SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[jony]

Hallo zusammen,

Leider mussten wir heute in unserem Büro (kleinunternehmen) eine schlimme erfahrung machen.

Alle daten auf unserem NAS sind verschlüsselt worden....

Dazu eine Datei mit folgenden Infos:

SynoLocker™
Automated Decryption Service
All important files on this NAS have been encrypted using strong cryptography

List of encrypted files available here.
Follow these simple steps if files recovery is needed:
1. Download and install Tor Browser.
2. Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
3. Login with your identification code to get further instructions on how to get a decryption key.
4. Your identification code is - (also visible here).
5. Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:
• A unique RSA-2048 keypair is generated on a remote server and linked to this system.
• The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
• A random 256-bit key is generated on this system when a new file needs to be encrypted.
• This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
• The 256-bit key is then encrypted with the RSA-2048 public key.
• The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
• The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
• The encrypted file is renamed to the original filename.
• To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
• Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
• When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
• Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.

ich hab schon von verschlüsselungsfällen gelesen auf privat pcs. nicht aber auf einem geschäfts nas mit guten pw etc.

hat jemand erfahrungen damit?

sind um jede hilfe froh

 

[Frogman]

Ich nehme an, man kann sich gewöhnlich anmelden an der DS?
Vermutlich hat sich jemand bei Euch einen entsprechenden Trojaner auf seinem Arbeitsrechner eingefangen, der dann auch alle Daten auf den eingebundenen Netzwerklaufwerken encrypted hat. Sollte dem so sein, wirst Du keine Chance haben, an die Daten zu gelangen.
Empfehlung des BKA: die geforderten Bitcoins nicht zahlen (den Key wirst Du ohnehin nicht bekommen). Am besten die Arbeitsrechner neu aufsetzen, ansonsten mindestens von einem professionellen Experten anschauen und säubern lassen. Ein Datenbackup habt ihr hoffentlich - allerdings sollte auch dort vor der Wiederinbetriebnahme nach möglichen Quellen für den Trojaner gesucht werden!

 

[jony]

hey frogman, danke für deine super schnelle antwort.

ich kann auf die daten auf der ds zugreifen, sind einfach gecrypted wenn ichs öffne. ich kann aber kein zugriff mehr auf die steuerung/admin oberfläche.

der obige text von synolocker kommt sobald man sich aufs nas einloggt.

wir können die ds auch nicht mehr runterfahren. die blaue led blinkt non-stop.

 

[Frogman]

Ich habe mich gerade mal in den Such-Kanälen vertieft. Hier scheint gerade eine neue Variante ins Netz zu schwappen, in Hongkong gab's wohl eine erhöhte Zahl an Betroffenen (Link1, Link2). Die Infektion scheint tatsächlich direkt auf die DS zu laufen.

Es wird dort empfohlen, vorübergehend mindestens Port 5000 (plus eventuell auch 5001) zu schließen.
Man sollte auch schauen, ob aktuell auffällig hohe CPU-Last besteht - das dürfte der Verschlüsselungsprozess sein. Die DS dann besser abschalten, um erst einmal Schlimmeres zu verhindern (zur Not könnte man auch einfach den Stecker ziehen).

Dir als Betroffener wird das vermutlich nicht mehr helfen, sorry...

***EDIT***
Bei Betroffenen wurden offenbar auch ungewöhnliche externe Zugriffsversuche auf Port 21 und 23 verzeichnet.
Es empfiehlt sich also, aktuell auch diese und eventuell auch weitere Ports zu schließen und die DS nur dann extern zugänglich zu machen, wenn es unbedingt erforderlich ist!


***EDIT2***
Ich hab's mal an die Security-Emailadresse geschickt. Mal schauen, ob und wie reagiert wird.

 

[jony]

frogman, vielen dank für deine hilfe!

hoffe dass sich jemand von der security meldet auf deine anfrage

 

[Frogman]

Nun ja, selbst wenn sich jemand meldet - analog der Angriffe, wie sie bei Windows-Versionen bekannt sind, dürften die Daten für Dich nicht wiederherstellbar sein. Die AES-Verschlüsselung, die hier verwendet wird, ist auf der Höhe der Zeit. Ohne den Key, der individuell für die Verschlüsselung erzeugt wird, ist da keinesfalls etwas zu machen.
Aber wie ich schon andeutete - soweit mir bekannt ist, haben selbst diejenigen, die die geforderten Bitcoins bezahlt haben, keinen Key ausgehändigt bekommen. Du wirst vermutlich wohl oder übel den Weg beschreiten müssen, den ich oben skizziert hatte.

 

[Frogman]

@jony
Darf ich mal fragen, welche DS ihr nutzt?

 

[Iarn]

Und welche Firmware Version falls bekannt.

 

[Tommes]

Na da staunte der Tommes aber nicht schlecht, als er diesen Thread hier gelesen hat.

Ich glaub, das ist das erste mal, das ich hier im Forum lese, das eine DS... ich sag mal "offiziell" geknackt und Schaden angerichtet wurde. Das ist ja echt ein Hammer, der mich ganz schön hat aufhorchen lassen. Ich hoffe, das mir das niemalsnie passieren wird, auch wenn es sich bei mir "nur" um private Daten handelt, nicht um evtl. "sensible" Geschäftsdaten. Auch die Art des Angriffes... da fehlen mir grad irgendwie die Worte.

Tommes

 

[Frogman]

Einmal mehr ein Grund, immer separate und gestaffelt/redundante Backups zu fahren. Der Weg über Datenverschlüsselung als Druckmittel wird sicherlich noch ordentlich in Mode kommen...

Allerdings gab's ja erst vor nicht allzu langer Zeit die "Infektion" mit dem Mining-Virus... da ist ein Angriff wie dieser jetzt dann kein so langer Weg mehr.

 

[dil88]

Stimmt auffallend, Frogman, und auch hier wieder konservativerer Einsatz im Zusammenhang mit dem Thema NAS und WAN -> Aufteilung von Diensten auf verschiedene Maschinen, read-only-mounts, one-way-Datensynchronisation von "drinnen" nach "draussen" => stärkere Trennung von LAN und WAN. Dazu Beschränkung aufs Wesentliche, mehr Aufmerksamkeit für Security.

 

[jony]

Wir haben eine DS211j mit DSM version 4. irgendwas. kann 4.2, 4.2.5, 4.3 oder 4.4 sein, bin gerade nicht mehr vor ort.

danke für die hilfe leute!

 

[Frogman]

Mmh, könnte dann ja auf das Ausnutzen einer älteren Lücke hindeuten, die in neueren Versionen bereits geschlossen wurde.
Ich denke, in Kürze wird dazu mehr bekannt sein.

 

[Iarn]

Danke jony. Viel Erfolg Euch bei der Daten Wiederherstellung!

Ich denke dil88 hat der wichtigsten Punkt genannt. Separierung von Daten. Was vom Internet administriert werden kann, kann auch gehackt werden. Ich habe eine Synology die im Netz erreichbar ist, welche nicht im Heimnetz steht. Auf die anderen Server/NAS gibt es kein Zugriff von außen.

Nachtrag: Die Vermutung von Frogman könnte stimmen, schließlich sind fast alle xpenology Benutzer mit relativ alten Firmware Versionen unterwegs.

 

[raggax]

Vielleicht wurde auch einer der im Netz befindlichen PCs gehackt und nicht die DS, wenn dann dort noch von der Adminkennung das Passwort im Browser gespeichert war....

 

[isch83]

Kommt man denn per Console noch auf das NAS? Ich hab leider in den beiden asiatischen Links keinen Hinweis darauf gefunden...

 

[jahlives]

@jonny
ich weiss das hilft jetzt nicht viel aber die 4-er Versionen hatten Code Execution Lücken: http://www.cvedetails.com/vulnerability-list/vendor_id-11138/year-2014/opec-1/Synology.html
Damit kann man leider recht einfach beliebigen Code ausführen und sicherlich auch die Verschlüsselung anwerfen.
Hier: https://news.ycombinator.com/item?id=8128521 wird auch EZInternet resp UPnP als mögliches Einfallstor genannt. Leider werden dort die verwendeten Firmwaren nicht genannt. Aber alles vor 4.3-3810 Update 1 hat die Lücke mit der CodeExecution am Admin Interface.

 

[Frogman]

Im englischen Forum wurde berichtet, dass der Synology-Support Betroffene darin unterstützt hat, zumindest die DS wieder zum Laufen zu bringen (die Daten bleiben dabei weiterhin verschlüsselt und sind, wie ich oben schon erwähnte, mit hoher Wahrscheinlichkeit nicht wieder zu dekodieren). Der Support empfahl wohl, die DS ohne Festplatten zu starten und diese erst einzustecken, wenn die DS soweit hochgefahren ist. Danach läßt sich dann über den Assistenten das DSM neu installieren. Ein anderer User hat einen anderen Weg beschritten: er hat die Platten entfernt, die DS mit einer anderen temporären Platte gestartet und eine neuere DSM installiert (da ja offenbar ältere DSM-Versionen betroffen sind). Danach die temporäre Platte wieder entfernt, die alten wieder eingesetzt und neu gestartet. Dann ist das System migrierbar, und man kann mit der gleichen DSM, die man auf die temporäre Platte installiert hat, auch die alten Platten bespielen. Wie gesagt, damit läuft nur die DS wieder, die Daten bleiben verschlüsselt.

 

[alexserikow]

man man, habe auch gerade davon gelesen. Da ich auf meiner DS relativ Sachen laufen habe die ich täglich benötige (u.a. ownCloud) ist sie im Inernet erreichbar. Die DS ist an einer Fritzbox angeschlossen. Wie kann ich mich denn vor solchen Angriffen schützen? Hilft die Firewall (DS oder FB)?

 

[dil88]

Hast Du die DSM-Updates eingespielt? Welche Version nutzt Du? Hast Du die Portweiterleitungen auf diejenigen beschränkt, die Du unbedingt brauchst? Nutzt Du verschlüsselte Protokolle und zumindest für administrative Zugriffe VPN?