Board logo

標題: [注意][重要][極危險] Synology用家入黎!cryptolocker入侵(SynoLocker) [打印本頁]

作者: wa124    時間: 2014-8-3 08:25     標題: [注意][重要][極危險] Synology用家入黎!cryptolocker入侵(SynoLocker)

本帖最後由 wa124 於 2014-8-5 09:39 編輯


為安全計,建議
1. 暫時關閉port forward 5000,5001,22,23同其他冇需要用到的port
2. 關閉Quick Connect
3. 停用admin account
4. 移除/停用第三方套件
5. 啟用自動封鎖
6. 啟用防火牆

終極安全方法:熄機or斷網投降


Photo_2014_08_03_00_52_28_1.JPG
2014-8-3 08:23

cryptolocker變種(SynoLocker)
針對Synology NAS!!!

中左招的話
nas入面d資料會被惡意強行加密
要比錢買返條解密KEY!

有fd中左
感染途徑不明
估計同之前礦機事件有關

Google亦搵唔到有關資料

圖片附件: Photo_2014_08_03_00_52_28_1.JPG (2014-8-3 08:23, 83.94 KB) / 下載次數 172
https://www.hkepc.com/forum/attachment.php?aid=1703033&k=7cd3836e4df9538a14bff6d7b841bc98&t=1660285697&sid=7Ym9ieetz


作者: hon328    時間: 2014-8-3 08:46

多謝提示:咁真係要小心
作者: wa124    時間: 2014-8-3 08:48

回覆 2# hon328

為安全計我已經暫時關閉5000 port
直到搵到感染途徑為止

(Sent from HKEPC iPhone app)
作者: 炎冬    時間: 2014-8-3 08:49

cryptolocker變種
針對Synology NAS!!!

中左招的話
nas入面d資料會被惡意強行加密
要比錢買返條解密KEY!
...
wa124 發表於 2014-8-3 08:25


是不是只會在NAS內的Driver? 如果駁了Ext USB HDD做Backup會不會加密個 usbshare1
作者: wa124    時間: 2014-8-3 08:51

回覆 4# 炎冬

未知
受害人是我朋友的朋友
只知道型號是713+
Fw佢話已經係最新

(Sent from HKEPC iPhone app)
作者: 炎冬    時間: 2014-8-3 09:02

回覆  炎冬

未知
受害人是我朋友的朋友
只知道型號是713+
Fw佢話已經係最新

(Sent from HKEPC iPhone ap ...
wa124 發表於 2014-8-3 08:51


我個朋友都有部710+都是上到update 3, 如果中招, 我就有排搞...
作者: TH30    時間: 2014-8-3 09:20

勒索案,報警
另外可試試找synology support幫手
作者: billyck2    時間: 2014-8-3 09:37

係真的話,synology會比你重驚
作者: ben327    時間: 2014-8-3 10:12

好大鑊喎!
作者: hhhepc    時間: 2014-8-3 10:24

提示: 作者被禁止或刪除 內容自動屏蔽
作者: aiyume    時間: 2014-8-3 10:26

提示: 作者被禁止或刪除 內容自動屏蔽
作者: 哈雅貼    時間: 2014-8-3 11:24

如果WINDOWS中野呢頁應該係CYPROLOCLER唔係SYNOLOCKER
似乎呢隻真係衝住S記黎
作者: kidhong    時間: 2014-8-3 11:46

周董機唔理3721
即刻熄晒D PORT佢
作者: 666    時間: 2014-8-3 12:02

勒索案,報警
另外可試試找synology support幫手
TH30 發表於 2014-8-3 09:20


人地用左tor network, 賣白粉,軍火都係用佢。你搵到佢至講。
作者: chinwah    時間: 2014-8-3 12:05

用周董的user會仲驚,因為無official support
死左都無人理
作者: wa124    時間: 2014-8-3 12:09

回覆 11# aiyume

唔係
係synology上面中
你睇清楚d,再用tor上果個網就明

(Sent from HKEPC iPhone app)
作者: wa124    時間: 2014-8-3 12:11

回覆 10# hhhepc

叫左佢report了
但假如檔案真係加密左
我唔認為synology幫到佢

(Sent from HKEPC iPhone app)
作者: chinwah    時間: 2014-8-3 12:14

不過認真一問,有冇試過其他port入部機???
即係ds audio / video/  dlna /ftp / telnet/ ssh 入部機?
會唔會只係惡作劇霸左你個port 5000 ???
作者: wa124    時間: 2014-8-3 12:14

回覆 8# billyck2

你認為係假的話,可以出返去,再順手報警話我發怖假消息

(Sent from HKEPC iPhone app)
作者: wa124    時間: 2014-8-3 12:16

回覆 18# chinwah

冇人知個漏洞係邊個port。。。
我都係按上次礦機事件估係port 5000有事

(Sent from HKEPC iPhone app)
作者: wa124    時間: 2014-8-3 12:18

回覆 14# 666

Agree。仲要用bitcoin交易,點追?

(Sent from HKEPC iPhone app)
作者: NeTZoO    時間: 2014-8-3 12:24

Google都無,你朋友個朋友擺左d咩機密在nas度?

題題大家,唔好貪得意好睇下圖片條link,隨時去完就中蕉
作者: yawoo    時間: 2014-8-3 12:25

未必port 5000 入侵
可能pc 中左木馬,經pc 入侵nas
隻nas root passwd 又太簡單
作者: wa124    時間: 2014-8-3 12:28

回覆 23# yawoo

當然有可能直接ssh攻擊,但一日未搞清楚點中招都好危

(Sent from HKEPC iPhone app)
作者: kaykkay    時間: 2014-8-3 12:33

any more information?
can share the screencap on the hacker page? how much $ needed and etc information?
作者: wa124    時間: 2014-8-3 12:35

回覆 22# NeTZoO

咁就唔清楚佢放左咩。。。
但應該係cryptolocker果種綁架搶錢

(Sent from HKEPC iPhone app)
作者: wa124    時間: 2014-8-3 12:47

回覆 25# kaykkay
螢幕快照 2014-08-03 下午12.39.41.jpg
2014-8-3 12:47


圖片附件: 螢幕快照 2014-08-03 下午12.39.41.jpg (2014-8-3 12:47, 127.24 KB) / 下載次數 59
https://www.hkepc.com/forum/attachment.php?aid=1703104&k=60c06420f00221b13726917263df0444&t=1660285697&sid=7Ym9ieetz


作者: 666    時間: 2014-8-3 14:04

回覆  NeTZoO

咁就唔清楚佢放左咩。。。
但應該係cryptolocker果種綁架搶錢

(Sent from HKEPC iPhone ap ...
wa124 發表於 2014-8-3 12:35



三仔四仔啦,唔駛估。
作者: jda    時間: 2014-8-3 14:16

呢隻野係咪呢幾日先出?
作者: TimHK    時間: 2014-8-3 14:24

好恐怖…

我部機擺左屋企D相,係咪要關機,避一避風頭…
作者: kaykkay    時間: 2014-8-3 15:04

anyone got some bitcoin? can pay like 0.0001 BTC to that address?
作者: hkyung    時間: 2014-8-3 16:39

如果堅  s 記都幾頭痕 至少我下隻nas 一定唔會係只考慮s記
作者: chinwah    時間: 2014-8-3 17:10

OMG, Xpe 嗰邊都有人中招了, 由於關於周生,不能貼link,直接轉貼張相過嚟算
呢單野應該好真的了

file.jpg
2014-8-3 17:10


圖片附件: file.jpg (2014-8-3 17:10, 123.85 KB) / 下載次數 62
https://www.hkepc.com/forum/attachment.php?aid=1703194&k=d6954431462f67c5f0c818c8e476b1a2&t=1660285697&sid=7Ym9ieetz


作者: wilson2888    時間: 2014-8-3 17:16

我都中左招!!! 唉! 有冇方法? 如果買BITCOIN應點買?
作者: wa124    時間: 2014-8-3 17:17

回覆 33# chinwah

我朋友果隻唔係周生!
應該無一幸免

(Sent from HKEPC iPhone app)
作者: 666    時間: 2014-8-3 17:21

我都中左招!!! 唉! 有冇方法? 如果買BITCOIN應點買?
wilson2888 發表於 2014-8-3 17:16



    3000 蚊,你ok?
作者: wa124    時間: 2014-8-3 17:22

係唔係
0.6 + 6 BTC?
作者: chinwah    時間: 2014-8-3 17:24

回覆 35# wa124


周生係一大問題,
但另一大問題係呢隻野開始喺唔同地方出現了,
我依家disable晒所有 NAS的port forward先,暫時內聯行住先,
希望唔係windows中招再寫入去,而係直接外部攻擊先
作者: wa124    時間: 2014-8-3 17:27

回覆 38# chinwah

唔好諗咁多!!關晒port forward先算...
好唔安全......
作者: wa124    時間: 2014-8-3 17:30

回覆 28# 666

陣係三仔四仔佢應該recover左部機啦
BTW...nas閒閒地幾TB野,中左真係唔知點算..............
作者: 666    時間: 2014-8-3 17:33

回覆  666

陣係三仔四仔佢應該recover左部機啦
BTW...nas閒閒地幾TB野,中左真係唔知點算......... ...
wa124 發表於 2014-8-3 17:30



我用原裝syno,有30TB, 平時唔用power off。基本上乜port 都唔開俾佢。
真係lock左就佢big lemon coke了。
作者: dds    時間: 2014-8-3 17:52

oh,   差d買咗S 2手,現用54l, 係vmws行ubuntu 14,
and win7 lamp
希望冇事.   mm已雪, 唔敢開
作者: 快速男    時間: 2014-8-3 18:37

咁大鑊!VPN 返屋企..攪攪佢。停左SSH..+ 5000PORT 先。如果唔系啲4仔就無Q晒...

樓主..有無問下SYNOLOGY 解救方法?或者報警受唔受理?如果唔系..之後都好無保障…

我隻SYNOLOGY 1512+ 成日都比人撞IP..FTP..SSH......已經自動封鎖..BLOCK 左幾十頁IP...好彩我SET PW ..SET到好貴難記。先避過一劫。

QNAP我都有!但從來好小信息提示比人撞IP.....
作者: chun232939472    時間: 2014-8-3 18:41

咁大鑊!VPN 返屋企..攪攪佢。停左SSH..+ 5000PORT 先。如果唔系啲4仔就無Q晒...

樓主..有無問下SYNOLOGY  ...
tklau315 發表於 2014-8-3 18:37



好奇問有咩必要開SSH OVER WAN?
作者: hkboy3000    時間: 2014-8-3 18:52

好似好大鑊,部機年幾未熄過,
呢期都係熄機避一避風頭穏陣D...
作者: tingcrab    時間: 2014-8-3 19:23

嗯,突然間係度諗不如整部鬼vm機行一個假的,再開5000port睇下會唔會中……
作者: wilson2888    時間: 2014-8-3 19:29

回覆 36# 666

我唸住明天問SYNOLOGY先, 不過DATA好重要, 睇來都係局比!
作者: wilson2888    時間: 2014-8-3 19:30

本帖最後由 wilson2888 於 2014-8-3 19:34 編輯

回覆 45# hkboy3000

今日我發現好多FILES開唔到, 修改同建立日期都係今日! 之後我REBOOT, 跟住就LOCK死左! 我唸你唔好關機, UNPLUG LAN線好D!
作者: looking4mp3    時間: 2014-8-3 19:32

好彩冇中到,不過提心吊膽
作者: wa124    時間: 2014-8-3 19:36

回覆 48# wilson2888

有冇可疑process run緊?

(Sent from HKEPC iPhone app)
作者: hkyung    時間: 2014-8-3 19:46

愈嚟愈恐怖
作者: 666    時間: 2014-8-3 19:50

回覆  666

我唸住明天問SYNOLOGY先, 不過DATA好重要, 睇來都係局比!
wilson2888 發表於 2014-8-3 19:29



唔好俾先,問問syno 點才算。
俾左一定unlock到架,無人知呀!!!!
作者: yawoo    時間: 2014-8-3 19:52

回覆  wilson2888

有冇可疑process run緊?

(Sent from HKEPC iPhone app)
wa124 發表於 2014-8-3 19:36


做加密一定會用cpu資源,所以苦主隻nas 既cpu 用量會近來高左
留意邊d process 用得較多cpu資源,最好停左d 唔需要用既service, 咁會易d 分到
作者: wa124    時間: 2014-8-3 19:56

回覆 52# 666

如果係因為漏洞,係咪應該叫synology比錢?

(Sent from HKEPC iPhone app)
作者: 666    時間: 2014-8-3 19:58

回覆  666

如果係因為漏洞,係咪應該叫synology比錢?

(Sent from HKEPC iPhone app)
wa124 發表於 2014-8-3 19:56



    呢個問題好有趣,原則上係syno 問題。。。。
作者: wilson2888    時間: 2014-8-3 20:21

回覆  wilson2888

有冇可疑process run緊?

(Sent from HKEPC iPhone app)
wa124 發表於 2014-8-3 19:36


冇, 但係CPU長期100%
作者: wa124    時間: 2014-8-3 20:27

回覆 56# wilson2888
咩型號?
咩process full load?

(Sent from HKEPC iPhone app)
作者: wilson2888    時間: 2014-8-3 20:30

回覆 57# wa124

Synology DJ212J
作者: aiyume    時間: 2014-8-3 20:35

提示: 作者被禁止或刪除 內容自動屏蔽
作者: 666    時間: 2014-8-3 20:50

1.最好叫咪間上網公司比咪錢, 因為佢網絡不完善, 攪到你朋友個IP俾黑客搵到, 之後俾人攪.
2.搵咪消費者委 ...
aiyume 發表於 2014-8-3 20:35



你有病乎?
作者: p0486    時間: 2014-8-3 20:58

呢排S記成日都有事, 睇黎要諗下轉Q記
作者: KinChungE    時間: 2014-8-3 21:03

1.最好叫咪間上網公司比咪錢, 因為佢網絡不完善, 攪到你朋友個IP俾黑客搵到, 之後俾人攪.
2.搵咪消費者委 ...
aiyume 發表於 2014-8-3 20:35


敢問師兄一句
知唔知個"咪"字點讀?

另外, Synology冇責任保障用戶data安全性, 因為data係store響user果邊, 唔係synology幫你store
作者: yawoo    時間: 2014-8-3 21:08

冇, 但係CPU長期100%
wilson2888 發表於 2014-8-3 20:21


Cpu 常期100% 即是繼續做緊加密
如果揾唔到邊個process 攪野
倒不如熄左個nas,  以防更多files 被加密
等多幾日,等件事明廊化,或官方有解決方案
作者: aiyume    時間: 2014-8-3 21:22

提示: 作者被禁止或刪除 內容自動屏蔽
作者: wilson2888    時間: 2014-8-3 21:23

回覆 59# aiyume

人地係外國高手, 我想問香港POLICE同IT人能對付到嗎?

NAS比人HACK關消委會咩事?
作者: wilson2888    時間: 2014-8-3 21:24

回覆 63# yawoo

已經太遲! 而家唯有等SYNOLOGY回覆!
作者: aiyume    時間: 2014-8-3 21:29

提示: 作者被禁止或刪除 內容自動屏蔽
作者: domwong    時間: 2014-8-3 21:35

所有microsoft 用户都要搵消委會
作者: wilson2888    時間: 2014-8-3 21:41

我想知仲有冇人中了招? 希望SYNOLOGY快D回覆!
作者: happyt610    時間: 2014-8-3 21:53

我想知仲有冇人中了招? 希望SYNOLOGY快D回覆!
wilson2888 發表於 2014-8-3 21:41

Ching,你是否保留使用 "admin" account?



(Sent from HKEPC ios app)
作者: chinwah    時間: 2014-8-3 21:56

回覆 1# wa124


    mobile01有人唔信,認為係周生先出事
http://www.mobile01.com/topicdet ... 1&last=51435352

如果你朋友影埋個synolocker screen 連部synolog主機, 咁真係無得否定了
作者: doraemon24    時間: 2014-8-3 22:29

真係極危險!估唔到行nas 中的毒比windows base 更兇險
作者: domwong    時間: 2014-8-3 22:43

回覆 72# zx6068


    ftp 同 smtp  一路都好多人撞入黎,不是今天的事情。
作者: wa124    時間: 2014-8-3 22:48

回覆 71# chinwah

我認為冇咁的需要
我開post係想提醒大家小心d
唔信的自行無視吧

(Sent from HKEPC iPhone app)
作者: Oldleaf    時間: 2014-8-3 22:54

回覆  tklau315


買左部syno 兩個星期已經有好多奇怪ip 撞入黎

加埋呢個synolocker
真係乜port 都disabl ...
zx6068 發表於 2014-8-3 22:15


我架機都係比哩幾個IP撞

作者: perre    時間: 2014-8-3 23:03

哇!好驚~~
請問有咩方法可以拎晒香港所有ISP個List, 咁再係防火牆裡面只開香港IP Range,其他一律Blocked.
能做到嗎?
作者: BB_HON    時間: 2014-8-3 23:12

暫時關哂對外port, SSH 睇定D先
反正部NAS 都係我同D frd 用,叫佢地行 Site to Site VPN 算
作者: tcbyxo    時間: 2014-8-3 23:23

我連部1512+都power off 埋,等群輝解決後才開機!!!
作者: chinwah    時間: 2014-8-3 23:38

回覆 77# perre


Syno 個防火牆已做到

控制台 -> 安全性 -> 防火牆->  (揀"新增")
入到去再揀 "區域" , tick番 HK
確定左 喺番  規則 嗰度最底, 選 允許,  再 確定出番嚟
作者: love19901109    時間: 2014-8-3 23:40

其實無咩事都唔好放呢個PORT出黎   可以有其實方法更安全咁入
作者: chinwah    時間: 2014-8-3 23:43

本帖最後由 chinwah 於 2014-8-4 06:22 編輯

回覆 81# love19901109


但係你唔開的話, DS audio, DS Video, DS File 又唔可以直接連到

不過我依家暫時都係登入左router個vpn, 再開ds app算了
作者: love19901109    時間: 2014-8-3 23:45

回覆 82# chinwah
無錯  VPN應該係比較有效保護     始終直接出街有好多人會撞
作者: wilson2888    時間: 2014-8-3 23:55

回覆 83# love19901109

我用VPN, 但都中招!
作者: yawoo    時間: 2014-8-4 00:10

本帖最後由 yawoo 於 2014-8-4 00:11 編輯
回覆  love19901109

我用VPN, 但都中招!
wilson2888 發表於 2014-8-3 23:55


你可否cap個畫面, 每個process用幾個CPU%, 最高邊個用緊.
只有你地幾位苦主先可以提供有用既資料出來.
作者: plutoweb    時間: 2014-8-4 00:34

回覆 76# Oldleaf

正常

用 default port 一定比 software scan ,
改Port 行SSL + 改 amin Login and password + 自動封鎖 + disable ICMP requests
系連上網最少保護自已方法

零五年已有人教點入人地 FTP , 有 internet 年代, 就有人 scan port
http://lcr.old-castle.org/archives/76
作者: chaplin_lee    時間: 2014-8-4 00:54

本帖最後由 chaplin_lee 於 2014-8-4 01:02 編輯

我都中左~~入唔到我個page....


ps N54L周董機
作者: wa2000    時間: 2014-8-4 01:07

不如中左招既CHING申報及歸納下各種設定:

1. NAS連接網絡方式:
    A) 直接
    B) 經ROUTER (沒有開 PORT)
    C) 經ROUTER (有開 PORT 或在 DMZ ,詳例所開的 PORT NUMBER 及 該PORT NUMBER所對應的相關服務)

2. 機型,及 DSM 版本及版本號碼

3. 詳列正在運行的服務

4. 有沒有安裝SYNOLOGY的官方套件 (如有,請列出套件)

5. 有沒有安裝第3方來源套件 (如有,請列出套件及其來源)
作者: wa124    時間: 2014-8-4 01:17

http://www.synology-forum.de/sho ... worden-durch-Hacker

愈來愈多人中招了
作者: love19901109    時間: 2014-8-4 01:18

回覆 84# wilson2888
但有冇放到port 5000出街?  如果VPN中的話佢要搞埋你VPN 個PASSWORD 再入你隻NAS  
其實機會好細
作者: bismarckhin    時間: 2014-8-4 01:24

多謝提醒~ 已經關晒所有port~
作者: hkcs007    時間: 2014-8-4 01:27

熄機保data
作者: ccl4    時間: 2014-8-4 01:28

已關Router port forward
作者: Ksec    時間: 2014-8-4 02:08

shit.png
2014-8-4 02:08


When i read this post i went to control panel and I just saw this in my log......

Shxt...........

Edit: Not me. i never log in from Internet, only on LAN.

圖片附件: shit.png (2014-8-4 02:08, 2.78 KB) / 下載次數 64
https://www.hkepc.com/forum/attachment.php?aid=1703364&k=0a0d2103853b0e7cd33f3115ab0b897d&t=1660285697&sid=7Ym9ieetz


作者: yawoo    時間: 2014-8-4 02:11

When i read this post i went to control panel and I just saw this in my log......

Shxt........... ...
Ksec 發表於 2014-8-4 02:08


個ip 係台灣hinet ip 黎
作者: pockchop    時間: 2014-8-4 02:12

忽發奇想,呢個可能係S記自己設計嘅驚天大䧔謀:佢地遲d會提供破解方法/密碼,比正版使用者⋯
作者: wa124    時間: 2014-8-4 02:14

回覆 96# pockchop

打擊周生?
作者: 火B    時間: 2014-8-4 02:16

熄機保data
hkcs007 發表於 2014-8-4 01:27


X 2
作者: wa124    時間: 2014-8-4 02:17

回覆 94# Ksec

你個密碼好簡單?有冇開自動封鎖?
作者: hkcs007    時間: 2014-8-4 02:31

忽發奇想,呢個可能係S記自己設計嘅驚天大䧔謀:佢地遲d會提供破解方法/密碼,比正版使用者⋯ ...
pockchop 發表於 2014-8-4 02:12

搞單咁既野,人地唔轉會算好...
作者: plutoweb    時間: 2014-8-4 02:32

回覆 94# Ksec

dsm port 用預設 port 5000 ?





歡迎光臨 電腦領域 HKEPC Hardware (https://www.hkepc.com/forum/) Powered by Discuz! 7.2