• Forum
      /  
    Internet
      /  
    Netværk
  • 15-09-2022 · 22:58 4095 visninger 26 svar
  • Denne tråd er over 6 måneder gammel

    Er du sikker på, at du har noget relevant at tilføje?

  • DUSØR GIVES: Jeg er blevet hacket, og den her gør ...

    Af Slettetbruger2549 Ny på siden
Jeg har en Synology Nas, med 48 TB fordelt på 6 HDD'er. Her er der 600 film, der alle stammer fra Blu-Ray og DVD jeg har brændt fra mit gamle fysiske film hyler. Det har taget mange måneder da Blu-Ray ikke bare er så nemt.

Derfor gør det ekstremt ondt at se, at hele mit film bibliotek ikke virkede over Emmy i dag. Jeg undersøgte flere og kan se de er ændret til 0XXX Fil

Derudover er der en readme der kræver 300 dollars. Penge jeg ikke vil støtte kriminelle som ikke bruger tiden på at hacke russere i stedet for, og penge som jeg ikke ved om de reelt vil låse op med alligevel.

Jeg har en teori om at de er kommet ind ved at porten til Emmy er åben, så jeg kan se filmene udenfor hjemmet. Denne er jeg igang med at lukke nu.

Jeg ved ikke om det er umuligt, men jeg forsøger. Og ja det er ikke så meget, men jeg udlover en dusør på 1.000 kroner, hvis man kan:

- Låse alt op igen ved at dekryptere
- Give råd til og sikkerhedsoptimere til fremtidige forsøg

Kravet er at man må forsøge alt hvad man vil, men man skal kunne gøre det for at dusøren gives. Ellers vil det blive en meget dyr omgang.

Er der nogen med råd eller som kan hjælpe?

Supporter Aspirant
15-09-2022 23:06
Prøv at smide en af de krypterede filer ind her og se om den foreslår noget

https://www.nomoreransom.org/crypto...
Supporter Aspirant
15-09-2022 23:08
medmindre decrypteren er blevet released, så får du aldrig låst dine filer op.
Kan du se på Readme filen hvem gruppen er?

Gratis råd herfra: Kig på shodan.io på din IP og se hvad du har åbent uadtil
Ultrabruger
15-09-2022 23:15
Det er vel den her du har været udsat for?

https://www.guru3d.com/news-story/v...

https://cloud7.news/security/synolo.../

Den har i hvert fald været meget omtalt i medierne tilbage i april. Måske du skulle have opdateret?

Så i stedet for at koncentrere dig om, at hackere skal hacke russere, så skulle du måske få orden i din egen baghave først? Kommentaren var i hvert fald tæt på idiotisk.
Ny på siden
15-09-2022 23:19
#3 Jeg beklager at jeg forsøgte med lidt humor for at lindre mit dårlige hunør


Til jer andre. Jeg kigger på det inden længe
Monsterbruger
16-09-2022 04:29
Tror det tager pænt lang tid at kryptere 48 TB.

Prøv at omdøbe én at filerne til det originale filnavn og se, om de ikke bare har omdøbt filerne uden at kryptere.
Maxibruger
16-09-2022 15:37
Det er noget af det værste der kan ske, at miste data. Jeg havde selv samme tur for noget tid siden, og jeg er stadig ikke kommet 100% ovenpå igen:
https://www.hardwareonline.dk/traad...

Det jeg vil anbefale dig at gøre er at finde ud af hvilken ransomware du er ramt af, for derefter at finde ud af hvad der kan gøres. I mange tilfælde kan der ikke gøres noget, men i nogle som mit tilfælde, kan der gøres noget.

Du får nok aldrig 100% af din data tilbage, men hvis bare du får 80% tilbage, så kan man leve med det.

Jeg mangler stadig mange hard dance mania CD'er jeg rippede for mange år siden. CD'erne er blevet forlagt, og jeg tog det selv for givet at de bare lå på min NAS. Nogle ting får jeg nok aldrig igen, men man ender med at leve med det.

Så snart du kender navnet på den ransomware du er ramt af, så kan der dykkes mere ned i det.
Juniorbruger
16-09-2022 17:52
Jeg ved godt det er for sent - men;
LAD VÆRE MED AT HAVE NAS ONLINE!

Hvis du alligevel gør det - så smid noget VPN foran (wireguard/openvpn) - så man i det mindste skal gennem den først!

Herudover kan du ændre porten på services, så de kører på noget andet end det sædvanlige. Det er ikke voldsomt meget mere sikkert - men det hjælper mod random script kiddies der bare scanner IP'er.

Sidst men ikke mindst - offsite backup.
Maxibruger
16-09-2022 18:23
Mit råd er betalt og håbe på det bliver låst op de har nøglen som du aldig komme til at gætte.
Eller start forfra med at ind kode dine film
jensjens

#9

Gæst
16-09-2022 19:06
#6 "Jeg mangler stadig mange hard dance mania CD'er jeg rippede for mange år siden."

Mangler? Det er næsten som om de har gjort dig en tjeneste.
Ny på siden
16-09-2022 20:59
Jeg har taget konsekvensen nu og nulstillet den to gange, slået port forwarding fra og læst diverse guides til at sikre den. Det må bare vært slut med adgang udefra, men hellere det end opleve det igen

Jeg takker dog for rådene, og er brand ærgerlig over det her er sket. Det er første gang jeg er blevet ramt af sådan noget, og er egentlig lidt chokeret over det

Heldigvis er mange af mine fotograf billeder gemt skyen hos Lightroom, ellers havde det været et kæmpe tab
Ultrabruger
16-09-2022 21:00
#10

Og jeg kan se at jeg fik skrevet fra den anden bruger, det beklager jeg selvfølgelig
Mattii

#12

Ultra Nørd
16-09-2022 21:59
Du kan sagtens kører den online.

smid noget two way Authentication på samt et stærkt kodeord.
Ultra Nørd
16-09-2022 22:24
#6 Dance Mania 1-64 kan høres på Spotify https://open.spotify.com/playlist/6...
Maxibruger
17-09-2022 01:40
#7
En VPN hjælper dig ikke. Min egen kører over private VPN, men de kom ind alligevel igennem HBS (Hybrid Backup Sync) hvor man synkroniserer mapper mellem flere NAS. Der var et sikkerhedshul hvor VPN ikke havde ændret noget.
Vi ved ikke hvad #0 er ramt af, så det er meget bredt at sige en VPN hjælper.

#8
Det er lidt 50/50 om man får sine filer alligevel, så den anbefaling er lidt underlig i min verden.

#9
Det kommer vel an på hvem man er.

#10
Jeg synes nu stadig at du skulle have prøvet, det kunne være du kunne have reddet meget af din data.

#12
Two factor fungerer ikke hvis det er en sikkerhedsbrist i en applikation eller enheden selv, så kommer du ind uanset.

#13
Jeg har min NAS for at køre min egen musikservice til mig selv. Jeg hader Spotify og kommer aldrig til at betale til det, og jeg gider ikke høre reklamer hvert 10. minut.
Nu er det heller ikke et must-have for mig, jeg har klaret mig uden de gode gamle fra Pulsedriver.
matzon

#15

Juniorbruger
17-09-2022 07:41
#14 Jeg skal ikke kunne sige hvad du er blevet ramt af, men hvis man ikke kan kontakte din server, så kan man ikke exploite noget...

Så det lyder som om at der er noget der er konfigureret forkert, hvis en udadgående synkronisering giver anledning til eksekvering af kode.

Hvis det har været indgående, så er der jo *et eller andet* der har kontaktet dit nas, som ikke skulle have været på vpn'et?

Et VPN, hvor man er den eneste på, kan ikke udsætte dit nas for noget, med mindre man tilegner sig adgang til VPN'et først - eller at nas softwaren er udsat for et såkaldt supply-chain-attack.

Når det så er sagt, så kan der jo være mange devices på ens lokale netværk, som har adgang til nas'et.
Mattii

#16

Ultra Nørd
17-09-2022 11:05
#14 Der er ikke specielt meget der "Fungerer" hvis der er én sikkerhedsbrist i applikation eller enhed. Det er jo ikke kun two factor authentication :)

Der kan også være én sikkerhedsbrist i din router.
Ultrabruger
17-09-2022 11:12
Jeg kan sige så meget at jeg lige er flyttet så stationæren har ikke været sat til. Routeren er Yousee, men har været dum nok til og åbne for et par porte til nas og Emby. Men det eneste jeg har haft wifi på, har været Philips Hue, iPhone, Apple TV og MacBook
Junior Nørd
17-09-2022 17:50
Nu bliver jeg lidt sølvpapirs hat/paranoid. Jeg har også Yousee. Kan det ramme alle, eller hvad? Skal man selv have åbnet porte i routeren?
matzon

#19

Juniorbruger
17-09-2022 20:27
#18

Du skal sikre dig at du ikke kan tilgå dit nas udefra - men du skal aktivt have gjort noget, for at det kan lade sig gøre!

Hvis du checker din IP på https://www.myip.com/ og besøger den IP adresse der står under 'Your IP address is' med din telefon, uden den er på WIFI, så burde du få en "cannot connect" agtig side. Prøv det samme igen, med den port som dit NAS lytter på - 5000 for Synology. - f.eks: 34.6.2.65:5000

Hvis man ikke kan ramme dit NAS - så kan du ikke blive "exploitet" udefra.
Super Supporter
17-09-2022 21:22
Lowice

#21

Junior Supporter
17-09-2022 23:35
Hvis man ikke kan tilgå sin NAS udfra, så er der jo tons af features og apps du ikke kan bruge og så giver det jo ikke meget mening at have en.

Nu har jeg selv sat både mailserver, chat og en masse andre ting op, men har da også sat det op, så kun admin kan ændre noget, samt sat 2 factor op, deaktiveret default admin konto og køre https samt andre småting.

Har nu haft samme hjemme side i over 5 år og selv om en del forsøger at logge på, så bliver deres ip blokeret efter 2 mislykkede forsøg inden for 1 time. Det har gjort at jeg idag kun har en eller 2 om måneden der prøver og det er stadig ikke lykkes nogle at komme ind.

Så jo du må gerne kunne tilgå din nas udefra men sørg for at du har sat den så sikkert op som muligt, så er chancen for at der sker noget meget lille.

Har da også backup til backblaze af de vigtigste ting, for backup skal man have.
Junior Nørd
18-09-2022 16:43
#20 kørte lige en netplwiz. Der var 2 brugere. En som jeg godt kunne genkende (mit navn), men der var også en "TOPG1" med admin retttigheder. Den fik jeg slettet. Selvom det nok bare var en Topdata profil?
Super Supporter
18-09-2022 17:13
Godt bare fjern alt andet end din egen profil
LgT

#24

Mega Supporter
19-09-2022 09:22
#21 det er ihvertfald en god ide at sikre sig at KUN det du vil have åbnet er åbent - hvis din NAS bare er whitelisted i din router (firewall).... så er der jo åbent gilde på alle services, og tilhørende exploits.
En hurtig tanke kunne være at køre en port-forwarder på en simpel device (ala en lille nix distro på en pi). F.ex. Nginx.
I praksis udgør de store NAS mærker vel en rimelig attraktiv angrebs vektor: De bliver knap så flittigt opdateret, og folk vil være mindre tilbøjelige til at opdage højere load. Samtidigt gemmer folk ting de gerne vil beholde...

Jeg har traditionelt også ladet min Synology haft lov til at gå online (men det blev vist egentlig aldrig konfirgureret da jeg skiftede til egen router - det er nok derfor mit online synology name er expired :-D ). - nå så er min sikkerhed blevet højere by accident, og savnet har åbenbart ikke været større...
Super Supporter
19-09-2022 09:44
Når man snakker om NAS så skal der være password på, men det derfor hacker prøver at komme på hans pc som en Profil og den vej ind på hans Nas..
matzon

#26

Juniorbruger
19-09-2022 17:57
Jeg vil godt understrege, at et hack kan ske, uden nogen som helst authentication. Alene at nas'et er tilgængeligt udefra, kan være nok.
Derfor vil jeg stærkt anbefale at det slet ikke kan tilgås udefra, alternativt gennem vpn.
Bruger påkrævet
En bruger er påkrævet for at oprette svar på Hardwareonline.dk

Log ind for at få flere funktioner