mailracer]

Meer info van diverse sites

https://www.facebook.com/synology/posts ... 3606857897

http://forum.synology.com/enu/viewtopic ... 08&t=88770

http://www.synology-forum.nl/firmware-a ... #msg119635

[remus]

en er is een manier om je gegevens terug te hebben via de private keys die per toeval eens werden opgevangen

https://www.security.nl/posting/397796/ ... ransomware

https://www.decryptcryptolocker.com/

[cloink]

Helaas is SynoLocker allicht een variant. Uit het Synology forum:

Invalid file.

The file does not seem to be infected by CryptoLocker. Please submit a CryptoLocker infected file.

What I understood from the story is that Fox-It and the FBI got hold of the database holding all the private keys for Cryptolocker. That way you could send a encrypted file and they could lookup the corresponding key.

Synolocker seem to work in a similar way only as far as I know the keys are not available only to the hackers.

[selder]

http://tweakers.net/nieuws/97677/synolo ... temen.html

Blijkbaar dus DSM5 geen problemen ... Hier iemand een geinfecteerd systeem op DSM5?

[mailracer]

DSM 5 laatste release en geen probleem. SSL was niet aktief op mijn systeem.

[selder]

Via e-mail van Synology:

Dear Synology users,

We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.

Affected users may encounter the following symptoms:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php

If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:

DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at [email protected].

We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.

Sincerely,
Synology Development Team

[mailracer]

Ik heb deze mail ook ontvangen. Best wel laat. Het komt erop neer dat je de dupe bent als je de update strategie niet gevolgd hebt.

[ubremoved_539]

Het komt erop neer dat je de dupe bent als je de update strategie niet gevolgd hebt.

Lijkt me niet meer dan logisch... security updates hebben wel degelijke een reden hoor (zeker als je zo'n apparaat rechtstreeks aan het internet hangt).

[johcla]

Inderdaad, want vermits er gecommuniceerd wordt welke bugs er gefixed zijn, weet een hacker natuurlijk ook wat hij kan doen bij mensen die de update niet uitvoeren. Het belangrijkste onderzoek is dan al gedaan voor hem, hij moet nog wel scriptjes schrijven en op zoek gaan naar de nassen die de update niet hebben. Sowieso een interessante business case

[Joe de Mannen]

Wel vreemd dat mijn nas geen updates weergeeft na 4.2-something, maar dat er op de website wel patches voor DSM5 te vinden zijn voor mijn model ...

J.

[StarWing]

Een van de symptomen van een geinfecteerde nas is dat 'm geen updates meer laat zien, of dat 'm zegt dat je reeds de laatste versie hebt.
Ik zou dus maar eens kijken of er geen "synosync" process aktief is.

[Joe de Mannen]

Dat is niet het geval.

Maar die situatie met de updates doet zich al een hele tijd voor, ik ga straks eens uitzoeken of ik toch niet kan upgraden. Het gaat trouwens om een DS211J, niet zo nieuw meer en als ik me goed herinner stond die niet op de lijst met supported devices van DSM5 toen die uitkwam, daarom heb ik er ook niet langer naar gekeken.

J.