SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
ich hab jetzt doch erstmal meine DS komplett vom Netz genommen! Hoffe das es bald eine offizielle Stellungnahme gibt...
 

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Hallo
Ja leider auch bei mir das selbe Problem.
Habe ein DS 412+ und kann seit heute nicht mehr auf meine Daten zugreifen.
Im Netzwerk waren die Laufwerke nur sehr langsam erreichbar. Als ich versucht habe einfach den Server über die Administration neu zu starten, habe ich die o.a. Meldung des SynLocker
erhalten.
Da sich der Server auch nicht ausschalten ließ habe ich den Stecker gezogen.
Seitdem kann die DS mit den betroffenen Festplatten nicht booten. Mit einer jungfräulichen Festplatte lässt sich der Server jedoch neu aufsetzen.
Wie komme ich zu meinen wirklich wichtigen Firmendaten?
 

NEMA

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
....und Admin-Zugang mit ner 2-Wege-Auth versehen! Jeder hier hat nen Smartphone und alle (Android, Windows-Phone und iOS) haben die Authentifikator App!

Sorry, aber es hat auch die "normalen" Anwender hier... Ich oute mich als so einer...

Wie versehe ich eine 2-Wege-Auth für den Admin-Zugang?


Danke an euch Spezialisten!

NEMA
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24
Ähm, wie jetzt? Wenn die Daten denn erstmal verschlüsselt sind, sind sie verschlüsselt - was willst Du da beenden? Und da die CPU das System beim Verschlüsseln mächtig in Anspruch nimmt, wirst Du aufgrund der Trägheit da nicht wirklich gut herankommen, zumal der Prozess erst einmal gefunden werden müsste.

Ist natürlich nur präventiv möglich. Ich kenne den Verschlüsselungsdienst der Syno nicht, wenn ich aber davon ausgehe, dass der Trojaner den internen Dienst der Syno verwendet müsste es doch möglich sein, diesen Dienst per Namen mit ps | grep zu finden. Aufruf als Script mit & im Hintergrund. Beim Finden killen mit Nachricht an den Admin der die Syno dann vom Netz nimmt/ausschaltet/...
 

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Hallo
Ja leider auch bei mir das selbe Problem.
Habe ein DS 412+ und kann seit heute nicht mehr auf meine Daten zugreifen.
Im Netzwerk waren die Laufwerke nur sehr langsam erreichbar. Als ich versucht habe einfach den Server über die Administration neu zu starten, habe ich die o.a. Meldung des SynLocker
erhalten.
Da sich der Server auch nicht ausschalten ließ habe ich den Stecker gezogen.
Seitdem kann die DS mit den betroffenen Festplatten nicht booten. Mit einer jungfräulichen Festplatte lässt sich der Server jedoch neu aufsetzen.
Wie komme ich zu meinen wirklich wichtigen Firmendaten?

welche Firmware-Version war denn drauf?
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
Wäre es nicht sinnvoll, wenn jeder Betroffene folgende Daten mit angibt:

- DSM Version
- Offene Ports
- Freigegeben über UPNP / EZInternet / Portfreigabe Router
- Verwendete Dienste

Grüße
 

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
ich bin mir nicht ganz sicher aber ich habe die letzen beiden Monate kein Update gemacht.
 

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Ich kenne den Verschlüsselungsdienst der Syno nicht, wenn ich aber davon ausgehe, dass der Trojaner den internen Dienst der Syno verwendet müsste es doch möglich sein, diesen Dienst per Namen mit ps | grep zu finden. ...
Da wird wohl nicht die interne Verschlüsselung benutzt, sondern ein AES-256-Algorithmus mit RSA-Schlüssel. Das System von sich aus läßt auch das nachträgliche Verschlüsseln der kompletten Nutzdaten gar nicht zu, daher dürfte hier eine systemfremde Software zum Einsatz kommen.
 

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Frei über das Port 5000 bzw 5001
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Zeyda2, das heißt aber auf jedenfall DSM5 nehme ich mal an, oder?
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Sorry, aber es hat auch die "normalen" Anwender hier... Ich oute mich als so einer...

Wie versehe ich eine 2-Wege-Auth für den Admin-Zugang?


Danke an euch Spezialisten!

NEMA

Du hast bei jedem User oben rechts doch den Knopf zum Abmelden! Der Admin hat dort auch noch die Punkte Neustarten und Herunterfahren! Jeder User wiederum hat dort noch den Punkt Optionen! Dahinter gibts auf der ersten Registerkarte den Punkt Zwei-Wege-Auth.

Der Zwei Wege Auth ist praktisch Deine bisherige Anmeldung aus Benutzername (admin) und Passwort UND (jetzt neu) einer 6-stelligen ID, welche sich jede Minute ändert! Diese ID musst Du immer parat haben - und wo geht das am besten, als auf dem Handy!

Einfach mal den Punkt unter Optionen Schritt für Schritt durchgehen (man muss ihn ja nicht abschließen) und sich das anschauen! Android, iOS oder Windows-Phone Smartphone dabei griffbereit liegen haben!
 

NEMA

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Ganz herzlichen DANK, lieber TheGardner!!!NEMA
 

Stinka

Benutzer
Mitglied seit
27. Jan 2012
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?
 

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Würde es sin machen auf die Erpressung einzugehen und zu zahlen?
Das Problem ist, dass ich diese Meldung nicht mehr habe da ich nicht mehr auf die Daten zugreifen kann.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?
Das kann Dir mit Sicherheit aktuell niemand sagen! Wie oben schon angedeutet - man sollte nur das freigeben, was man überhaupt braucht, und aktuell nach Möglichkeit erst einmal nichts, bis die Umstände geklärt sind.
Würde es sin machen auf die Erpressung einzugehen und zu zahlen?.
Die Erfahrung anderer - wie ich oben schon geschrieben hatte - sowie die Empfehlung des BKA in solchen Fällen sagen eindeutig nein.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@zeyda
darfst es gerne probieren und berichten. Sei einfach nicht enttäuscht wenn du den Schlüssel nicht bekommst. Ich als Bösewicht würde mich hüten mit dem Opfer zu kommunizieren. Drum würde ich mir keine grossen Chancen ausrechnen, dass man den korrekten Schlüssel wirklich bekommt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat