作者: wa124 時間: 2014-8-3 08:25 標題: [注意][重要][極危險] Synology用家入黎!cryptolocker入侵(SynoLocker)
本帖最後由 wa124 於 2014-8-5 09:39 編輯
為安全計,建議
1. 暫時關閉port forward 5000,5001,22,23同其他冇需要用到的port
2. 關閉Quick Connect
3. 停用admin account
4. 移除/停用第三方套件
5. 啟用自動封鎖
6. 啟用防火牆
終極安全方法:熄機or斷網投降

cryptolocker變種(SynoLocker)
針對Synology NAS!!!
中左招的話
nas入面d資料會被惡意強行加密
要比錢買返條解密KEY!
有fd中左
感染途徑不明
估計同之前礦機事件有關
Google亦搵唔到有關資料

https://www.hkepc.com/forum/attachment.php?aid=1703033&k=ff8efe36a07b048e3795bb05018733af&t=1752994674&sid=3NjfZJ893R

作者: hon328 時間: 2014-8-3 08:46
多謝提示:咁真係要小心
作者: wa124 時間: 2014-8-3 08:48
回覆 2# hon328
為安全計我已經暫時關閉5000 port
直到搵到感染途徑為止
(Sent from HKEPC iPhone app)
作者: 炎冬 時間: 2014-8-3 08:49
是不是只會在NAS內的Driver? 如果駁了Ext USB HDD做Backup會不會加密個 usbshare1
作者: wa124 時間: 2014-8-3 08:51
回覆 4# 炎冬
未知
受害人是我朋友的朋友
只知道型號是713+
Fw佢話已經係最新
(Sent from HKEPC iPhone app)
作者: 炎冬 時間: 2014-8-3 09:02
我個朋友都有部710+都是上到update 3, 如果中招, 我就有排搞...
作者: TH30 時間: 2014-8-3 09:20
勒索案,報警
另外可試試找synology support幫手
作者: billyck2 時間: 2014-8-3 09:37
係真的話,synology會比你重驚
作者: ben327 時間: 2014-8-3 10:12
好大鑊喎!
作者: hhhepc 時間: 2014-8-3 10:24
提示: 作者被禁止或刪除 內容自動屏蔽
作者: aiyume 時間: 2014-8-3 10:26
提示: 作者被禁止或刪除 內容自動屏蔽
作者: 哈雅貼 時間: 2014-8-3 11:24
如果WINDOWS中野呢頁應該係CYPROLOCLER唔係SYNOLOCKER
似乎呢隻真係衝住S記黎
作者: kidhong 時間: 2014-8-3 11:46
周董機唔理3721
即刻熄晒D PORT佢

作者: 666 時間: 2014-8-3 12:02
人地用左tor network, 賣白粉,軍火都係用佢。你搵到佢至講。
作者: chinwah 時間: 2014-8-3 12:05
用周董的user會仲驚,因為無official support
死左都無人理
作者: wa124 時間: 2014-8-3 12:09
回覆 11# aiyume
唔係
係synology上面中
你睇清楚d,再用tor上果個網就明
(Sent from HKEPC iPhone app)
作者: wa124 時間: 2014-8-3 12:11
回覆 10# hhhepc
叫左佢report了
但假如檔案真係加密左
我唔認為synology幫到佢
(Sent from HKEPC iPhone app)
作者: chinwah 時間: 2014-8-3 12:14
不過認真一問,有冇試過其他port入部機???
即係ds audio / video/ dlna /ftp / telnet/ ssh 入部機?
會唔會只係惡作劇霸左你個port 5000 ???
作者: wa124 時間: 2014-8-3 12:14
回覆 8# billyck2
你認為係假的話,可以出返去,再順手報警話我發怖假消息
(Sent from HKEPC iPhone app)
作者: wa124 時間: 2014-8-3 12:16
回覆 18# chinwah
冇人知個漏洞係邊個port。。。
我都係按上次礦機事件估係port 5000有事
(Sent from HKEPC iPhone app)
作者: wa124 時間: 2014-8-3 12:18
回覆 14# 666
Agree。仲要用bitcoin交易,點追?
(Sent from HKEPC iPhone app)
作者: NeTZoO 時間: 2014-8-3 12:24
Google都無,你朋友個朋友擺左d咩機密在nas度?
題題大家,唔好貪得意好睇下圖片條link,隨時去完就中蕉
作者: yawoo 時間: 2014-8-3 12:25
未必port 5000 入侵
可能pc 中左木馬,經pc 入侵nas
隻nas root passwd 又太簡單
作者: wa124 時間: 2014-8-3 12:28
回覆 23# yawoo
當然有可能直接ssh攻擊,但一日未搞清楚點中招都好危
(Sent from HKEPC iPhone app)
作者: kaykkay 時間: 2014-8-3 12:33
any more information?
can share the screencap on the hacker page? how much $ needed and etc information?
作者: wa124 時間: 2014-8-3 12:35
回覆 22# NeTZoO
咁就唔清楚佢放左咩。。。
但應該係cryptolocker果種綁架搶錢
(Sent from HKEPC iPhone app)
作者: wa124 時間: 2014-8-3 12:47
回覆 25# kaykkay


https://www.hkepc.com/forum/attachment.php?aid=1703104&k=a6bfa122f82f6fbfa2a1865ef461af40&t=1752994674&sid=3NjfZJ893R

作者: 666 時間: 2014-8-3 14:04
回覆 NeTZoO
咁就唔清楚佢放左咩。。。
但應該係cryptolocker果種綁架搶錢
(Sent from HKEPC iPhone ap ...
wa124 發表於 2014-8-3 12:35
三仔四仔啦,唔駛估。

作者: jda 時間: 2014-8-3 14:16
呢隻野係咪呢幾日先出?

作者: TimHK 時間: 2014-8-3 14:24
好恐怖…
我部機擺左屋企D相,係咪要關機,避一避風頭…

作者: kaykkay 時間: 2014-8-3 15:04
anyone got some bitcoin? can pay like 0.0001 BTC to that address?
作者: hkyung 時間: 2014-8-3 16:39
如果堅 s 記都幾頭痕 至少我下隻nas 一定唔會係只考慮s記
作者: chinwah 時間: 2014-8-3 17:10
OMG, Xpe 嗰邊都有人中招了, 由於關於周生,不能貼link,直接轉貼張相過嚟算
呢單野應該好真的了


https://www.hkepc.com/forum/attachment.php?aid=1703194&k=cb4ebecf39329b4049f72a3b842bf739&t=1752994674&sid=3NjfZJ893R

作者: wilson2888 時間: 2014-8-3 17:16
我都中左招!!! 唉! 有冇方法? 如果買BITCOIN應點買?
作者: wa124 時間: 2014-8-3 17:17
回覆 33# chinwah
我朋友果隻唔係周生!
應該無一幸免
(Sent from HKEPC iPhone app)
作者: 666 時間: 2014-8-3 17:21
3000 蚊,你ok?
作者: wa124 時間: 2014-8-3 17:22
係唔係
0.6 + 6 BTC?
作者: chinwah 時間: 2014-8-3 17:24
回覆 35# wa124
周生係一大問題,
但另一大問題係呢隻野開始喺唔同地方出現了,
我依家disable晒所有 NAS的port forward先,暫時內聯行住先,
希望唔係windows中招再寫入去,而係直接外部攻擊先
作者: wa124 時間: 2014-8-3 17:27
回覆 38# chinwah
唔好諗咁多!!關晒port forward先算...
好唔安全......
作者: wa124 時間: 2014-8-3 17:30
回覆 28# 666
陣係三仔四仔佢應該recover左部機啦

BTW...nas閒閒地幾TB野,中左真係唔知點算..............
作者: 666 時間: 2014-8-3 17:33
我用原裝syno,有30TB, 平時唔用power off。基本上乜port 都唔開俾佢。
真係lock左就佢big lemon coke了。
作者: dds 時間: 2014-8-3 17:52
oh, 差d買咗S 2手,現用54l, 係vmws行ubuntu 14,
and win7 lamp
希望冇事. mm已雪, 唔敢開
作者: 快速男 時間: 2014-8-3 18:37
咁大鑊!VPN 返屋企..攪攪佢。停左SSH..+ 5000PORT 先。如果唔系啲4仔就無Q晒...
樓主..有無問下SYNOLOGY 解救方法?或者報警受唔受理?如果唔系..之後都好無保障…
我隻SYNOLOGY 1512+ 成日都比人撞IP..FTP..SSH......已經自動封鎖..BLOCK 左幾十頁IP...好彩我SET PW ..SET到好貴難記。先避過一劫。
QNAP我都有!但從來好小信息提示比人撞IP.....
作者: chun232939472 時間: 2014-8-3 18:41
咁大鑊!VPN 返屋企..攪攪佢。停左SSH..+ 5000PORT 先。如果唔系啲4仔就無Q晒...
樓主..有無問下SYNOLOGY ...
tklau315 發表於 2014-8-3 18:37
好奇問有咩必要開SSH OVER WAN?
作者: hkboy3000 時間: 2014-8-3 18:52
好似好大鑊,部機年幾未熄過,
呢期都係熄機避一避風頭穏陣D...
作者: tingcrab 時間: 2014-8-3 19:23
嗯,突然間係度諗不如整部鬼vm機行一個假的,再開5000port睇下會唔會中……
作者: wilson2888 時間: 2014-8-3 19:29
回覆 36# 666
我唸住明天問SYNOLOGY先, 不過DATA好重要, 睇來都係局比!
作者: wilson2888 時間: 2014-8-3 19:30
本帖最後由 wilson2888 於 2014-8-3 19:34 編輯
回覆 45# hkboy3000
今日我發現好多FILES開唔到, 修改同建立日期都係今日! 之後我REBOOT, 跟住就LOCK死左! 我唸你唔好關機, UNPLUG LAN線好D!
作者: looking4mp3 時間: 2014-8-3 19:32
好彩冇中到,不過提心吊膽

作者: wa124 時間: 2014-8-3 19:36
回覆 48# wilson2888
有冇可疑process run緊?
(Sent from HKEPC iPhone app)
作者: hkyung 時間: 2014-8-3 19:46
愈嚟愈恐怖
作者: 666 時間: 2014-8-3 19:50
唔好俾先,問問syno 點才算。
俾左一定unlock到架,無人知呀!!!!
作者: yawoo 時間: 2014-8-3 19:52
做加密一定會用cpu資源,所以苦主隻nas 既cpu 用量會近來高左
留意邊d process 用得較多cpu資源,最好停左d 唔需要用既service, 咁會易d 分到
作者: wa124 時間: 2014-8-3 19:56
回覆 52# 666
如果係因為漏洞,係咪應該叫synology比錢?
(Sent from HKEPC iPhone app)
作者: 666 時間: 2014-8-3 19:58
呢個問題好有趣,原則上係syno 問題。。。。
作者: wilson2888 時間: 2014-8-3 20:21
冇, 但係CPU長期100%
作者: wa124 時間: 2014-8-3 20:27
回覆 56# wilson2888
咩型號?
咩process full load?
(Sent from HKEPC iPhone app)
作者: wilson2888 時間: 2014-8-3 20:30
回覆 57# wa124
Synology DJ212J
作者: aiyume 時間: 2014-8-3 20:35
提示: 作者被禁止或刪除 內容自動屏蔽
作者: 666 時間: 2014-8-3 20:50
你有病乎?
作者: p0486 時間: 2014-8-3 20:58
呢排S記成日都有事, 睇黎要諗下轉Q記
作者: KinChungE 時間: 2014-8-3 21:03
敢問師兄一句
知唔知個"咪"字點讀?
另外, Synology冇責任保障用戶data安全性, 因為data係store響user果邊, 唔係synology幫你store
作者: yawoo 時間: 2014-8-3 21:08
Cpu 常期100% 即是繼續做緊加密
如果揾唔到邊個process 攪野
倒不如熄左個nas, 以防更多files 被加密
等多幾日,等件事明廊化,或官方有解決方案
作者: aiyume 時間: 2014-8-3 21:22
提示: 作者被禁止或刪除 內容自動屏蔽
作者: wilson2888 時間: 2014-8-3 21:23
回覆 59# aiyume
人地係外國高手, 我想問香港POLICE同IT人能對付到嗎?
NAS比人HACK關消委會咩事?
作者: wilson2888 時間: 2014-8-3 21:24
回覆 63# yawoo
已經太遲! 而家唯有等SYNOLOGY回覆!
作者: aiyume 時間: 2014-8-3 21:29
提示: 作者被禁止或刪除 內容自動屏蔽
作者: domwong 時間: 2014-8-3 21:35
所有microsoft 用户都要搵消委會

作者: wilson2888 時間: 2014-8-3 21:41
我想知仲有冇人中了招? 希望SYNOLOGY快D回覆!
作者: happyt610 時間: 2014-8-3 21:53
Ching,你是否保留使用 "admin" account?
(Sent from HKEPC ios app)
作者: chinwah 時間: 2014-8-3 21:56
回覆 1# wa124
mobile01有人唔信,認為係周生先出事
http://www.mobile01.com/topicdet ... 1&last=51435352
如果你朋友影埋個synolocker screen 連部synolog主機, 咁真係無得否定了
作者: doraemon24 時間: 2014-8-3 22:29
真係極危險!估唔到行nas 中的毒比windows base 更兇險
作者: domwong 時間: 2014-8-3 22:43
回覆 72# zx6068
ftp 同 smtp 一路都好多人撞入黎,不是今天的事情。
作者: wa124 時間: 2014-8-3 22:48
回覆 71# chinwah
我認為冇咁的需要
我開post係想提醒大家小心d
唔信的自行無視吧
(Sent from HKEPC iPhone app)
作者: Oldleaf 時間: 2014-8-3 22:54
我架機都係比哩幾個IP撞

作者: perre 時間: 2014-8-3 23:03
哇!好驚~~
請問有咩方法可以拎晒香港所有ISP個List, 咁再係防火牆裡面只開香港IP Range,其他一律Blocked.
能做到嗎?
作者: BB_HON 時間: 2014-8-3 23:12
暫時關哂對外port, SSH 睇定D先
反正部NAS 都係我同D frd 用,叫佢地行 Site to Site VPN 算

作者: tcbyxo 時間: 2014-8-3 23:23
我連部1512+都power off 埋,等群輝解決後才開機!!!
作者: chinwah 時間: 2014-8-3 23:38
回覆 77# perre
Syno 個防火牆已做到
控制台 -> 安全性 -> 防火牆-> (揀"新增")
入到去再揀 "區域" , tick番 HK
確定左 喺番 規則 嗰度最底, 選 允許, 再 確定出番嚟
作者: love19901109 時間: 2014-8-3 23:40
其實無咩事都唔好放呢個PORT出黎 可以有其實方法更安全咁入
作者: chinwah 時間: 2014-8-3 23:43
本帖最後由 chinwah 於 2014-8-4 06:22 編輯
回覆 81# love19901109
但係你唔開的話, DS audio, DS Video, DS File 又唔可以直接連到
不過我依家暫時都係登入左router個vpn, 再開ds app算了
作者: love19901109 時間: 2014-8-3 23:45
回覆 82# chinwah
無錯 VPN應該係比較有效保護 始終直接出街有好多人會撞
作者: wilson2888 時間: 2014-8-3 23:55
回覆 83# love19901109
我用VPN, 但都中招!
作者: yawoo 時間: 2014-8-4 00:10
本帖最後由 yawoo 於 2014-8-4 00:11 編輯
你可否cap個畫面, 每個process用幾個CPU%, 最高邊個用緊.
只有你地幾位苦主先可以提供有用既資料出來.
作者: plutoweb 時間: 2014-8-4 00:34
回覆 76# Oldleaf
正常
用 default port 一定比 software scan ,
改Port 行SSL + 改 amin Login and password + 自動封鎖 + disable ICMP requests
系連上網最少保護自已方法
零五年已有人教點入人地 FTP , 有 internet 年代, 就有人 scan port
http://lcr.old-castle.org/archives/76
作者: chaplin_lee 時間: 2014-8-4 00:54
本帖最後由 chaplin_lee 於 2014-8-4 01:02 編輯
我都中左~~入唔到我個page....
ps N54L周董機
作者: wa2000 時間: 2014-8-4 01:07
不如中左招既CHING申報及歸納下各種設定:
1. NAS連接網絡方式:
A) 直接
B) 經ROUTER (沒有開 PORT)
C) 經ROUTER (有開 PORT 或在 DMZ ,詳例所開的 PORT NUMBER 及 該PORT NUMBER所對應的相關服務)
2. 機型,及 DSM 版本及版本號碼
3. 詳列正在運行的服務
4. 有沒有安裝SYNOLOGY的官方套件 (如有,請列出套件)
5. 有沒有安裝第3方來源套件 (如有,請列出套件及其來源)
作者: wa124 時間: 2014-8-4 01:17
http://www.synology-forum.de/sho ... worden-durch-Hacker
愈來愈多人中招了
作者: love19901109 時間: 2014-8-4 01:18
回覆 84# wilson2888
但有冇放到port 5000出街? 如果VPN中的話佢要搞埋你VPN 個PASSWORD 再入你隻NAS
其實機會好細
作者: bismarckhin 時間: 2014-8-4 01:24
多謝提醒~ 已經關晒所有port~

作者: hkcs007 時間: 2014-8-4 01:27
熄機保data

作者: ccl4 時間: 2014-8-4 01:28
已關Router port forward

作者: Ksec 時間: 2014-8-4 02:08

When i read this post i went to control panel and I just saw this in my log......
Shxt...........
Edit: Not me. i never log in from Internet, only on LAN.

https://www.hkepc.com/forum/attachment.php?aid=1703364&k=14722304bc1ead61c71a2887cfb0114d&t=1752994674&sid=3NjfZJ893R

作者: yawoo 時間: 2014-8-4 02:11
When i read this post i went to control panel and I just saw this in my log......
Shxt........... ...
Ksec 發表於 2014-8-4 02:08
個ip 係台灣hinet ip 黎
作者: pockchop 時間: 2014-8-4 02:12
忽發奇想,呢個可能係S記自己設計嘅驚天大䧔謀:佢地遲d會提供破解方法/密碼,比正版使用者⋯
作者: wa124 時間: 2014-8-4 02:14
回覆 96# pockchop
打擊周生?

作者: 火B 時間: 2014-8-4 02:16
X 2
作者: wa124 時間: 2014-8-4 02:17
回覆 94# Ksec
你個密碼好簡單?有冇開自動封鎖?
作者: hkcs007 時間: 2014-8-4 02:31
搞單咁既野,人地唔轉會算好...
作者: plutoweb 時間: 2014-8-4 02:32
回覆 94# Ksec
dsm port 用預設 port 5000 ?