SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
das ist sogar (recht) sicher, weil die "Infektion" ja über Lücken im DSM vonstatten ging. Und unter welchem User läuft der DSM? :)

Das macht Sinn. :) Der SynoLocker soll ja wohl nur kleinere Dateien verschlüsseln. Ich nehme an, dass eine verschlüsselte Freigabe auch die Dateien einzeln verschlüsselt und eine verschlüsselte Freigabe nich eine einzelene große verschlüsselte Datei ist?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Hat jemand etwas gehört ob andere Wege der Installation erfolgen ausser von aussen via den 'synopass' ?

Also ich meine irgendwie mit einem File direkt oder so was.
die Installation ist nicht über den OpenVPN Server gekommen sondern über eine DSM Schwachstelle wie damals der Miner, siehe hier.
Mit der Schwachstelle des OpenVPN Servers konnte man die VPN Verbindung aufbauen und gelangt ins Netz aber nicht automatisch auf die DS.

Gruß Götz
 

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
SynoLocker verschlüsselt alle Daten wenn du ihm die Zeit dazu lässt. Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Nö - ich sehe die email auch etwas mißverständlich. Es heißt dort eingangs ja

Dear Synology users,

We have discovered security vulnerabilities on the software currently installed on your Synology product. These vulnerabilities might result in unauthorized parties compromising your Synology product.

Das 'currently installed on your Synology product' spricht ja schließlich den Synology-User mit seiner DS an.
Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@alexserikow - Nope, habe nur die allgemein gehaltene email "Important security message regarding SynoLocker " die hier schon geposted wurde erhalten.
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls. Wären diese Dateien dann verschont gewesen? Scheinbar ja nicht. :confused:

Welche Dateiendung haben denn die Dateien der verschlüsselten Freigaben? Wären die dann gemäß dieser Liste betroffen?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.
Jetzt muss ich nochmal ganz dumm nachfragen - wie bitte habt ihr die markierten Aussagen denn nachvollziehen können?

Du schreibst hier, dass ihr sofort nach Entdecken des Angriffs, dementsprechend am 3.8., das NAS ausgeschaltet hättet und dann wieder mit den kompromittierten Platten gestartet, als ihr irgendwann am 4.8./5.8. den Key gekauft habt... Nach meinem Verständnis könnt ihr mit dem beschriebenen Ablauf keine der Aussagen treffen.
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.149
Punkte
288
Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls.

aber die schreiben klar es such nach .do oder .jp etc. Damit sind die .doc und .docx dabei
 

b1tchnow

Benutzer
Mitglied seit
18. Jun 2014
Beiträge
169
Punkte für Reaktionen
0
Punkte
0
Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?

Da habe ich nicht aufmerksam genug die Mail gelesen.

Ich habe die Mail auch bekommen und darin steht dasselbe. Wie Du habe ich aber auch die aktuellste Version installiert?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Und kennt jemand die Dateiendung welche die Dateien der verschlüsselten Freigaben haben?
aus dem allerersten Post:

• The encrypted file is renamed to the original filename.

Gruß Götz
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
• The encrypted file is renamed to the original filename.

Danke, aber das wäre nur möglich wenn die verschlüsselte Freigabe angehängt ist? Bei einer nicht angehängten verschlüsselten Freigabe dann ja nicht, da das Passwort dafür fehlt?
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Wie kann denn SynoLocker wissen wie die Originaldatei heißt, wenn im Dateisystem der verschlüsselte Dateiname hinterlegt ist? Oder irre ich mich jetzt?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Ihr redet glaube ich von zwei Dingen - goetz meint den Namen der vom Locker verschlüsselten Datei, Du redest von einer bereits vom DSM verschlüsselten Datei, die erneut vom Locker verschlüsselt werden könnte...
 

winfreund

Benutzer
Mitglied seit
24. Dez 2011
Beiträge
235
Punkte für Reaktionen
0
Punkte
16
ich frage mich gerade, was an der email so schwer zu verstehen ist? es wird keiner direkt angesprochen, sondern es ist eine allgemeine rundmail. Soweit ich weiss gibt es begriffe wie "eure", im dem sinn nicht im englischen.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz

Mit Muster meinst du ob zb Word- oder JPG-Datei? Ist das nicht ein großer Aufwand?

Das würde doch nur mit angehängten Freigaben funktionieren, da der Key vom Nutzer bereits hinterlegt worden ist?
Bei nicht angehängten Freigaben kann er das Muster der Datei gar nicht erst analysieren, da er sie ohne vorhandenen Schlüssel gar nicht öffnen kann.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat