Seite 1 von 89 1231151 ... LetzteLetzte
Ergebnis 1 bis 10 von 890
  1. #1
    Anwender Syno-Lehrling
    Registriert seit
    03.08.2014
    Beiträge
    17

    Böse SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

    Hallo zusammen,

    Leider mussten wir heute in unserem Büro (kleinunternehmen) eine schlimme erfahrung machen.

    Alle daten auf unserem NAS sind verschlüsselt worden....

    Dazu eine Datei mit folgenden Infos:
    SynoLocker™
    Automated Decryption Service
    All important files on this NAS have been encrypted using strong cryptography

    List of encrypted files available here.
    Follow these simple steps if files recovery is needed:
    1. Download and install Tor Browser.
    2. Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
    3. Login with your identification code to get further instructions on how to get a decryption key.
    4. Your identification code is - (also visible here).
    5. Follow the instructions on the decryption page once a valid decryption key has been acquired.

    Technical details about the encryption process:
    • A unique RSA-2048 keypair is generated on a remote server and linked to this system.
    • The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
    • A random 256-bit key is generated on this system when a new file needs to be encrypted.
    • This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
    • The 256-bit key is then encrypted with the RSA-2048 public key.
    • The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
    • The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
    • The encrypted file is renamed to the original filename.
    • To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
    • Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
    • When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
    • Note: Without the decryption key, all encrypted files will be lost forever.
    Copyright © 2014 SynoLocker™ All Rights Reserved.
    ich hab schon von verschlüsselungsfällen gelesen auf privat pcs. nicht aber auf einem geschäfts nas mit guten pw etc.

    hat jemand erfahrungen damit?

    sind um jede hilfe froh :-)

  2. #2
    Anwender Syno-Gott Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    15.541

    Standard

    Ich nehme an, man kann sich gewöhnlich anmelden an der DS?
    Vermutlich hat sich jemand bei Euch einen entsprechenden Trojaner auf seinem Arbeitsrechner eingefangen, der dann auch alle Daten auf den eingebundenen Netzwerklaufwerken encrypted hat. Sollte dem so sein, wirst Du keine Chance haben, an die Daten zu gelangen.
    Empfehlung des BKA: die geforderten Bitcoins nicht zahlen (den Key wirst Du ohnehin nicht bekommen). Am besten die Arbeitsrechner neu aufsetzen, ansonsten mindestens von einem professionellen Experten anschauen und säubern lassen. Ein Datenbackup habt ihr hoffentlich - allerdings sollte auch dort vor der Wiederinbetriebnahme nach möglichen Quellen für den Trojaner gesucht werden!
    DS713+ | 2x 1TB Crucial M500 SSD RAID1 # 4GB RAM # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    DS212+ | 2x 4TB HGST Deskstar NAS Basis + 2x 2TB WD20EARX extern # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    Extras: ownCloud 9.0.2 - Roundcube 1.2.0 - HumHub 1.0.1
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  3. #3
    Anwender Syno-Lehrling
    Registriert seit
    03.08.2014
    Beiträge
    17

    Standard

    hey frogman, danke für deine super schnelle antwort.

    ich kann auf die daten auf der ds zugreifen, sind einfach gecrypted wenn ichs öffne. ich kann aber kein zugriff mehr auf die steuerung/admin oberfläche.

    der obige text von synolocker kommt sobald man sich aufs nas einloggt.

    wir können die ds auch nicht mehr runterfahren. die blaue led blinkt non-stop.

  4. #4
    Anwender Syno-Gott Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    15.541

    Standard

    Ich habe mich gerade mal in den Such-Kanälen vertieft. Hier scheint gerade eine neue Variante ins Netz zu schwappen, in Hongkong gab's wohl eine erhöhte Zahl an Betroffenen (Link1, Link2). Die Infektion scheint tatsächlich direkt auf die DS zu laufen.

    Es wird dort empfohlen, vorübergehend mindestens Port 5000 (plus eventuell auch 5001) zu schließen.
    Man sollte auch schauen, ob aktuell auffällig hohe CPU-Last besteht - das dürfte der Verschlüsselungsprozess sein. Die DS dann besser abschalten, um erst einmal Schlimmeres zu verhindern (zur Not könnte man auch einfach den Stecker ziehen).


    Dir als Betroffener wird das vermutlich nicht mehr helfen, sorry...

    ***EDIT***
    Bei Betroffenen wurden offenbar auch ungewöhnliche externe Zugriffsversuche auf Port 21 und 23 verzeichnet.
    Es empfiehlt sich also, aktuell auch diese und eventuell auch weitere Ports zu schließen und die DS nur dann extern zugänglich zu machen, wenn es unbedingt erforderlich ist!


    ***EDIT2***
    Ich hab's mal an die Security-Emailadresse geschickt. Mal schauen, ob und wie reagiert wird.
    Geändert von Frogman (03.08.2014 um 17:31 Uhr)
    DS713+ | 2x 1TB Crucial M500 SSD RAID1 # 4GB RAM # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    DS212+ | 2x 4TB HGST Deskstar NAS Basis + 2x 2TB WD20EARX extern # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    Extras: ownCloud 9.0.2 - Roundcube 1.2.0 - HumHub 1.0.1
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  5. #5
    Anwender Syno-Lehrling
    Registriert seit
    03.08.2014
    Beiträge
    17

    Standard

    frogman, vielen dank für deine hilfe!

    hoffe dass sich jemand von der security meldet auf deine anfrage

  6. #6
    Anwender Syno-Gott Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    15.541

    Standard

    Nun ja, selbst wenn sich jemand meldet - analog der Angriffe, wie sie bei Windows-Versionen bekannt sind, dürften die Daten für Dich nicht wiederherstellbar sein. Die AES-Verschlüsselung, die hier verwendet wird, ist auf der Höhe der Zeit. Ohne den Key, der individuell für die Verschlüsselung erzeugt wird, ist da keinesfalls etwas zu machen.
    Aber wie ich schon andeutete - soweit mir bekannt ist, haben selbst diejenigen, die die geforderten Bitcoins bezahlt haben, keinen Key ausgehändigt bekommen. Du wirst vermutlich wohl oder übel den Weg beschreiten müssen, den ich oben skizziert hatte.
    DS713+ | 2x 1TB Crucial M500 SSD RAID1 # 4GB RAM # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    DS212+ | 2x 4TB HGST Deskstar NAS Basis + 2x 2TB WD20EARX extern # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    Extras: ownCloud 9.0.2 - Roundcube 1.2.0 - HumHub 1.0.1
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  7. #7
    Anwender Syno-Gott Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    15.541

    Standard

    @jony
    Darf ich mal fragen, welche DS ihr nutzt?
    DS713+ | 2x 1TB Crucial M500 SSD RAID1 # 4GB RAM # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    DS212+ | 2x 4TB HGST Deskstar NAS Basis + 2x 2TB WD20EARX extern # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    Extras: ownCloud 9.0.2 - Roundcube 1.2.0 - HumHub 1.0.1
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  8. #8
    Anwender Syno-Gott
    Registriert seit
    16.06.2012
    Beiträge
    1.211

    Standard

    Und welche Firmware Version falls bekannt.

    DS716+II 8 GB RAM 2*1 TB SSD 24/7
    DS1515+ 16 GB RAM 4*8TB PicoPSU Medien
    DS1815+ 8 GB RAM 2*8 TB 3*4 TB Datengrab
    DS1813+ & DX513 4 GB RAM 13*4 TB Backups
    DS415+4Gb RAM 4*6TB Offsite Backup
    RT 1900AC
    Intel NUC i3 (4th Gen) 16 GB RAM 1,5 TB SSD Ubuntu Server 16.04 VM Host
    Fritzbox 7360 (DMZ)
    QNAP HS 251 (zu verkaufen)

  9. #9
    Anwender Syno-Gott Avatar von Tommes
    Registriert seit
    26.10.2009
    Beiträge
    5.979

    Standard

    Na da staunte der Tommes aber nicht schlecht, als er diesen Thread hier gelesen hat.

    Ich glaub, das ist das erste mal, das ich hier im Forum lese, das eine DS... ich sag mal "offiziell" geknackt und Schaden angerichtet wurde. Das ist ja echt ein Hammer, der mich ganz schön hat aufhorchen lassen. Ich hoffe, das mir das niemalsnie passieren wird, auch wenn es sich bei mir "nur" um private Daten handelt, nicht um evtl. "sensible" Geschäftsdaten. Auch die Art des Angriffes... da fehlen mir grad irgendwie die Worte.

    Tommes

    DS216+ | DSM 6.0.1 7393-1 | 1x WD Red 4TB Basis (ext4) | 8 GB RAM | PCTV 460e
    DS115 | DSM 6.0.1 7393-1 | WD Green 4TB (Backupsystem)

    Projekt: Dateibasierte RSync-Datensicherung

  10. #10
    Anwender Syno-Gott Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    15.541

    Standard

    Einmal mehr ein Grund, immer separate und gestaffelt/redundante Backups zu fahren. Der Weg über Datenverschlüsselung als Druckmittel wird sicherlich noch ordentlich in Mode kommen...

    Allerdings gab's ja erst vor nicht allzu langer Zeit die "Infektion" mit dem Mining-Virus... da ist ein Angriff wie dieser jetzt dann kein so langer Weg mehr.
    Geändert von Frogman (03.08.2014 um 19:14 Uhr)
    DS713+ | 2x 1TB Crucial M500 SSD RAID1 # 4GB RAM # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    DS212+ | 2x 4TB HGST Deskstar NAS Basis + 2x 2TB WD20EARX extern # be quiet! Shadow Wings SW1 | DSM 5.2-5967-U1
    Extras: ownCloud 9.0.2 - Roundcube 1.2.0 - HumHub 1.0.1
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

Seite 1 von 89 1231151 ... LetzteLetzte

Ähnliche Themen

  1. iTunes Songs durch Apple Lossless ersetzen - Kopien auf dem NAS
    Von fischdoener im Forum Streaming Multimedia Server / iTunes Server
    Antworten: 2
    Letzter Beitrag: 19.01.2014, 00:04
  2. Antworten: 0
    Letzter Beitrag: 02.02.2013, 12:57
  3. Automatisches Backup von Ordner auf lokaler Festplatte durch Synology NAS durchführen
    Von lord1024 im Forum Backup / Restore / Data Replicator Allgemein
    Antworten: 7
    Letzter Beitrag: 07.02.2012, 07:43
  4. Frage: Bin ich gehackt worden ?
    Von Valkyrianer im Forum Webserver
    Antworten: 52
    Letzter Beitrag: 13.12.2010, 17:46
  5. Daten verschwunden durch Verschieben?
    Von tcfigge im Forum Backup / Restore / Data Replicator Allgemein
    Antworten: 3
    Letzter Beitrag: 08.09.2010, 12:38

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •