Ransomware på Synology Ds216j

Permalänk

Ransomware på Synology Ds216j

hejsan

Har råkat ut för ransomware på min nas som heter eCh0raix.
De verkar mest ha kryperat bild filer(tio års foton på barnen, men har backup på annat ställe) å diverse mindre filer.
Alla filmer jag har av typen mkv har inte blivit krypterade.

behöver jag radera allt?
eller kan jag spara sånt som inte har fått filändelsen .encrypt?

Permalänk
Medlem
Skrivet av Waheeda78:

hejsan

Har råkat ut för ransomware på min nas som heter eCh0raix.
De verkar mest ha kryperat bild filer(tio års foton på barnen, men har backup på annat ställe) å diverse mindre filer.
Alla filmer jag har av typen mkv har inte blivit krypterade.

behöver jag radera allt?
eller kan jag spara sånt som inte har fått filändelsen .encrypt?

Utifrån vad jag läst gällande ransomware i allmänhet så har jag intrycket att det verkar vara vanligt att de för att snabba upp processen väljer vilka filtyper som är värda att kryptera baserat på vad de tror att det finns chans att folk är villiga att betala för, istället för att kryptera allt. Detta då för att minimera chansen/risken att processen avbryts av någon som upptäcker vad som pågår innan det är klart.

Det som är "bäst" är väl egenskapat material, inte sådant som brukar gå att bara ladda ned igen från Internet eller motsvarande. Och de generaliserar väl utifrån detta vilka filtyper som brukar vara intressanta.

Det kan mycket väl vara så att övriga filer är helt orörda, men det är väl rimligt att iaktta försiktighet med tanke på vad som försiggått.

Bra jobbat att du hade backup på åtminstone bilderna!

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem

Jaha, ransomwareviruset från QSNAP har också nått Synology... ...och ingångsvektorn är tydligen publikt över Internet åtkommlig NAS[1], veka lösenord och att man inte uppdaterar OS tillräckligt ofta.

i QNAP-fallet gick man igenom en app/sevice med hög behörighet (liknande root-behörighet eller kunde bli root-behörig) som hade i sig en egen gömd passord - ja, bakdörr om man vill som utvecklarna av appen hade lämnat efter sig

Hur har du fått död på viruset ? - annars bör NAS:en hållas avstängd då filer utan .encrypt är helt enkelt filer som ännu inte hunnits krypteras - det tar tid att kryptera fler TB med filer och ännu långsammare med en klen ARM-propp. om du inte är säker på att NAS:en är fri från virus bör du hantera diskarna under en linux via USB-diskdockor/adaptrar.

filerna brukar krypteras med AES-256 chipher vilket gör dem i praktiken oknäckbara om man inte har lösenordet. De ransomwareangrepp som har kunnat avkodas utan hjälp från de som skapade ransomware beror nästan alltid på missar i lösenordshantering eller i genereringen av själva lösenordet med dåliga gjorda och förutsägbara generatorer eller att lösenordet är glömd/gömd på lagringen eller kan fångas medans krypteringen pågår.

Just denna variant är också smart nog att radera backupper på anslutna USB-diskar och på tex. molntjänster om man har sådan synkningsservice igång på NAS:en och visar betydelsen i att ha molntjänster som har retension-tid av raderade och modifierade filer - vilket de flesta molntjänster _inte_ har om det inte står så uttryckligen i avtalet (och betalar för platsen som de raderade (men egentligen dolda) filer upptar i plats). - säkrats i alla lägen är backup på en eller helst två USB-diskar och alltid är urkopplad mellan backupperna och vara säker på att det är virusfritt innan de kopplas in (därav två backupdiskar så man en kvar om man kopplar in backuppen till angripen NAS). Allt som är 'on-line' och inte är skrivskyddat (som redan brända DVD-R skivor) kan angripas!

En annan issue som visar sig för de drabbade (som har kunnat rädda tillbaka sina raderade filer på sin molnlagring) är tydligen att hämta filerna från molntjänsterna igen då klient i NAS inte kan hämta filerna i bulk på något bra sätt utan det är filer och kanske enskilda mappar i taget och därmed mycket manuell jobb. - man har inte implementerat att återställa en hel disk-set från molntjänst till blank disk tydligen...

Ni som har Synology med '+' och en del 'play' och därmed BTRFS som filsystem - slå på snapshot-replicate om det inte redan är gjort - då görs det snapshot ofta, på dag eller timbasis och kan vara kvar i veckor och månader beroende hur det ställs in och oftast i read-only mode, vilket nuvarande ransomware inte verka kunna ändra eller ta bort, sedan fixa bättre lösenord/passfraser om ni vet med er är lättgissade - dvs. minst 12 maskinslumpade tecken för lösenord och minst 6 maskinslumpade ord med skiljetecken ur en stor lexikon för passfras, ta också bort eventuell åtkomst från publik Internet - och inte minst gör backup/kopia på all data på NAS_en till en eller flera USB-diskar och förvara dem urkopplade mellan backupperna - speciellt viktigt om man fortfarande vill ha NAS:en publikt synlig över Internet då man måste räkna med att det förr eller senare hackas.

[1]
Kan du skicka upp bilderna från din telefon till din NAS så är den publikt åtkomlig oavsett om det går till publik IP via din router eller går via reverse proxy hos Synology om din anslutning går under CG-NAT hos din ISP

Permalänk

Änn så länge har jag inte hittat nått virus eller annat.
Håller fortfarande på och kör virus programmet på nas,en tar lite tid.
Har inte fått nånting på datorn iallafall, om de nu är något som smittar.

Permalänk
Medlem

Då har du viruset kvar och den ligger i NAS:en firmware och sakta knaprar upp dina filer till krypterade versioner. - så stäng av NAS:en nu!!

Skall viruset upptäckas så måste det vara en för NAS:en antivirusprogram som körs i själva NAS:en och är den redan infekterad när antivirusprogrammet installeras så kommer den förmodligen inte hittas ändå då virusets halva uppgift är att göra sig osynlig för de allra flesta antivirusprogrammen - och antivirusprogram i din persondator ser inget av det som händer i själva NAS:en, och det är så pass nytt virus att det troligen inte upptäcker det ens när antivirusprogrammet körs inom NAS:en.

Vad du egentligen behöver göra är att ta ur diskarna och köra dessa via en diskdocka på en Linux-live-skiva uppstartad på din dator från en USB-sticka för att extrahera ut alla dina filer till annan USB-disk.

stoppa tillbaka diskarna och sedan göra en fabriksåterställning där allt på diskarna försvinner helt - efter fabriksåterställningen omedelbart göra firmware-uppgradering, och samtidigt se att dina passord/passfraser är tillräckligt långa och bra och speciellt för admin/root-kontot

Sedan skapa tillbaka dina utdelade volymer och återställa filerna igen med uppladdning från din USB-disk (strunta i dem som står encrypt på - dom är värdelösa ändå)

Det finns egentligen inget annat sätt att garantera att din NAS är fri från droppers och virus gömda i systemet om man inte gör helvägenrensning med nollställd media på samma sätt som en angripen laptop/stationär dator med med full OS-ominstallation

Låter det omständligt och jobbigt - Ja, det är precis vad det är, speciellt för nya virus innan det finns program som rensa dem (och en del går inte att få bort mer än att blanka lagringen och installera alltihop från början igen)

Permalänk

Blir å rensa allt då. Har ingen så stor usb disk, men är mest gammla filmer jag redan sett så.
Inte värt att köpa en disk för de

tack för råden

Permalänk
Medlem

Du kommer förmodligen ångra dig mer eller mindre lång tid efter att filerna är borttagna och sagda filer kan vara svårhittade och att tanka hem igen fast det fanns hur mycket som helst för ett antal år sedan - men det är ditt beslut

Du behöver ändå ha en stor disk för att göra backup för NAS:en senare och externa USB 8TB diskar är fortfarande prisvärda och i och med att de är fortfarande luftfyllda är lämpliga för långtidslagring (de med helium (10 TB och uppåt) kan man inte ha samma tilltro för långtidsarkiv då om det på vissa individnivå läcker ut helium för mycket efter 5-10 år så att den inte startar så blir det trubbligt och dyrt att rädda hos diskräddningsföretagen[1]). Intenso (seagatedisk invändigt) 6TB finns kvar på de flesta netonnet över disk medans 8TB börja också bli utplockade och allt över 8TB verkar man få vänta till i höst innan det förhoppningsvis dyker upp då det är tomt överallt - butikerna behöver heller inte prispressa på dem längre i och med bristen så det har gått upp ett par hundringar generellt...

[1]
Seagates heliumdiskar sägs på HD-rep forum fortfarande går att läsa ut data fast det mesta av heliumet smitit men går då varmt, medans diskar från WD/HGST går inte alls att rädda när de väl stannat pga. för låg heliumnivå då det räcker inte med att pytsa i lite extra helium i hopp att det skall snurra igång igen)

Permalänk
Skrivet av Waheeda78:

Har råkat ut för ransomware på min nas som heter eCh0raix.

Tråkigt att höra! Jag är lite förvånad att du drabbats av just denna ransomware, den är ju minst två år gammal (och var, åtminstone initialt, en QNAP-ransomware).

Är mycket nyfiken vilken attackvektor som kan ha använts. Var din NAS uppdaterad med senaste firmware? Hade du vidtagit några åtgärder alls för att hindra hackning, eller kan det varit så att du hade alla tjänster påslagna, med default admin user aktiv, enkla lösenord osv osv? Jag gissar att den låg helt öppen mot internet (dvs ingen VPN el liknande)? Använde du Synologys Qucik Connect?

Detta kan ge bra ledtrådar till oss andra, vad vi kan göra för att undvika ransomware.

Permalänk
Medlem

Jag är också intresserad av att veta mer om vektorn in här.

För egen del har jag en DS213j ståendes på annan ort som extern backup. Den använder Synology's DDNS och identifieras korrekt i My Devices (på account.synology.com) men jag har bara öppnat brandväggen på routern att tillåta en icke-standard port för SSH. SSH tillåts bara med PubKey och inte som root.

En sak som gör mig irriterad är att NASen inte verkar ha stöd för DSM 7. Jag kör för närvarande 6.2.4.

user@synology:~$ cat /etc.defaults/VERSION majorversion="6" minorversion="2" major="6" minor="2" micro="4" productversion="6.2.4" buildphase="GM" buildnumber="25556" smallfixnumber="0" nano="0" base="25556" builddate="2021/03/04" buildtime="19:32:03"

Funderar på om det finns fler saker jag kan göra för att säkra upp enheten.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Medlem
Skrivet av GLaDER:

Jag är också intresserad av att veta mer om vektorn in här.

För egen del har jag en DS213j ståendes på annan ort som extern backup. Den använder Synology's DDNS och identifieras korrekt i My Devices (på account.synology.com) men jag har bara öppnat brandväggen på routern att tillåta en icke-standard port för SSH. SSH tillåts bara med PubKey och inte som root.

En sak som gör mig irriterad är att NASen inte verkar ha stöd för DSM 7. Jag kör för närvarande 6.2.4.

user@synology:~$ cat /etc.defaults/VERSION majorversion="6" minorversion="2" major="6" minor="2" micro="4" productversion="6.2.4" buildphase="GM" buildnumber="25556" smallfixnumber="0" nano="0" base="25556" builddate="2021/03/04" buildtime="19:32:03"

Funderar på om det finns fler saker jag kan göra för att säkra upp enheten.

Visste inte ens att DSM 7 fanns. Har precis uppdaterat en av mina. Det verkar som att det går att uppdatera DS213J också? https://www.synology.com/sv-se/support/download/DS213j#system

Välj nuvarande version, och vilken du vill uppdatera till. Så får du en nedladdningslänk. Sedan kör du "manual update" i nas'en

Visa signatur

12900K | Z690 | RTX3090

Permalänk
Medlem
Skrivet av kjenik:

Visste inte ens att DSM 7 fanns. Har precis uppdaterat en av mina. Det verkar som att det går att uppdatera DS213J också? https://www.synology.com/sv-se/support/download/DS213j#system

Välj nuvarande version, och vilken du vill uppdatera till. Så får du en nedladdningslänk. Sedan kör du "manual update" i nas'en

Huh. Om jag kör synoupgrade --check får jag inte något meddelande om att det finns en ny uppdatering. Jag har som sagt NASen på annan ort och når den bara via SSH, så kan inte göra några GUI-operationer.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Skrivet av Topology94:

Tråkigt att höra! Jag är lite förvånad att du drabbats av just denna ransomware, den är ju minst två år gammal (och var, åtminstone initialt, en QNAP-ransomware).

Är mycket nyfiken vilken attackvektor som kan ha använts. Var din NAS uppdaterad med senaste firmware? Hade du vidtagit några åtgärder alls för att hindra hackning, eller kan det varit så att du hade alla tjänster påslagna, med default admin user aktiv, enkla lösenord osv osv? Jag gissar att den låg helt öppen mot internet (dvs ingen VPN el liknande)? Använde du Synologys Qucik Connect?

Detta kan ge bra ledtrådar till oss andra, vad vi kan göra för att undvika ransomware.

Ganska uppenbart att TS hade den öppen och med dåligt lösen.

Permalänk

Jag hade inte uppdaterat den på länge.
De kom in genom admin kontot som hade standard lösen på tyvärr.
Jag hade oxå Quick connect igång.
I dagsläget använder jag den bara som media server till tvn så är väl inget av värde på den förutom hade en backup av gammla bilder på den.
Så har väl inte haft nått säkerhets tänk alls

Permalänk
Medlem
Skrivet av Waheeda78:

De kom in genom admin kontot som hade standard lösen på tyvärr.

Oj. Men ändå betryggande att det var handhavandefel.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Permalänk
Skrivet av Waheeda78:

Så har väl inte haft nått säkerhets tänk alls

Ok, tack för ärligheten. Då finns det inte så mycket lärdomar att dra.

Men om jag vore du skulle jag nog lägga lite mer tid framgent på att säkra upp även en NAS som inte har viktigheter på sig. Dels är det mycket tid och bök att försöka fixa saker i efterhand, när något gått snett. Men framför allt så skulle en mer avancerad ransomware kunnat kryptera/förstöra även andra delar av nätverket nu när den väl fått root access i NASen, som med stor sannolikhet ju har access till resten av dena datorer där hemma.

Permalänk
Medlem

Jo har man SMB1/NTLM v.1 aktiv i win10 vilket många slår på igen i för att få (äldre) saker att fungera i LAN så är det potentiell hackväg i nästan varenda dator - sedan har man windows remote desktop som eftertraktad resurs och har en historia med många potentiella hackvägar, så kan man plötsligt komma åt företagsnätverk om det finns vpn-koppel ovanpå allt med covid-hemmarbete etc.

så även enkel sak som en media-NAS med oviktiga filer som kanske hackas, kan ge stor konsekvens.

Permalänk

har inte läst allt som har skrivit, Finns ett projekt som heter no more ramsom som består av lite polis myndigheter i europa samt virus skydd tillverkare där man lägger upp decrypterings nycklar för olika typer av ramsomeware.
Det är gratis, så in sök upp just din ramsomeware följ guiden som finns och decryptera. (alla typer av ramsomeware finns inte upplagda)

https://www.nomoreransom.org/en/index.html

Visa signatur

// Tomtenisse