- Registriert
- 28.10.12
- Beiträge
- 2.300
Immer wieder werden neue Ideen bekannt, mit denen Kriminelle versuchen, den von ihrer Schadsoftware betroffenen Nutzern das Geld aus der Tasche zu ziehen. Nun gibt es immer mehr Fälle, in denen Netzwerkspeichersysteme von Synology von einem Trojaner namens SynoLock befallen werden, der sämtliche Daten verschlüsselt und erst nach der Zahlung eines Lösegeldes wieder entschlüsselt. Potenziell gefährdet sind wohl alle Synology-Systeme, die über das Internet erreichbar sind.[prbreak][/prbreak]
Wie betroffene Anwender im Support-Forum des Herstellers schreiben, verlangen die bisher unbekannten Hacker eine Zahlung von 0,6 Bitcoin, was ungefähr 270 Euro entspricht. Zahlt man nicht innerhalb von sieben Tagen, soll sich die Summe verdoppeln. Die Hacker setzen dabei auf die kombinierte Anwendung mehrerer Verschlüsselungsverfahren, wodurch die Chancen wohl sehr gering ausfallen, ohne Hilfe der Täter wieder Zugang zu den Daten zu bekommen.
via HKEPC
Über welchen Weg sich die Kriminellen Zugang zum NAS verschafft haben ist bisher unklar. Am wahrscheinlichsten ist eine Sicherheitslücke in der Firmware, wobei nicht klar ist ob diese in der aktuellsten Version schon geschlossen ist. Besitzer eines Synology-Systems können vorsorglich bestimmte Ports sperren oder den Fernzugriff gänzlich unterbinden. Auch eine hohe CPU-Auslastung deutet auf einen laufenden Verschlüsselungsvorgang hin.
Der Trojaner hinterlässt folgende Informationen:
via Synology Forum
[UPDATE 05.08.2014 - 19:12] Synology äußert sich
Mittlerweile hat sich Synology offiziell dazu geäußert und das Problem lokalisiert. Demnach sind lediglich Systeme betroffen die eine Firmwareversion DSM 4.3-3810 oder früher einsetzen. Die in diesem Fall ausgenutzte Sicherheitslücke hat der Hersteller nach eigenen Angaben bereits im Dezember 2013 geschlossen.
Für denn Fall, dass ein Prozess namens ‘synosync’ im Task-Manager des NAS läuft oder der Update-Prozess trotz veralteter Softwareversion 4.3-3810 keine Aktualisierung findet, sind Anwender dazu angehalten dass System herunterzufahren und sich an den Synology-Support zu wenden. Allen anderen empfiehlt der Hersteller ein unverzügliches Update auf die aktuellste Version von DSM 5.0, wird diese vom System nicht mehr unterstützt werden die jeweils verfügbaren Versionen genannt die von dem benutzen Fehler bereinigt sind.
Hier die originale Stellungnahme von Synology in englischer Sprache
Wie betroffene Anwender im Support-Forum des Herstellers schreiben, verlangen die bisher unbekannten Hacker eine Zahlung von 0,6 Bitcoin, was ungefähr 270 Euro entspricht. Zahlt man nicht innerhalb von sieben Tagen, soll sich die Summe verdoppeln. Die Hacker setzen dabei auf die kombinierte Anwendung mehrerer Verschlüsselungsverfahren, wodurch die Chancen wohl sehr gering ausfallen, ohne Hilfe der Täter wieder Zugang zu den Daten zu bekommen.
via HKEPC
Über welchen Weg sich die Kriminellen Zugang zum NAS verschafft haben ist bisher unklar. Am wahrscheinlichsten ist eine Sicherheitslücke in der Firmware, wobei nicht klar ist ob diese in der aktuellsten Version schon geschlossen ist. Besitzer eines Synology-Systems können vorsorglich bestimmte Ports sperren oder den Fernzugriff gänzlich unterbinden. Auch eine hohe CPU-Auslastung deutet auf einen laufenden Verschlüsselungsvorgang hin.
Der Trojaner hinterlässt folgende Informationen:
SynoLocker™
Automated Decryption Service
All important files on this NAS have been encrypted using strong cryptography
List of encrypted files available here.
Follow these simple steps if files recovery is needed:
1. Download and install Tor Browser.
2. Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
3. Login with your identification code to get further instructions on how to get a decryption key.
4. Your identification code is - (also visible here).
5. Follow the instructions on the decryption page once a valid decryption key has been acquired.
Technical details about the encryption process:
• A unique RSA-2048 keypair is generated on a remote server and linked to this system.
• The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
• A random 256-bit key is generated on this system when a new file needs to be encrypted.
• This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
• The 256-bit key is then encrypted with the RSA-2048 public key.
• The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
• The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
• The encrypted file is renamed to the original filename.
• To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
• Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
• When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
• Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.
via Synology Forum
[UPDATE 05.08.2014 - 19:12] Synology äußert sich
Mittlerweile hat sich Synology offiziell dazu geäußert und das Problem lokalisiert. Demnach sind lediglich Systeme betroffen die eine Firmwareversion DSM 4.3-3810 oder früher einsetzen. Die in diesem Fall ausgenutzte Sicherheitslücke hat der Hersteller nach eigenen Angaben bereits im Dezember 2013 geschlossen.
Für denn Fall, dass ein Prozess namens ‘synosync’ im Task-Manager des NAS läuft oder der Update-Prozess trotz veralteter Softwareversion 4.3-3810 keine Aktualisierung findet, sind Anwender dazu angehalten dass System herunterzufahren und sich an den Synology-Support zu wenden. Allen anderen empfiehlt der Hersteller ein unverzügliches Update auf die aktuellste Version von DSM 5.0, wird diese vom System nicht mehr unterstützt werden die jeweils verfügbaren Versionen genannt die von dem benutzen Fehler bereinigt sind.
Hier die originale Stellungnahme von Synology in englischer Sprache
We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.
We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. Furthermore, to prevent spread of the issue we have only enabled QuickConnect to secure versions of DSM. At present, we have not observed this vulnerability in DSM 5.0.
For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php:
When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
- A process called “synosync” is running in Resource Monitor.
- DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
- For DSM 4.3, please install DSM 4.3-3827 or later
- For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
- For DSM 4.0, please install DSM 4.0-2259 or later
DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.
If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at [email protected].
We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.
Zuletzt bearbeitet: