Synolocker - Infos gebündelt

[WakkoTequilla]

Hallo zusammen
ich ackere mich gerade seit über einer Stunde durch das Thema, die Informationen sind jedoch breit gestreut was die Sache nicht einfacher macht. Ich würde gerne hier in diesem Thread alle Informationen zur Analyse (zB bin ich betroffen?) zusammentragen, damit nicht jeder ewig Zeit investieren muss. Postet eure Informationen als Antwort ich werde diese dann hier einpflegen.

Hauptmerkmal (offiziell von Synology):

"A process called “synosync” is running in Resource Monitor.
DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
"

Falls dies zutrifft, würde ich präventiv auszuschalten, bis man ausreichend informiert ist

Beschriebene Symptome von Betroffenen:
DS lässt sich nicht herunterfahren.
Blaue LED blinkt non-stop.
Mit "find . -mtime -3" lassen sich via shell die geänderten Dateien der letzten drei Tage anzeigen. Die im Ergebnis angezeigten Dateien überprüfen. Achtung, falls hier keine verschlüsselten Dateien gefunden wurden kann das System trotzdem infiziert sein!

Massnahmen, wenn man noch nicht infiziert ist (offiziell von Synology):

Die DS auf die neueste Version updaten (www.synology.com/de-de/support/download/)
For DSM 4.3, please install DSM 4.3-3827 or later
For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
For DSM 4.0, please install DSM 4.0-2259 or later
nicht betroffen ist Version 5.0

(es wird jedoch berichtet, dass es infizierte 5.0er gibt, mutmasslich, deshalb, weil sie vor dem Upgrade schon infiziert waren)

Massnahme, wenn man infiziert ist:
http://forum.synology.com/enu/viewtopic.php?f=3&t=88716#p333751 (kann das jemand verifizieren, dass das funktioniert?)
Die Daten bleiben jedoch verschlüsselt, nur die DS an sich läuft wieder

weitere Massnahmen, wenn man nicht infiziert ist:
http://www.synology.com/en-global/support/tutorials/478

 

[WakkoTequilla]

Meine persönlichen Ausgangslage ist folgende:
ich habe eine betroffene Version, wenn ich unter Control Panel -> Update schaue wird mir angezeigt, dass ich up to date bin
Ressourcenmonitor hat schon seit Wochen nichts mehr angezeigt, wenn ich via shell auf die DS zugreife sehe ich mit "top" und "ps -w" keinen entsprechenden Prozess "synosnc" Gibt es weitere Tests?
Ist die Schadsoftware in jedem Fall in /etc/synolocker/ zu finden?
Wie lange dauert die Verschlüsselung von den Daten (also wie lange zB für 100 GB)

 

[Frogman]

... Postet eure Informationen als Antwort ich werde diese dann hier einpflegen.

Dir als Neuling sei an dieser Stelle gesagt, dass das keine neue Idee ist - die allein aber daran scheitert, dass Du selbst Deinen Post nach ein paar Stunden auch nicht mehr editieren kannst Abgesehen davon fängst Du jetzt hier auch noch an, Fragen zu stellen - nicht wirklich schön, weil sich zwangsläufig ein zweiter Dikussionsstrang hier entwickeln würde, was die Unübersichtlichkeit noch weiter erhöht und kaum zum Informationsgewinn beitragen dürfte!

 

[WakkoTequilla]

ok, dass man nicht mehr editieren kann macht die Sache recht sinnfrei. zweiteres kann ich nicht nachvollziehen, da ich ja gerade die relevanten Informationen in den Eröffnungspost einpflegen wollte. Und vor allem, da ich meine Fragen in einen Extrapost gesteckt habe

 

[Frogman]

...zweiteres kann ich nicht nachvollziehen, ... Und vor allem, da ich meine Fragen in einen Extrapost gesteckt habe

Ja, und? Es gibt Antworten darauf, Antworten anderer User, User, die anderer Meinung sind und das kundtun, weitere Fragen von Dir, weitere Fragen von Usern, die etwas nicht verstanden haben, neue Antworten auf die neuen Fragen, weitere neue Antworten von anderen Usern auf die neuen Fragen, noch ganz neue User, die anderer Meinung bei den neuen Fragen sind,... - et voilá: ein zweiter Diskussionsstrang! Noch Fragen?

 

[WakkoTequilla]

ja, welche Informationen könntest du denn zur Verfügung stellen um den Initialpost zu erweitern?

 

[Frogman]

Ich wiederhole jetzt an dieser Stelle mit Sicherheit nicht das, was ich in dem anderen Thread gepostet hatte...

 

[jahlives]

@Wakko
sehe jetzt den Sinn auch nicht gerade für einen neuen Thread. Zumal du im ersten Post "offizielle" Statements von Synology mit deinen "Interpretationen" mischt. DSM5 scheint nicht befallen zu sein. Praktisch alle die behaupteten DSM5 sei auch betroffen bezogen sich auf einen Screenshot aus einem Mac-Forum, der mittlerweile sogar dort entfernt wurde. Oder sie interpretierten andere User, welche nicht mal sicher waren welche Firmware sie haben.
Dein "mutmasslich" kann schon rein logisch nicht sein, weil man beim Befall nicht mehr zugreifen kann. Wie also will man auf DSM5 aktualisiert haben??

 

[vpnleader]

Ich behaupte mal, dass Synolocker mehre Stunden brauchen wird, um 1 TB zu encrypten(vlt auch ein 1 Tag). Leider hat er auch die Zeit, da das NAS 24/7 läuft bei den meisten.

Für die Menschen jede Stunde das T-Shirt wechseln müssen wegen dem Angstschweiss und schon panisch Nachtwache vor dem NAS schieben, gäbe es eine Massnahme:

- Macht euch ein Bash Script, welches euch die Prozesse überwacht. Beim auftauchen von dem Prozess "synosync", fährt das NAS sofort herunter und sendet eine Email an euch, damit ihr noch den Stecker ziehen könnten.
BINGO

 

[Frogman]

Mal abgesehen vom Dativ, der dem Genitiv sein Tod ist - der Hinweis mit dem Script wurde bereits im anderen Thread diskutiert (in der Gegend von hier), und durchaus kritisch, weil der Prozess sicherlich intelligent benannt und aufgerufen wird...

 

[WakkoTequilla]

Hallo jahlives
Der Sinn soll darin bestehen, dass (eventuell) Betroffene wie ich nicht stundenlang die entsprechenden Informationen zusammensuchen müssen.
Ich kann gerne die inoffiziellen Informationen deutlicher kennzeichnen.
zur Infektion von DS 5.0 beziehe ich mich auf:
forum.synology.com/enu/viewtopic.php?f=108&t=88770&start=195#p334279
ich kann diesen Hinweis jedoch gerne auch wieder entfernen

 

[luddi]

Ich schließe mich hier Frogman an und bin auch der Meinung dass ein zweiter thread nicht sinnvoll erscheint.
Außerdem hört man ständig, dass jeder Zeit sparen möchte beim lesen und die wichtigsten Informationen auf einem Silbertablett beschert bekommen möchte. Was bitte ist das für eine Mentalität? Ich bin der Meinung dass jeder der hier im Forum Informationen sucht auch in der Lage ist Beiträge zu lesen egal wie lang und inhaltslos sie auch sind.
Man sieht ja schon wie der 1. Beitrag entglitten ist und weiterhin (aus jetziger Sicht) keinerlei brauchbaren Informationen liefert.

Gruß
luddi

 

[WakkoTequilla]

luddi, es hat nicht jeder unbegrenzt Zeit und ist froh darum "wichtige Informationen auf dem Silbertablett" zu bekommen. Ich habe gerade Urlaub und kann mir "zum Glück" die Zeit nehmen (auch wenn ich wirklich besseres zu tun hätte). Andere haben diese nicht. Und was spricht nun dagegen, dass _ich_ mir die Zeit nehme die Infos zusammenzutragen, die im Netz oder im anderen Thread mit bald 600 Postings vorhanden sind.
Das würde natürlich schneller gehen, wenn Leute, die Infos schon haben, diese einfach posten würden.

 

[luddi]

...es hat nicht jeder unbegrenzt Zeit und ist froh darum "wichtige Informationen auf dem Silbertablett" zu bekommen...

...und glaubst du ich hätte wohl nichts besseres zu tun? Aber es ist wichtig und betrifft jeden der eine Synology NAS im Netzwerk hat. Und wenn man sein System schützen möchte, bzw. ihm seine Daten wichtig sind, dann wird es wohl kaum zu viel verlangt sein die nötige Zeit zu investieren um Informationen aufzusaugen.
Ich habe lediglich meine persönliche Meinung geäußert wie andere in diesem thread auch schon. Ich habe keinerlei Entscheidungsgewalt, dies sollte eher ein Moderator des Forum übernehmen.

Gruß
luddi

 

[Frogman]

Immerhin sind wir ja jetzt hier auch schon auf Seite 2 bzw. Post-Nr. 15 - wenn wir uns beeilen, holen wir den anderen Thread heute Nacht ein...

 

[luddi]

Das könnten wir schaffen, die Frage bleibt nur ob der Inhalt des Thread weniger "void" wäre....

Wenn man diesen Thread in einer Zeile beschreiben möchte sieht das ungefähr so aus....

void func_Synolocker-Infos gebündelt(post_1, post_2, post_3, ... , post_n){ }

 

[Benares]

Man könnte auch einfach den Thread-Titel ändern in z.B. "Über Sinn und Unsinn paralleler Threads ...".
Das träfe den Inhalt besser, es wäre kein Parallel-Thread mehr, und alle wären zufrieden.

 

[Tommes]

Oder man schließt diesen Thread einfach!

Tommes

 

[WakkoTequilla]

kann man meinetwegen machen. Es wird hier offensichtlich lieber über Sinn und Unsinn von etwas diskutiert als konstruktiv ein bisschen zu helfen.

 

[Tommes]

Dein Engagement in allen Ehren, aber ich denke das wir hier im Forum schon genug Anlaufstellen zu diesem Phänomen haben. Alternativ könntest du hier ja für Hilfesuchende bzw. Betroffenen eine Hilfestellung in Form eines Wikis erstellen. Wie immer das auch aussehen mag.

Tommes