5
Aug 14
Erinnert Ihr Euch an die Malware «Cryptolocker», die vor einigen Monaten PC-User erpresst hat? So etwas Ähnliches passiert derzeit auf Synology DiskStations. Beim Versuch einzuloggen erscheint statt der gewohnten DSM-Oberfläche eine Seite der Ransomware «SynoLocker». Da steht, dass alle Dateien verschlüsselt wurden und dass man via Tor-Browser für 0,6 Bitcoins (beim heutigen Tageskurs um die 320 Franken) einen Entschlüsselungscode kaufen soll, wenn man seine Daten wiedersehen möchte. Der Preis verdoppelt sich offenbar nach Ablaufen eines Countdowns, um den Druck auf den drangsalierten User zu erhöhen. Aber wer weiss schon, ob die Erpresser nach erfolgter Zahlung wirklich einen Key schicken.?
You'd be very worried if you saw this on your synology unit. #synolocker #synology @ckeladis pic.twitter.com/5ZHzVzqUtm
— Ezat (@ezat_t) August 5, 2014
Synology rät via Google+ allen, die so eine Nachricht beim Einloggen sehen:
- Die DiskStation so schnell wie möglich komplett abzuschalten
- Fake-E-Mails mit angeblichem Absender Synology zu ignorieren
- Das Synology-Support-Team zu kontaktieren (z.B. über dieses spezielle Formular)
Wer sich noch normal am DiskStation Manager anmelden kann, sollte
- alle offenen Ports, über die extern zugegriffen werden kann, schliessen (insbesondere 21, 22, 23, 80, 443, 5000, 5001)
- alle Daten auf einem externen Speicher sichern und
- DSM auf die neuste Version updaten (was aber nicht heisst, dass einem die neuste DSM-Version schützt).
Also ich hab mein NAS sowieso nicht dauernd an. Wird spannend beim nächsten Aufstarten… Und Ihr?
#Synolocker afecta los NAS #Synology te recomiendo apagarlo hasta que pase la amenaza http://t.co/aBzWj7U1Rs pic.twitter.com/wA1Xmwd2Ul
— Hari Dario Rosales (@hari_dario) August 4, 2014
Update 5.8. 10.40: Welche Sicherheitslücke sich SynoLocker zunutze macht, ist noch nicht bekannt. Im Gegensatz zu den beiden anderen Grossangriffen auf Synology-NAS dieses Jahr, bei denen auf älteren DSM-Versionen durch Ausnutzen einer Lücke in der FileBrowser-Komponente Bitcoin- respektive Dogecoin-Mining-Programme installiert wurden.
Update 6.8. 00.20: Synology hat ein offizielles Statement abgegeben. Michael von unserer Technik hat den Link zur Synology-Detailseite in seinem Kommentar gepostet, siehe Kommentare unten.
Mehr zu diesem Thema/Quellen
- technikblog.ch
- Caschys Blog
- Macerkopf
- OpenDNS Labs
- synology-forum.de
- forum.synology.com
- Synologys Meldung auf Google+
- #SynoLocker auf Twitter
- Inside IT
- Heise.de
- MacTechNews
- PCtipp
Geposted von
Da meine Synology degradiert wurde zum Backup des Backups, läuft sie nur wenn ich sie auch starte für das manuelle Backup einmal im Monat. Somit sollte sie das noch nicht drauf haben, bin mal gespannt, in zwei Wochen ist wieder Backup Zeit ;)
Ich hab keine synology. Was mich aber eher bedrückt wäre die Tatsache das sich synology dazu nicht äussert. Auf synology.com findet man dazu nicht mal einen Blog Beitrag.
Klar, würde der Firma schaden. Aber erwartet man dies nicht als Kunde?
Martin: Dann wäre es wahrscheinlich schlau, sie ohne Internetverbindung aufzustarten. Muss bei mir selbst noch schauen, ob ich im Router was ändern kann, so dass alle von extern eingehenden Verbindungen zur Syno (und nur die) blockiert werden.
Markus: Ja, ähnliche Stimmen wurden auch auf G+ und im offiziellen Forum laut. Ich gehe davon aus, dass sie schon noch offiziell kommunizieren.
Leider sind wir als KMU voll erwischt worden mt unserem NAS, letztes hard Backup des Nas natürlich auch ziemlich alt. Hat am Wochenende zugeschlagen und sieht so zimelich nach Totalschaden bei den Daten aus. Gegen aussen hatten wir nur eine VPN Verbindung offen die ein Fachmann installiert hatte wobei irgendwo eine Lück gewesen sein muss ansosnten hätte es uns ja nicht erwischt…
„Gegen aussen hatten wir nur eine VPN Verbindung offen“
Welche Art von VPN Verbindung, OpenVPN, PPTP, IPSec. Welche DSM Version war installiert?
Laut Caschy (hat ein mail von Synology erhalten) sind alte Software Versionen betroffen. http://stadt-bremerhaven.de/synology-synolocker-diese-versionen/
Das macht eigentlich ja nichts wenn das Webinterface ja so oder so nicht öffentlich ist. Deshalb habt ihr ja einen VPN. Da stellt sich halt doch die Frage: Wie kam da jemand rein? Unsicherer VPN? VIelleicht doch auch ohne VPN offen? (Port forwarding unwissend eingerichtet, ect..)
Bericht von Synology (Update):
http://www.synology.com/en-us/company/news/article/470
Hallo Michael, vielen Dank fürs Posten des offiziellen Statements von Synology (endlich sagen sie was dazu, muss man sagen!).
tl:dr
Wesentlicher Informationsgehalt, komprimiert in einem Satz: Läuft auf Deiner DiskStation DSM 4.3-3810 oder früher, SCHLEUNIGST updaten.