Magazin [UPDATE] Trojaner verschlüsselt Synology-Systeme und verlangt Lösegeld

Dieses Thema im Forum "Magazin" wurde erstellt von Philipp Schwinn, 04.08.14.

  1. Philipp Schwinn

    Philipp Schwinn Maren Nissen

    Dabei seit:
    28.10.12
    Beiträge:
    2.301
    Immer wieder werden neue Ideen bekannt, mit denen Kriminelle versuchen, den von ihrer Schadsoftware betroffenen Nutzern das Geld aus der Tasche zu ziehen. Nun gibt es immer mehr Fälle, in denen Netzwerkspeichersysteme von Synology von einem Trojaner namens SynoLock befallen werden, der sämtliche Daten verschlüsselt und erst nach der Zahlung eines Lösegeldes wieder entschlüsselt. Potenziell gefährdet sind wohl alle Synology-Systeme, die über das Internet erreichbar sind.[prbreak][/prbreak]

    Wie betroffene Anwender im Support-Forum des Herstellers schreiben, verlangen die bisher unbekannten Hacker eine Zahlung von 0,6 Bitcoin, was ungefähr 270 Euro entspricht. Zahlt man nicht innerhalb von sieben Tagen, soll sich die Summe verdoppeln. Die Hacker setzen dabei auf die kombinierte Anwendung mehrerer Verschlüsselungsverfahren, wodurch die Chancen wohl sehr gering ausfallen, ohne Hilfe der Täter wieder Zugang zu den Daten zu bekommen.

    synolock.jpg
    via HKEPC

    Über welchen Weg sich die Kriminellen Zugang zum NAS verschafft haben ist bisher unklar. Am wahrscheinlichsten ist eine Sicherheitslücke in der Firmware, wobei nicht klar ist ob diese in der aktuellsten Version schon geschlossen ist. Besitzer eines Synology-Systems können vorsorglich bestimmte Ports sperren oder den Fernzugriff gänzlich unterbinden. Auch eine hohe CPU-Auslastung deutet auf einen laufenden Verschlüsselungsvorgang hin.

    Der Trojaner hinterlässt folgende Informationen:
    via Synology Forum

    [UPDATE 05.08.2014 - 19:12] Synology äußert sich

    Mittlerweile hat sich Synology offiziell dazu geäußert und das Problem lokalisiert. Demnach sind lediglich Systeme betroffen die eine Firmwareversion DSM 4.3-3810 oder früher einsetzen. Die in diesem Fall ausgenutzte Sicherheitslücke hat der Hersteller nach eigenen Angaben bereits im Dezember 2013 geschlossen.

    Für denn Fall, dass ein Prozess namens ‘synosync’ im Task-Manager des NAS läuft oder der Update-Prozess trotz veralteter Softwareversion 4.3-3810 keine Aktualisierung findet, sind Anwender dazu angehalten dass System herunterzufahren und sich an den Synology-Support zu wenden. Allen anderen empfiehlt der Hersteller ein unverzügliches Update auf die aktuellste Version von DSM 5.0, wird diese vom System nicht mehr unterstützt werden die jeweils verfügbaren Versionen genannt die von dem benutzen Fehler bereinigt sind.

    Hier die originale Stellungnahme von Synology in englischer Sprache
     
    #1 Philipp Schwinn, 04.08.14
    Zuletzt bearbeitet: 05.08.14
    ken-wut, MacEddie84 und PaulchenPanther gefällt das.
  2. m4d-maNu

    m4d-maNu Signe Tillisch

    Dabei seit:
    29.01.10
    Beiträge:
    13.896
    Ja so etwas lies man doch gerne, werd ich wohl direkt mal den Zugang übers Internet sperren bei meinen NAS.
     
  3. _linx_

    _linx_ Kleiner Weinapfel

    Dabei seit:
    04.01.09
    Beiträge:
    1.125
    Was bedeutet "über das Internet erreichbar"? Jegliche Ports und Protokolle oder nur bestimmte Protokolle oder Anwendungen?
     
  4. beasttechnologie

    beasttechnologie Grahams Jubiläumsapfel

    Dabei seit:
    08.01.14
    Beiträge:
    105
    Vorerst würde ich die ganze Verbindung zum Netz kappen. Habe ich mit meiner Diskstation gemacht.


    Gesendet von meinem iPhone mit Apfeltalk
     
  5. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    25.183
    Soviel zum Thema "Die private Cloud ist so viel sicherer, weil der Anwender ja alles kontrollieren kann" ;)
     
    paul.mbp und bezierkurve gefällt das.
  6. BigJ1972

    BigJ1972 Seidenapfel

    Dabei seit:
    13.04.13
    Beiträge:
    1.329
    Sicher ist mittlerweile gar nix mehr..... der nächste Weltkrieg findet wohl eher im Cyberspace statt als in der realen Welt..... Es ist zum kotzen!
     
  7. ImperatoR

    ImperatoR Ananas Reinette

    Dabei seit:
    02.12.06
    Beiträge:
    6.240
    Naja wer noch ein Backup vom NAS hat, verliert auch kein Geld. ;)
     
  8. wowaja

    wowaja Erdapfel

    Dabei seit:
    04.08.14
    Beiträge:
    3
    m4d-maNu gefällt das.
  9. m4d-maNu

    m4d-maNu Signe Tillisch

    Dabei seit:
    29.01.10
    Beiträge:
    13.896
    Dann kann ich den externen Zugriff ja wieder freigeben, habe DSM 5.0-4493 Update 3
     
    MacEddie84 gefällt das.
  10. PeperoniJeans

    PeperoniJeans Tokyo Rose

    Dabei seit:
    04.03.13
    Beiträge:
    69
    Hatte schon kurz einen Schreck. Gestern aber erst auf die neueste Firmware aktualisiert. Hoffe die Lücke ist wirklich geschlossen worde. Lasse die Ports sicherheitshalber aber noch ein bisschen zu.
     
  11. MacEddie84

    MacEddie84 Klarapfel

    Dabei seit:
    22.10.08
    Beiträge:
    280
    jetzt verstehe ich auch warum ständig 20-50 ip Adressen geblockt werden vom System.... Hab mich schon gewundert, woher das kommt.
     
  12. beasttechnologie

    beasttechnologie Grahams Jubiläumsapfel

    Dabei seit:
    08.01.14
    Beiträge:
    105
    Der Artikel ist ewig alt und hat mit dem neuen Hack nichts zutun! Vorsicht!
     
    alexserikow gefällt das.
  13. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    25.183
    Eben. Zumal ich ein NAS niemals direkt ans Internet hängen würde
     
  14. TheCrab

    TheCrab Empire

    Dabei seit:
    16.12.09
    Beiträge:
    84
    Hach ja wenn die Leute nur ihre Resourcen für was vernünftiges nutzen würden, anstatt zu versuchen anderen Schaden zuzufügen. Das Leben wäre so viel schöner.
     
  15. Philipp Schwinn

    Philipp Schwinn Maren Nissen

    Dabei seit:
    28.10.12
    Beiträge:
    2.301
    Das ist eben noch nicht ganz sicher. Aber sicher ist, dass ein kompletter Stopp der Internetfunktionen auch die kompromittierten Ports und Protokolle dicht macht – die sicherste Lösung bis es Gewissheit gibt.
     
  16. Gorn

    Gorn Boskop

    Dabei seit:
    28.03.13
    Beiträge:
    206
    Na immerhin lässt sich hier das Problem
    wirklich durch Bezahlung lösen, andere Trojaner von denen in der Vergangenheit zu hören war sind da noch dreister vorgegangen. Gut, dass ich meine Synology doch noch zurückgesendet habe und auf eine NAS Einrichtung vorerst verzichtet hab ;) Wobei ich sowieso versucht hätte die Verbindung nach Außen soweit es geht zu unterbinden - bei den niedrigen Uploadraten war mit dieser Funktion eh fast nichts anzufangen.


    Sent from my iPhone using Apfeltalk mobile app
     
  17. MaxTrax

    MaxTrax Himbeerapfel von Holowaus

    Dabei seit:
    03.10.08
    Beiträge:
    1.248
    Sicher? :eek:
     
  18. beasttechnologie

    beasttechnologie Grahams Jubiläumsapfel

    Dabei seit:
    08.01.14
    Beiträge:
    105
    Laut ein paar Nutzern aus dem englischen Forum ist es wirklich so dass nach der Bezahlung der NAS entschlüsselt wurde.


    Gesendet von meinem iPhone mit Apfeltalk
     
    MaxTrax gefällt das.
  19. CR-Z

    CR-Z Kleiner Weinapfel

    Dabei seit:
    04.01.13
    Beiträge:
    1.131
    Womit Kriminelle bezahlt und zum Weitermachen animiert wurden...


    Sent from my iPhone using Apfeltalk mobile app
     
    dakai gefällt das.
  20. beasttechnologie

    beasttechnologie Grahams Jubiläumsapfel

    Dabei seit:
    08.01.14
    Beiträge:
    105
    Wenn Geschäftsdaten betroffen wären, was grob fahrlässig wäre, würde es sich lohnen.


    Gesendet von meinem iPhone mit Apfeltalk