SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[rubinho]

Es ist halt so, daß fast jeder irgendwann bei Null angefangen hat. Und ich glaube nicht, daß die, die diese "hilfreichen" Tipps gegeben haben erst alles über Netzwerk, Sicherheit, Routereinstellungen theoretisch gelernt haben bevor sie ihr erstes Gerät ans Internet angeschlossen haben. Und nur weil ich erwähnt habe, daß eine kurzes Tutorial für die wichtigsten Funktionen super wäre, damit man den einen oder anderen Fehler nicht macht, wird einem sofort empfohlen die Finger davon zu lassen.

Aller Anfang ist halt schwer, besonders in der IT-Welt.

Man muss und kann ja nicht alles wissen. Du brauchst also kein Firewallfachmann zu sein, um dein NAS ans Netz zu hängen.
Es sollte dir vom Prinzip her klar sein, wie eine Firewall arbeitet bzw. was NAT und Portforwarding macht und dann gibt es noch das Thema VPN für den fortgeschrittenen User

Desweiteren solltest du dir über die Konsequenzen bewusst sein und die daraus resultierenden Notwendigkeiten um deine Daten zu sichern bzw deine Daten vor Anderen zu schützen.

Aber jetzt nicht falsch verstehen, diese Vorkehrungen benötigst du in erster Linie dann, wenn du dein NAS von der Ferne aus, aus dem Internet aus erreichen willst, nicht der normale lokale Betrieb in deinem Netz.

Um das Alles jetzt zu erklären würde hier den Rahmen sprengen und wäre auch hier in diesem Thread fehl am Platz.

 

[sgevolker]

Hi,
ich habe keine Portfreigabe, kein Quickconnect, kein VPN usw. eingerichtet. Nutze die Diskstation nur lokal im Netz zu Hause über die Fritzbox. Somit kann ich doch sicher sein das mir das nicht passieren kann mit der Verschlüsselung? Oder geht das auch per Mail Dateianhang etc.?
Sorry, wenn ich blöd frage, bin mir gerade unsicher. Danke.

 

[gizmo21]

Hi,
ich habe keine Portfreigabe, kein Quickconnect, kein VPN usw. eingerichtet. Nutze die Diskstation nur lokal im Netz zu Hause über die Fritzbox. Somit kann ich doch sicher sein das mir das nicht passieren kann mit der Verschlüsselung? Oder geht das auch per Mail Dateianhang etc.?
Sorry, wenn ich blöd frage, bin mir gerade unsicher. Danke.

Das Wichtigste haste vergessen: das aktuellste Update deiner DSM Version zu installieren und regelmäßige Backups auf Offline-Medien

 

[rubinho]

Ich weiß zwar noch nicht wie das Synology NAS genau angreifbar ist, aber ich gehe mal davon aus das du nicht davon betroffen bist solange sie nicht über das I-Net erreichbar ist.
Hast du die DSM 5 schon installiert ? Das wäre jedenfalls empfehlenswert.

--Edit--

Und natürlich das was gizmo21 schon erwähnt hat... Backups Backups Backups

 

[Frogman]

...Oder geht das auch per Mail Dateianhang etc.?
Sorry, wenn ich blöd frage, bin mir gerade unsicher. Danke

Kein Problem - lieber nachfragen als hinterher dumm dastehen

Die hier diskutierte Malware läuft direkt auf die DS - wenn Du sie nicht ins Internet offen hast, dann kann von der Seite nichts passieren.
Allerdings ist Dein Hinweis durchaus nicht zu vernachlässigen: es könnte durchaus ein (anderer) Schädling, wie er analog ja auch schon auf Windows angreift, auch auf Netzwerkfreigaben Zugriff nehmen und Daten verschlüsseln. Wenn Du also Geräte im LAN untereinander zugreifen lässt - was wohl der Normalfall sein dürfte - musst Du immer alle Systeme im Auge behalten.

 

[Puppetmaster]

Es geht doch nicht darum die Glaskugel lesen zu können.

Doch, in gewisser Weise schon. Du mußt einfach die Risiken abschätzen können. Dazu gehört in jedem Fall, sich auch ein eigenes Urteil zu bilden und nicht immer nur das nachzuplappern (damit meine ich nicht dich ) was die IT-Welt gerne runterbetet.

Gestern war DSM 4.3 noch sicher und keiner weiß bisher genau, wie die DS geknackt wurden. Am Ende war es (wieder) openSSL (glaube ich jetzt nicht wirklich, möglich ist ja alles ), und noch gestern wurde das als sehr sicher eingestuft. U.a. Heartbleed hat gezeigt, dass es eben nicht immer so einfach ist.

Der Vergleich hinkt. Der Autofahrer macht schließlich einen Führerschein und muss sich dadurch zwangsläufig mit der Materie auseinandersetzen.

Der Vergleich hinkt eben nicht und war bewußt so gewählt. Du glaubst gar nicht, wieviele "Fachleute" ich schon vor der Nase hatte... Da macht die IT keine Ausnahme.

Stimmt, das ist aber eine Holschuld des DAUs und keine Bringschuld von irgend Jemanden. Da muss sich der DAU wohl selbst Informieren, die nötigen Infos kommen schließlich nicht von alleine ins Haus geflattert.

Da hast du sicher recht. Zum Problem wird das eben nur, wenn eine Firma ihre Hard-/Software vollmundig als Superlösung für alles und jenes anpreist, aber nicht auf die möglichen Risiken hinweist.
Wenn du Werbung für Kopfschmerztabletten machst, dann mußt du auf eine Liste mit möglichen Nebenwirkungen oder einen "Fachkundigen" (der oft keine Ahnung hat!) verweisen.
Es wurde hier schon mehrmals irgendwo gesagt: auf den Verpackungen der DSen sollten rote Warnaufkleber drauf sein.

Die Leute die hier in diesem Thread posten oder lesen informieren sich wenigstens, also muss sich hier keiner angegriffen fühlen.

Das ist ja auch gut so! Aber es lesen eben noch lange nicht alle hier mit. Und guck mal, wieviele Neue sich immer in so einem brisanten Thread herumtummeln, da wird sich eigens für dieses Thema angemeldet. Das sieht man immer wieder.

Angegriffen fühlt sich sicher keiner, denke ich. Zumindest ich empfinde das nicht so - falls das so gemeint war.

Dieser Thread ist gut und wichtig! Ein bisschen breit für ein noch eigentlich recht schmales Thema, aber besser als nichts.

Und jetzt bin ich auch schon wieder ganz weit weg vom Thema...

 

[DieAbrissbirne]

http://www.synology.com/en-us/company/news/article/470

Synology® Continues to Encourage Users to Update

Washington, Bellevue—August 5th, 2014 —
We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.
We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM. At present, we have not observed this vulnerability in DSM 5.0.
For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php
When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
A process called “synosync” is running in Resource Monitor.
DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:

For DSM 4.3, please install DSM 4.3-3827 or later
For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
For DSM 4.0, please install DSM 4.0-2259 or later

DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.
If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com.
We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.

Nichts neues, aber immerhin sind wir mit DSM 5 auf der sicheren Seite. Habe meine beiden Würfel direkt mal wieder angeschmissen

 

[cantor]

Ich habe gerade eben beim Support angefragt, ob DSM 3.1-1625 ebenfalls anfällig ist. ;-) Allerdings sehe ich der Antwort gelassen entgegen, da meine DS nur aus dem LAN bzw. mittels openVPN (auf dem Router) erreichbar ist.

 

[Waldschrat]

Damit grep sich nicht selbst findet, basteln wir uns eine ganz kleine Range:

ps -w | grep ynosync ... 

Einfacher wäre btw., auf den grep etc. zu verzichten und gleich

killall KILL synosync 2> /dev/nul

zu verwenden.

Vorsicht Freunde, nicht alle Unix Befehle laufen auf der Syno uneingeschränkt, das 'grep ynosync' bringt das selbe Ergebnis wie ohne'[]' und der 'KILLALL' Befehl berücksichtigt sicht jede Form des Aufrufs von 'synosync', der könnte nämlich auch './synosync' heissen, damit bist mit dem grep auf der sicheren Seite.

 

[jony]

**** UPDATE FÜR OPFER ****

Wir haben das getan was man nicht tun sollte... Wir haben bezahlt und ja wir sind uns bewusst dass dies zu mehr Cyber Kriminalität führt und auch uns zur Zielscheibe in Zukunft aber unsere Backups waren zu alt und der Schaden für die Firma zu gross. Wir mussten es einfach versuchen und es scheint in diesem Fall so zu sein dass die Angreifer Wort halten.
Das ganze ist sehr professionell aufgezogen. Momentan läuft auf dem Nas der Entschlüsselungsvorgang und wir haben wieder Zugang zu der Admin Oberfläche des Nas. Erste Daten die entschlüsselt wurden sind lesbar und i.O. das Nas selber ist getrennt vom Internet und dem restlichen Netzwerk. (Bild zur Entschlüsselung angefügt)

Für andere Opfer wir haben folgendes gemacht:

- Sofort nach entdecken des Angriff, Nas abgeschaltet und die 2. (gespiegelte Festplatte) ausgebaut (Für den Fall dass Daten noch nicht verschlüsselt worden sind)
- Nas mit einem "leeren" alten Test Notebook verbunden, das Notebook selber wird nach dieser Aktion formatiert oder fliegt in den Müll.
- Mit dem Test Notebook die Instruktionen der Kriminellen gelesen und anschliessend ohne Nas ans Internet gehängt (über eine eigene Verbindung mit dem bestehende Router aber diesen erst auf Werkseinstellngen gesetzt).
- Tor Browser auf Test Notebook installiert und 0.6 Bitcoin + etwas Klimpergeld organisiert.
- Die Bitcoins bezahlt (Achtung man braucht etwas mehr als genau 0.6 da die Transaktion etwas kostet und die Kriminellen ein System haben das erst den Key gibt wenn genau 0.6 bezahlt)
- Nach bezahlen und etwa einer Stunde per Tor Browser Anweisung den Public Key erhalten.
- Key nach Anweisung mit Notebook im Nas eingetragen
- Sah zuerst dannach aus als würde das ganze nicht funktionieren aber nach power off/power on des Nas begann tatsächlich die Entschlüsselung.
- Erste Daten die wir kopiert haben vom Nas und auf dem Test Notebook analysiert sind i.O. lesbar und Zustand wie vorher.
- Wir sichern nun die Daten vom Nas parallel auf verschiedene Speichermedien und isolieren diese bevor wir nicht sicher sind dass wir uns damit nicht den nächsten Mist holen.
- Für den Moment konnten wir aber bereits einige der wichtigsten Daten vom Nas runter kopieren, lesen, drucken und isolieren.
- Alles in allem zwar falsch zu bezahlen aber der Angriff hat uns auf dem linken Fuss erwischt da wir bis vor kurzem HiDrive genutzt haben als NAS Backup aber gerade am umstellen waren und kein aktuelles Backup hatten.

So und jetzt könnt ihr auf uns eindreschen für die Dummheit die Firmware nicht aktuell zu halten und die Cyber-Gangster zu bezahlen. Wir hatten übrigens vom Router eine Portweiterleitung, Port 1723 (PPTP) für unseren VPN Zugang wobei dies ein Fachmann eingerichtet hatte ich denke aber das dürfte neben der nicht aktuellen Firmware der Angriffspunkt gewesen sein.

 

[TheGardner]

Ich hätts auch so gemacht! Da gibts nix zu dreschen! Und mir wär das auch sh... egal, ob ich da jetzt die Kriminalität fördere! Meine Daten wären mir heiliger als alles andere! Zumindest wenn sie so enormen Wert hätten, wie das Firmen-Daten nunmal haben!

Das einzigste wo ich noch zusammen zucke, ist der Gedanke, was gewesen wäre, wenn der Shais das 10fache gekostet hätte bzw. die Typen nicht Wort gehalten hätten!

 

[rubinho]

So und jetzt könnt ihr auf uns eindreschen für die Dummheit die Firmware nicht aktuell zu halten und die Cyber-Gangster zu bezahlen. Wir hatten übrigens vom Router eine Portweiterleitung, Port 1723 (PPTP) für unseren VPN Zugang wobei dies ein Fachmann eingerichtet hatte ich denke aber das dürfte neben der nicht aktuellen Firmware der Angriffspunkt gewesen sein.

Ich habe kein Bedürfnis auf einen der am Boden liegt einzudreschen :/

Was mich aber interessiert, ist die Portweiterleitung. Habt ihr ausser dem Port 1723 noch einen Port freigeschaltet, oder ist das der Einzigste gewesen ?

Ich kann mir nicht vorstellen, das es soviele Leute gibt die den PPTP VPN-Server (Im Übrigen ein Unverschlüssletes VPN) auf der Syno in Betrieb haben. (Ich mag mich aber auch täuschen)

 

[Frogman]

Tja, die Jungs haben wohl - da dieser Thread ja scheinbar weltweit verlinkt wurde - ordentlich mitgelesen und sahen schon ihre Felle davonschwimmen. Irgendjemand schrieb ja schon - ein Zeichen war wohl nötig, weil niemand zahlen will, wenn's keine Erfolgschancen gibt...

 

[ottosykora]

Ich kann mir nicht vorstellen, das es soviele Leute gibt die den PPTP VPN-Server (Im Übrigen ein Unverschlüssletes VPN) auf der Syno in Betrieb haben. (Ich mag mich aber auch täuschen)

warum meinst du unverschlüsselt?
Klar ist es verschlüsselt, es sei denn man stellt es explizit auf beiden Seiten auf unverschlüsselt.
Es hat einfach nur Schwächen, aber etwas mitzulesen, nun versuch es mal und zeig mir die Resultate. Sooo einfach ist es auch wieder nicht.

 

[Frogman]

... Sooo einfach ist es auch wieder nicht.

Stimmt - aber Leuten, die eine High-End-Verschlüsselung auf die DS bugsieren und sie wieder offline entfernen, würde ich das bedenkenlos zutrauen

 

[süno42]

Am besten auf einem RaspberryPi installieren, dass noch rumliegt

Für eine richtige Umsetzung fehlt dem Raspi leider die zweite Netzwerkschnittstelle, von dem Netzwerkdurchsatz brauche gar nicht erst anfangen zu reden. Aber als XBMC taugt er dafür gut. Ich bin gerade auf der Suche nach einem geeigneten stromsparenden Board, um mir zumindest eine weitere Netzwerkzone gönnen zu können.

 

[Waldschrat]

So und jetzt könnt ihr auf uns eindreschen für die Dummheit die Firmware nicht aktuell zu halten und die Cyber-Gangster zu bezahlen. Wir hatten übrigens vom Router eine Portweiterleitung, Port 1723 (PPTP) für unseren VPN Zugang wobei dies ein Fachmann eingerichtet hatte ich denke aber das dürfte neben der nicht aktuellen Firmware der Angriffspunkt gewesen sein.

Erstens Hut abfür die Entschlossenheit sich gegen den Rat versierter SpezielistInnen zu dem Schrit zu entschließen und zwotigens das Ergebnis für uns alle zur Verfügung zu stellen, obwohl ich mir vorstellen könnte, dass ihr noch eine kleinhühnerfaustvoll Arbeit vor Euch habt.

Tja, die Jungs haben wohl - da dieser Thread ja scheinbar weltweit verlinkt wurde - ordentlich mitgelesen und sahen schon ihre Felle davonschwimmen. Irgendjemand schrieb ja schon - ein Zeichen war wohl nötig, weil niemand zahlen will, wenn's keine Erfolgschancen gibt...

So professionell wie die Entsperroberfläche aussieht und auch noch funktioniert, kann die nicht das Ergebnis innerhalb von weniger als 2 Tagen von Recherchen in einem vielleicht fremdsprachigen Forum sein.
Spennend finde ich die explizite Erwähnung von einem 'restore' der SSH und TELNET Dienste.

 

[Frogman]

So professionell wie die Entsperroberfläche aussieht und auch noch funktioniert, kann die nicht das Ergebnis innerhalb von weniger als 2 Tagen von Recherchen in einem vielleicht fremdsprachigen Forum sein.

Man sollte nicht naiv annehmen, dass diese Alternative nicht von vornherein eingeplant gewesen wäre - genug Zeit also, das entsprechend vorzubereiten.

 

[jony]

@Rubinho

Ja wir hatten einzig diese Portweiterleitung (1723) aktiv im Router ansonsten nichts aktiv auf Seite Router. Dass auf dem Nas etwas aktiv war, war mir nicht bewusst wie gesagt resp. da wäre ich nichtmal sicher da das VPN ein externer eingerichtet hat und der hat nach meiner Erinnerung nichts am Nas gemacht aber da bin ich mir nicht 100% sicher.

@Frogaman

Das ganze war sehr profesionell aufgezogen und sah von Anfang an dannach aus als hätte sich da jemand grosse Mühe gemacht. Wenn du jemanden erpressen willst wäre es sehr dämlich wenn nach einigen Tagen jeder weiss dass du sowieso nichts bekommst. Die Zahlung wurde zB automatisch erfasst innerhalb von einer Stunde und protokolliert. Die Seiten waren alle in perfektem Englisch und alles sah extrem professionell aus. Ich denke die haben das ganz klar geschäftlich angeschaut... meine einzige Sorge ist dass die versuchen könnten mir gleich wieder etwas unterzujubeln oder nach der Hälfte Geld nachforderen oder so n Mist aber bisher läuft alles Glatt und ich ziehe mir die Daten raus die ich brauche. Soweit läuft das ganze korrekt ab, sind bei 17% entschlüsselt.

 

[Frogman]

Das ganze war sehr profesionell aufgezogen und sah von Anfang an dannach aus als hätte sich da jemand grosse Mühe gemacht.

Das bezweifelt niemand - das waren auch keine Anfänger.
Aber der Countdown lautete auf 7 Tage. Ich tendiere daher doch dazu anzunehmen, dass man hier gezielt Einzelnen die Dekodierung ermöglicht, um die Bereitschaft zu erhöhen, den Weg zu wählen - eben weil aus der Windows-Aktion die allermeisten nix gesehen hatten und daher die Empfehlung war, nicht zu zahlen.