Toggle sidebar

Krypto-Trojaner Locky treibt sein Unwesen!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Tommes

Tommes

Benutzer
Sehr erfahren
Maintainer
Wiki Autor
Add-on Developer
Registriert
26. Okt. 2009
Beiträge
10.170
Reaktionspunkte
2.338
Punkte
389
Ich frage mich gerade ob ein solches "verfahren" sinnvoll wäre:
Normaler user welcher nur leserechte hat.
Wenn daten geschrieben oder verschoben werden müssen die freigabe mit einem zweiten user welche volle rechte hat einbinden, verschieben etc und dann wieder trennen?
Teils etwas umständlich, aber würde ein plus an sicherheit bringen, oder?
 
Hallo,

Man kann unter Configuration-->Dateidienst-->Erweitert (oder so ahnlich, unter SMB)
Rich (BBCode): 
/*.locky/
eintragen.
Damit wird verhindert das *.locky dateien geschrieben werden und somit encryption verhindert.
 
Zuletzt bearbeitet:
Hallo,
einzig
/*.locky/
wird akzeptiert.

Gruß Götz
 
Ah ja, tippfehler, danke.
 
Hallo,

wo muss ich /*.locky/ eintragen??
 
Hallo,
Systemsteuerung - Dateidienste - Win/Mac/NFS - Windows Dateidienst - Erweiterte Einstellungen - Veto-Dateien

Gruß Götz
 
Danke Götz
 
Danke :)
 
Ernsthaft? So einfach?
Damit wäre die syno vorerst sicher?
 
da steht:
Analysis those C2 locations give a recommended blocklist of:
46.4.239.64/27
94.242.57.45
185.46.11.239
69.195.129.70
Zum Vergrößern anklicken....

wie soll ich denn das /27 verstehen und in die Firewall eintragen?
 
Hallo,

/27 könnte die netmask sein, also 255.255.255.224

PS: oder aber einmal die 64 und die 27 im vierten Octet
 
Zuletzt bearbeitet:
Das nenn ich ja mal eine erschreckend einfache Präventivmaßnahme. Klasse!

Tommes
 
Tommes schrieb:
Das nenn ich ja mal eine erschreckend einfache Präventivmaßnahme. Klasse!

Tommes
Zum Vergrößern anklicken....
Bis der nächste Schädling daherkommt und die Dateien anders benennt? Trügerische Sicherheit.
Mangels alternativer Ansätze aber besser als gar kein Schutz- oder gar kein NAS.

Cloud Station hat ja eine history so dass man wieder an frühere, unverschlüsselt Dateien ran kommt. Das müsste man aber für jede Datei extra vom DSM ausmachen - nicht praktikabel in so einem Fall. Oder übersehen ich was in der Cloud Station Software?
 
Verhindert dass nur, das locky Dateien geschrieben werden, sind dann nicht die Dateien selbst trotzdem gelöscht?
 
Nun ja, zunächst muss der Trojaner ja die Daten in jeweils verschlüsselte Dateien packen - erst im Anschluss kann/wird er die originalen Dateien löschen. Kann er den Vorgang nicht durchführen, könnte man annehmen, dass der Löschbefehl nicht abgesetzt wird... Wer es freiwillig testen will, darf hier jetzt laut 'Ich' schreiben ;)
 
Verstehe ich auch so, könnte schon helfen... Aber was soll das blocken der IPs in der Firewall bringen? Dass er den Key nicht versenden kann?
 
Laut die Untersuchung ist der erste schritt das umbenennen von eine Datei zum [hashcode].locky
Dan wird innerhalb die Datei encrypted, das konnte man sehen weil man das procces gestopt hat und nach öffnen vom Datei waren teilen von original text zu erkennen.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten