• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick

Magazin [UPDATE] Trojaner verschlüsselt Synology-Systeme und verlangt Lösegeld

Philipp Schwinn

Philipp Schwinn

Herrenhut
Registriert
28.10.12
Beiträge
2.300
Immer wieder werden neue Ideen bekannt, mit denen Kriminelle versuchen, den von ihrer Schadsoftware betroffenen Nutzern das Geld aus der Tasche zu ziehen. Nun gibt es immer mehr Fälle, in denen Netzwerkspeichersysteme von Synology von einem Trojaner namens SynoLock befallen werden, der sämtliche Daten verschlüsselt und erst nach der Zahlung eines Lösegeldes wieder entschlüsselt. Potenziell gefährdet sind wohl alle Synology-Systeme, die über das Internet erreichbar sind.[prbreak][/prbreak]

Wie betroffene Anwender im Support-Forum des Herstellers schreiben, verlangen die bisher unbekannten Hacker eine Zahlung von 0,6 Bitcoin, was ungefähr 270 Euro entspricht. Zahlt man nicht innerhalb von sieben Tagen, soll sich die Summe verdoppeln. Die Hacker setzen dabei auf die kombinierte Anwendung mehrerer Verschlüsselungsverfahren, wodurch die Chancen wohl sehr gering ausfallen, ohne Hilfe der Täter wieder Zugang zu den Daten zu bekommen.

synolock.jpg
via HKEPC

Über welchen Weg sich die Kriminellen Zugang zum NAS verschafft haben ist bisher unklar. Am wahrscheinlichsten ist eine Sicherheitslücke in der Firmware, wobei nicht klar ist ob diese in der aktuellsten Version schon geschlossen ist. Besitzer eines Synology-Systems können vorsorglich bestimmte Ports sperren oder den Fernzugriff gänzlich unterbinden. Auch eine hohe CPU-Auslastung deutet auf einen laufenden Verschlüsselungsvorgang hin.

Der Trojaner hinterlässt folgende Informationen:
SynoLocker™
Automated Decryption Service
All important files on this NAS have been encrypted using strong cryptography

List of encrypted files available here.
Follow these simple steps if files recovery is needed:
1. Download and install Tor Browser.
2. Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
3. Login with your identification code to get further instructions on how to get a decryption key.
4. Your identification code is - (also visible here).
5. Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:
• A unique RSA-2048 keypair is generated on a remote server and linked to this system.
• The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
• A random 256-bit key is generated on this system when a new file needs to be encrypted.
• This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
• The 256-bit key is then encrypted with the RSA-2048 public key.
• The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
• The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
• The encrypted file is renamed to the original filename.
• To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
• Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
• When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
• Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.
Zum Vergrößern anklicken....

via Synology Forum

[UPDATE 05.08.2014 - 19:12] Synology äußert sich

Mittlerweile hat sich Synology offiziell dazu geäußert und das Problem lokalisiert. Demnach sind lediglich Systeme betroffen die eine Firmwareversion DSM 4.3-3810 oder früher einsetzen. Die in diesem Fall ausgenutzte Sicherheitslücke hat der Hersteller nach eigenen Angaben bereits im Dezember 2013 geschlossen.

Für denn Fall, dass ein Prozess namens ‘synosync’ im Task-Manager des NAS läuft oder der Update-Prozess trotz veralteter Softwareversion 4.3-3810 keine Aktualisierung findet, sind Anwender dazu angehalten dass System herunterzufahren und sich an den Synology-Support zu wenden. Allen anderen empfiehlt der Hersteller ein unverzügliches Update auf die aktuellste Version von DSM 5.0, wird diese vom System nicht mehr unterstützt werden die jeweils verfügbaren Versionen genannt die von dem benutzen Fehler bereinigt sind.

Hier die originale Stellungnahme von Synology in englischer Sprache
We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. Furthermore, to prevent spread of the issue we have only enabled QuickConnect to secure versions of DSM. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.


  • A process called “synosync” is running in Resource Monitor.
  • DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.


For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:



  • For DSM 4.3, please install DSM 4.3-3827 or later
  • For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
  • For DSM 4.0, please install DSM 4.0-2259 or later


DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.

If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at [email protected].

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ken-wut, MacEddie84 und PaulchenPanther

Mitglied 105235

Gast
Ja so etwas lies man doch gerne, werd ich wohl direkt mal den Zugang übers Internet sperren bei meinen NAS.
 

_linx_

Kleiner Weinapfel
Registriert
04.01.09
Beiträge
1.125
Was bedeutet "über das Internet erreichbar"? Jegliche Ports und Protokolle oder nur bestimmte Protokolle oder Anwendungen?
 
beasttechnologie

beasttechnologie

Grahams Jubiläumsapfel
Registriert
08.01.14
Beiträge
105
Vorerst würde ich die ganze Verbindung zum Netz kappen. Habe ich mit meiner Diskstation gemacht.


Gesendet von meinem iPhone mit Apfeltalk
 
BigJ1972

BigJ1972

Seidenapfel
Registriert
13.04.13
Beiträge
1.341
Sicher ist mittlerweile gar nix mehr..... der nächste Weltkrieg findet wohl eher im Cyberspace statt als in der realen Welt..... Es ist zum kotzen!
 
ImperatoR

ImperatoR

Roter Astrachan
Registriert
02.12.06
Beiträge
6.261
Naja wer noch ein Backup vom NAS hat, verliert auch kein Geld. ;)
 

Mitglied 105235

Gast
Dann kann ich den externen Zugriff ja wieder freigeben, habe DSM 5.0-4493 Update 3
 
  • Like
Reaktionen: MacEddie84
PeperoniJeans

PeperoniJeans

Tokyo Rose
Registriert
04.03.13
Beiträge
69
Hatte schon kurz einen Schreck. Gestern aber erst auf die neueste Firmware aktualisiert. Hoffe die Lücke ist wirklich geschlossen worde. Lasse die Ports sicherheitshalber aber noch ein bisschen zu.
 
MacEddie84

MacEddie84

Klarapfel
Registriert
22.10.08
Beiträge
280
jetzt verstehe ich auch warum ständig 20-50 ip Adressen geblockt werden vom System.... Hab mich schon gewundert, woher das kommt.
 
Philipp Schwinn

Philipp Schwinn

Herrenhut
Registriert
28.10.12
Beiträge
2.300
_linx_ schrieb:
Was bedeutet "über das Internet erreichbar"? Jegliche Ports und Protokolle oder nur bestimmte Protokolle oder Anwendungen?
Zum Vergrößern anklicken....

Das ist eben noch nicht ganz sicher. Aber sicher ist, dass ein kompletter Stopp der Internetfunktionen auch die kompromittierten Ports und Protokolle dicht macht – die sicherste Lösung bis es Gewissheit gibt.
 
Gorn

Gorn

Boskop
Registriert
28.03.13
Beiträge
206
Na immerhin lässt sich hier das Problem
wirklich durch Bezahlung lösen, andere Trojaner von denen in der Vergangenheit zu hören war sind da noch dreister vorgegangen. Gut, dass ich meine Synology doch noch zurückgesendet habe und auf eine NAS Einrichtung vorerst verzichtet hab ;) Wobei ich sowieso versucht hätte die Verbindung nach Außen soweit es geht zu unterbinden - bei den niedrigen Uploadraten war mit dieser Funktion eh fast nichts anzufangen.


Sent from my iPhone using Apfeltalk mobile app
 
CR-Z

CR-Z

Königsapfel
Registriert
04.01.13
Beiträge
1.210
Womit Kriminelle bezahlt und zum Weitermachen animiert wurden...


Sent from my iPhone using Apfeltalk mobile app
 
  • Like
Reaktionen: dakai
beasttechnologie

beasttechnologie

Grahams Jubiläumsapfel
Registriert
08.01.14
Beiträge
105
Wenn Geschäftsdaten betroffen wären, was grob fahrlässig wäre, würde es sich lohnen.


Gesendet von meinem iPhone mit Apfeltalk
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten