Synolocker: Was tun, wenn die Synology gehackt wurde?
Über Synolocker, eine Malware, die den Zugriff auf NAS-Systeme von Synology verhindert und von den Besitzern der Stationen ein „Lösegeld“ für die Freischaltung erpresst, haben wir gestern bereits berichtet. Der Hersteller hat sich uns gegenüber inzwischen dazu geäußert und zudem Ratschläge für betroffene Nutzer veröffentlicht.
Momentan sind weiterhin nicht alle Details bezüglich der Angriffe geklärt. Insbesondere ist noch offen, ob auch mit der aktuellen Systemversion DSM 5 ausgestattete Server angreifbar sind. Falls ihr diesbezüglich Hinweise habt, freut sich das Synology-Team über eine Info über das Kontaktformular oder die unten angegebene E-Mail-Adresse.
Synolocker: Wichtige Hinweise für Synology-Nutzer:
Sofern eure Diskstation nicht betroffen ist, sollt ihr schnellstmöglich alle offenen Ports für externe Zugriffe sperren, dann eine Datensicherung und anschließend ein Update auf die aktuelle DSM-Version machen. Kunden, die beim Versuch auf das DSM-Interface zuzugreifen die Meldung "All important files on this NAS have been encrypted using strong cryptography" (Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt) angezeigt bekommen, sollen folgendes tun:
- Schaltet unverzüglich eure DiskStation aus, um die Verschlüsselung weiterer Dateien zu vermeiden.
- Kontaktiert anschließend das Support-Team von Synology am besten per E-Mail unter [email protected], damit die Situation weiter untersucht werden kann. Ihr solltet dies auch tun, wenn ihr euch nicht sicher seid, ob eure DiskStation betroffen ist (schreibt die E-Mail besser auf Englisch, wir prüfen gerade, ob es eine Möglichkeit gibt, das deutsche Support-Team direkt zu erreichen).
Wir halten euch bezüglich neuer Erkenntnisse in dieser Angelegenheit natürlich weiter auf dem Laufenden.
UPDATE: Nur DSM 4.3-3810 oder älter betroffen
Synology hat folgende zusätzliche Informationen veröffentlicht:
Wir arbeiten unter Hochdruck an der Untersuchung des Problems sowie einer möglichen Lösung. Basierend auf unseren aktuellen Informationen betrifft dieses Problem lediglich Synology NAS-Server, die auf einzelnen älteren DSM-Versionen (DSM 4.3-3810 oder älter) laufen. Bei den betroffenen Versionen wird eine Sicherheitslücke ausgenutzt, welche bereits im Dezember 2013 behoben wurde. Derzeit sind uns keine Fälle mit DSM 5.0 bekannt.
Anwender, die keine der oben genannten Symptome bemerken, empfehlen wir das NAS-System herunter zu fahren und DSM 5.0 oder eine der unten stehenden Versionen zu installieren:
- Für DSM 4.3: Bitte installieren Sie DSM 4.3-3827 oder neuer.
- Für DSM 4.1 oder DSM 4.2: Bitte installieren Sie DSM 4.2-3243 oder neuer.
- Für DSM 4.0: Bitte installieren Sie DSM 4.0-2259 oder neuer.
Ist die DS auch betroffen, wenn nur die Quickconnect eingerichtet ist?
Meines Wissens benötigt auch diese Funktion eine Portweiterleitung und ist somit „offen“!
Quickconnect geht auch ohne Portweiterleitung. Hab deswegen auch Quickconnect deaktiviert
Quickconnect funktioniert NICHT wenn wirklich ALLE Ports zu sind. Wenn doch, ist noch irgendwo ein Scheunentor offen!
Ich nehmen an, dass wirklich alle Portweiterleitungen geschlossen werden sollten und nicht nur spezifische oder? Mh, dann ist natürlich der Funktionsumfang meiner Synology stark begrenzt, was mir natürlich lieber ist, als nicht mehr an meine Daten zu kommen!
Für diejenigen die bereits Opfer dieser Deppen geworden sind, hoffe ich, dass Ihre Daten wieder herzustellen sind!
Erstmal: Top für die News dazu.
Aber: Ich finde es unangebracht zu schreiben dass man auch dann an die security Adresse von Synology schreiben soll wenn man sich nicht sicher ist ob man betroffen ist.
Erstens ist der Text der erscheint eindeutig und zweitens gibt es genug Unwissende (leider) die dann mangels Kenntnissen und eures Tips sich rein vorsorglich an die security Adresse wenden.
Und das flutet das Postfach und erschwert es erheblich für den Support den wirklich betroffenen zu helfen.
Ihr solltet diese Textpassage ändern oder entfernen!
Die Mail-Adresse ist öffentlich auf der Synology-Website einsehbar. Da konnte bisher auch jeder seinen Kummer hinschicken. Da kommt es auf die paar Hansel von hier nicht drauf an. Zumal nur ein kleiner Teil sicherlich „unwissend“ ist.
Das ist aus der offiziellen Stellungnahme von Synology, sonst würden wir das hier nicht so veröffentlichen.
Gab damals zu diesem „BKA“ Virus ein Tool das ne gekryptete Datei mit der gleichen ungekrypteten Datei verglichen hat und so den individuellen Key erzeugt hat, womit dann alles wieder entkryptet werden konnte. Hoffe mal jemand ist schon an einer solchen Lösung dran.
Hatte ich damals vom Trojaner-Board.de
Sorry für den kryptischen Erguss.
Ich finde es unmöglich, das die Vögel von Synology einen mit Werbemails zumüllen, aber in diesem Fall nicht einmal eine Mail an die registrierten User als Warnung rausschicken. Kurzer Sachverhalt und dazu raten das Gerät bis auf weiteres abzuschalten,fertig. Das die wohl auch noch nicht wissen woran es nun liegt, wäre es das Mindeste, was sie hätten tun müssen !!!
ja da gebe ich dir vollkommen recht!, sehe ich genauso! Ganz schwache Leistung Synology!!!
Schau mal in dein Postfach…ich habe eine offizielle Mail von Syn. bekommen !
Was ich mich frage (bin da nicht so firm drin) wie kommt der Dreck auf die DS? Scannen die Bösen im Web alle Ports die sie finden und schauen ob da eine Synology dahinter steckt? Oder läuft der Zugang von Außen über Synology und die klemmen sich da dazwischen?
Vielleicht kann mich da jemand erhellen! Danke!
würde mich auch interessieren, aber da zurzeit nichtmals klar ist ob auch Diskstations mit aktueller Firmware betroffen sind, wird da niemand eine Information zu haben. Vielleicht läuft es ja auch über den Update-Server und die Spinner erhalten eine Meldung dass die eigene Diskstation auf eine neuere Version geupdated werden kann / angreifbar ist.
Viel wichtiger wäre vielleicht aber noch gewesen zu erwähnen, wie man die Ports schliesst und nicht nur das man dies möglichst tun sollte…
Grundsätzlich sind doch alle Ports erst mal zu, wenn man einen Router dazwischen hat. Erst durch das Einrichten von Portfreigaben werden diese geöffnet. Wer das gemacht hat, weiß auch, wie er das rückgängig machen kann.
Wer seine DS direkt ans Internet hängt…olala! Aber auch hier kann man im DSM Interface die Firewall schließen und einzelne Port freigeben. Dazu muss man noch nicht mal die Ports wissen, sondern wählt die entsprechenden Dienste aus.
Also ich hab auch eine DS mit Version 5.0 und hatte den ssh Port offen. Als ich vor 2 Wochen aus dem Urlaub kam habe ich gesehen das diverse IPs aus China wiederholt versucht haben sich per ssh anzumelden. Scheinbar per bruteforce und wörterlisten. Keine Ahnung ob’s damit zusammenhängt aber hab dann auch erstmal alles gesperrt
Im deutschen Synology-Forum ist man mittlerweile auf der Seite 56 (10:35, 6.08.14): http://www.synology-forum.de/s.....ker/page58
Es gibt dort auch einen ersten Erfahrungsbericht über erfolgreiches Entsperren der Verschlüsselung.
Hallo, ich habe mir das NAS vor einer Woche zugelegt.
2 Tage hatte ich sie einfach so laufen da war nichts und seit ich mich bei quickconnect angemeldet hab bekomme ich laufend die Benachrichtigung:
IP adress [x.x.x.x] of DiskStation has been blocked by SSH
(IPs sind laut http://www.whatismyip.com aus China)
also irgendwie ist mir dass nicht ganz geheuer… hab dann auch die quickconnect Einstellung deaktiviert, aber die blocks gehen weiter… somit erfolgt der Zugriff auf die Statische IP, im nachhinein könnt ich mich dafür in A.. beißen dass ich mich da angemeldet habe…
Ist dass nur Zufall oder hängt das evtl. mit quickconnect zusammen?