SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24
Ich tendiere daher doch dazu anzunehmen, dass man hier gezielt Einzelnen die Dekodierung ermöglicht, um die Bereitschaft zu erhöhen, den Weg zu wählen - eben weil aus der Windows-Aktion die allermeisten nix gesehen hatten und daher die Empfehlung war, nicht zu zahlen.
Ist es wirklich so, dass die AngreiferInnen ein soviel höheres Risiko eigehen jeden zu entschlüsseln, zumindest <70% der InfiziertInnen?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.678
Punkte für Reaktionen
2.080
Punkte
829
Vorsicht Freunde, nicht alle Unix Befehle laufen auf der Syno uneingeschränkt, das 'grep ynosync' bringt das selbe Ergebnis wie ohne'[]' und der 'KILLALL' Befehl berücksichtigt sicht jede Form des Aufrufs von 'synosync', der könnte nämlich auch './synosync' heissen, damit bist mit dem grep auf der sicheren Seite.


Ich habe die Existenz von killall vor meinem Posting auf der DS natürlich überprüft. Und die Sache mit killall habe ich gerade auf der DS überprüft: Deine Aussage ist nicht richtig. Ein ./test.sh & wird mit killall test.sh gekillt. Sonst wäre der Befehl auch witzlos.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
@jony
könntest Du nach Fertigstellung die Datei /etc/synolock/synolock irgendwo hochladen damit da ein wenig analysiert werden kann?

Gruß Götz
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Ich möchte hierbei zwei Beiträge beispielhaft herausnehmen:

Was magst Du denn genau nicht, vermutlich hast Du etwas mißverstanden. Mein Beitrag zielt darauf ab, daß zumindest dem hier regelmäßig lesendem Publikum die Punkte größtenteils bekannt sein sollten. Genauso soll der Beitrag verdeutlichen, daß Synology sich im Umgang mit Sicherheitsproblemen nicht wirklich verbessert hat. Neulinge, die hier im Forum um Rat fragen, sollten gar nicht adressiert werden – war allerdings auch nicht explizit erwähnt :eek:


Welche Alternativen zu Synology und QNap gibt es, die alles besser machen und kein Informatikstudium abverlangen?

Die ganze Thematik hat mit Informatik eigentlich recht wenig zu tun. Auch ein Computer ist zunächst nur eines der Werkzeuge eines Informatikers.
 

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
@goetz

Ja ich werde gerne helfen den Angriff zu analysieren sobald ich unsere Daten gesichert habe.

@frogman

Ich habe etwas die Kommentare auf Twitter und den diversen Foren gelesen und bisher war auch noch kein einziger Kommentar von jemandem der bezahlt hat und nichts bekommen. Ich als Erpresser würde wenn ich könnte auch wieder alle Daten frei geben denn A) bleiben die Leute eher fahrlässig wenn es mit etwas Kleingeld erledugt ist B) zahlen mehr wenn die Leute wissen es geht tatsächlich C) Sind meine zukünftigen Angriffe rentabler wenn die Leute wissen ich liefere ihre Daten bei bezahlung... Ganz ehrlich das ganze bezahlen und key erhalten + dekodieren war alles automatisiert und smoove als würde ich eine Winterjack bei Zalando kaufen. Der schwierigste und mühsamste Teil an dem ganzen war die blöden Bitcoins aufzutreiben...
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Freut mich, dass ihr Glück im Unglück habt. :D Ist schon interessant, dass du als Thread-Starter nun auch erfolgreich deine Daten wieder entschlüsseln kannst. Das ist wohl sehr großes Glück.

Habe mir schon überlegt eine zweite NAS anzuschaffen, um sie zusätzlich für Offline-Backup einzurichten und ggf. sehr schnell wieder an Daten zu kommen. Aber wie gesagt, die Wahrscheinlichkeit, dass ich getroffen werde, ist für mich persönlich sehr gering. Schlimmstenfalls zahle ich 270,- EUR, sogar etwas weniger, als das was mich NAS und HDs kosten würden. ;)
Ist natürlich etwas ketzerisch gemeint, aber eine berechtigte Überlegung wie ich finde. Denn was hier passiert ist Panikmache und keiner hat mal analysiert wie hoch das Risiko tatsächlich ist, wenn man schon nur einfache Sicherheitsvorkehrungen trifft, die auch jeder DAU wenn er im Internet nach "Synology Sicherheit DS" googelt treffen kann.


Man benötigt keine Linux-Kenntnisse, um ssh über einen anderen Port verfügbar zu machen. Das erledigt man am einfachsten direkt am Router, indem man dort z.B. Port 54321 freigibt und den dann auf die IP der Syno und Port 22 weiterleitet. Das habe ich bei meinem PC vor Jahren gemacht (nicht auf Port 54321 ;-) und seitdem 0 (null) Login-Versuche! Zuvor mal spaßeshalber 3 Tage Port 22 am Router offen gehabt, aber eigentlich nur um Fail2Ban zu testen (automatisches Blocken einer IP bei n fehlgeschlagenen Logins in m Minuten). Fail2Ban funktioniert, langweilt sich aber seit über 4 Jahren.

Sicherst Du deine Syno über Internet? Oder innerhalb des LANs? Wenn letzteres, dann muss am Router auch kein Port für ssh offen sein.

Nach dem gleichen Verfahren kann man auch den Port 5000 bzw. 5001 sichern. Einfach eine hohe Portnummer nehmen und im Router auf 5000 bzw. 5001 weiterleiten. Das gibt zwar keine absolute Sicherheit, aber hat bei mir z.B. die Login-Versuche per ssh von 5 pro Stunde auf 0 pro 5 Jahre reduziert.

Ich werde mein Port 5001 ändern. Und SSH mit Port 22 verwende ich nur, da ich mit Board-Mitteln Synologys Datensicherung bzw. Synchronisierung nicht beibringen kann einen anderen Port zu verwenden. Sicherung findet über das Internet statt. Aber wie gesagt, habe keine Attacken über Port 22.
Im LAN würde ich wahrscheinlich keine Verschlüsselung verwenden, habe nämlich keinen öffentlichen HotSpot eingerichtet. Außerdem haben Gäste bei mir immer einen Gastzugang und nur Zugriff auf das Internet, aber nicht Intranet.


Aller Anfang ist halt schwer, besonders in der IT-Welt.

Man muss und kann ja nicht alles wissen. Du brauchst also kein Firewallfachmann zu sein, um dein NAS ans Netz zu hängen.
Es sollte dir vom Prinzip her klar sein, wie eine Firewall arbeitet bzw. was NAT und Portforwarding macht und dann gibt es noch das Thema VPN für den fortgeschrittenen User ;)

Desweiteren solltest du dir über die Konsequenzen bewusst sein und die daraus resultierenden Notwendigkeiten um deine Daten zu sichern bzw deine Daten vor Anderen zu schützen.

Aber jetzt nicht falsch verstehen, diese Vorkehrungen benötigst du in erster Linie dann, wenn du dein NAS von der Ferne aus, aus dem Internet aus erreichen willst, nicht der normale lokale Betrieb in deinem Netz.

Um das Alles jetzt zu erklären würde hier den Rahmen sprengen und wäre auch hier in diesem Thread fehl am Platz.

Also das ist das erste sinnvolle Beitrag, den ich heute von dir gelesen habe. ;)
 
Zuletzt bearbeitet:

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24
Ich habe die Existenz von killall vor meinem Posting auf der DS natürlich überprüft. Und die Sache mit killall habe ich gerade auf der DS überprüft: Deine Aussage ist nicht richtig. Ein ./test.sh & wird mit killall test.sh gekillt. Sonst wäre der Befehl auch witzlos.
Rich (BBCode):
DiskStation> ps -w | grep 'test'
 4326 root      4716 S    grep test
31139 root      4712 S    /bin/sh ./test
DiskStation> killall -kill test
killall: test: no process killed
DiskStation> killall test
killall: test: no process killed
DiskStation> ps -w | grep 'test' | head -n 2 | cut -d ' ' -f 1 | xargs kill -kill
DiskStation> ps -w | grep 'test'
10739 root      4716 R    grep test
DiskStation>
killall hat bei mir Fehlermeldungen verursacht, kann es sein, dass der Fehler von meiner 'busybox'-Installation herrührt?
Allerdings ist mir aufgefallen, dass die Prozess-ID auch 4stellig sein kann, daher habe ich eine zweite Zeile in mein Skript eingefügt (an eine dreistellige ID glaube ich als Agnostiker nicht):
Rich (BBCode):
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 1 | xargs kill -kill 2>/dev/null
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 2 | xargs kill -kill 2>/dev/null
 

Der_Broker

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Für alle, die ein wenig Anleitung beim Einrichten der NAS brachen, kann ich das Synology Wiki empfehlen.

Auch wenn es den Betroffenen jetzt nicht mehr hilft....
Hier steht auch schon seit Ende 2013 drin, dass die Verschlüsselung über Port 1723 in Vbdg mit PPTP geknackt wurde und daher nicht sicher ist:

http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports


Was mich persönlich so stört ist, dass die Vermarktung insb. der kleineren NAS-Geräte sich durchaus an unbedarfte Privatanwender richtet, gleichzeitig aber die Geräte mit allen Scheunentoren zum Internet offen ausgeliefert werden (Firewall deaktiviert, viel zu viele Dienste und Protokolle vorausgewählt, http statt htttps vorausgewählt, keine Warnmeldungen).

Hier hat Synology noch viel Arbeit vor sich!
 

cantor

Benutzer
Mitglied seit
28. Aug 2010
Beiträge
125
Punkte für Reaktionen
1
Punkte
18
Was mich persönlich so stört ist, dass die Vermarktung insb. der kleineren NAS-Geräte sich durchaus an unbedarfte Privatanwender richtet, gleichzeitig aber die Geräte mit allen Scheunentoren zum Internet offen ausgeliefert werden (Firewall deaktiviert, viel zu viele Dienste und Protokolle vorausgewählt, http statt htttps vorausgewählt, keine Warnmeldungen).
Leider gibt es genügend Nutzer, die a) möglichst viele Dienste erreichbar machen und sich b) mit den notwendigen Hintergründen nicht wirklich beschäftigen möchten. Die Nachfrage ist vorhanden und wird von den Anbietern (und dazu zählt nicht nur Synology) eben befriedigt.
 

snowbeachking

Benutzer
Mitglied seit
26. Dez 2011
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Was magst Du denn genau nicht, vermutlich hast Du etwas mißverstanden. Mein Beitrag zielt darauf ab, daß zumindest dem hier regelmäßig lesendem Publikum die Punkte größtenteils bekannt sein sollten. Genauso soll der Beitrag verdeutlichen, daß Synology sich im Umgang mit Sicherheitsproblemen nicht wirklich verbessert hat. Neulinge, die hier im Forum um Rat fragen, sollten gar nicht adressiert werden – war allerdings auch nicht explizit erwähnt :eek:

Dein Beitrag hat keine Alternativen aufgezeigt. Welche Alternativen gibt es zu einer Synology NAS? Ist QNap besser, oder WD, usw.? Wenn ich A sage, dann sage ich auch B. ;)


Die ganze Thematik hat mit Informatik eigentlich recht wenig zu tun. Auch ein Computer ist zunächst nur eines der Werkzeuge eines Informatikers.

Ein Computer und sonstige elektronischen Geräte sind Werkzeuge, die jedem den Alltag noch komfortabler gestalten sollen und nicht ausschließlich Informatikern vorbehalten sind.
Ist eine NAS nur was für Informatiker? Aber das geht jetzt zu weit. Ich finde es einfach nur peinlich wie sich einige hier selbst beweihräuchern. Ich sage nur Sophos. :eek:
 

Dennis-TW

Benutzer
Mitglied seit
31. Mrz 2013
Beiträge
83
Punkte für Reaktionen
10
Punkte
8
Hm.... irgendwie könnte man fast vermuten, dass jony hier sogar noch Werbung für die Jungs macht. :rolleyes:

"Extrem professionell", "alles automatisiert und smooth", so nach dem Motto "alles prima gelaufen, gerne wieder!"

Nichts für ungut, aber mit gerade mal 8 Beiträgen hat hier wohl noch niemand so hohe Welle geschlagen. Irgendwie erweckt das in mir einiges an Misstrauen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.776
Punkte für Reaktionen
3.743
Punkte
468
Was ich mich grad Frage: Port 1723 gehört doch zu PPTP, oder?
Das setzt doch selten jemand ein. Darauf soll SynoLocker aufbauen? - glaub ich nicht (ok, zugegeben, ich hab nicht alle 471 Beiträge gelesen).
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
okay nur dass wir uns verstehen wir haben überhaupt kein Interesse das ganz zu beschönigen, hauptsächlich war Dummheit unsererseits das Problem... Dass wir die Daten oder einen Teil davon wieder haben war Glück und niemand sollte es riskieren und wir werden unsere IT Security ganz anders angehen müssen... das war ein Schuss in den Bug.

Wir waren wohl bei den ersten die Sonntag den Angriff bemerkt haben und wir haben uns ziemlich schnell dazu entschlossen zu versuchen was ist wenn wir auf die Forderung eingehen denn ein Versuch wars wert bei dem alten Backup das wir hatten. Wer ein aktuelles Backup hat soll die DS mit Hilfe Synolgy neu aufsetzen updaten und gut ist aber wir wollten nicht die DS sondern die Daten retten.

Ach ja die Hacker haben gerade die 100 Bitcoin PR überwiesen, nein Spass bei Seite wir haben bereits Montag eine Anzeige bei der Polizei erstellt im Wissen dass dies nichts bringt aber es geht um's Prinzip.

Wie gesagt updatet eure System, macht Backups und lest die vielen Hinweise zu Ports und Einstellungen hier. Wir waren auch so DAU user mit Standard Einstellungen und ohne grosse IT Security Hilfe oder Kentnissen und wir haben nun unser Lerngeld bezahlt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.149
Punkte
288
Also diese kleinen NAS machen vieles, aber warum meint jemand die sind besonders anfällig und wer diese ins Internet stellt handelt grob fahrlässig?

Ich habe immer noch ein Platz auf einem Server gemietet, billig, da kann man nicht viel erwarten. Wir im Schnitt alle 3 Monate komplett zerstört, der Betreiber spielt dann Backup auf und fertig.
Bei der com für die ich arbeite, sind unsere kommerziell gehosteten Server auch regelmässig Ziel, na ja das wenig Webserver was wir da haben spielen wir wieder zurück wenn es zerhackt wird.
Also ich sehe keinen besonderen Nachteil bei der Verwendung eines NAS für private Zwecke in solchem Fall.
Die Sicherheit welche die Provider mir anbieten ist sooo viel auch nicht besser. Zumindest nicht für das Geld welches ich zahle.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Wenn PPTP die Schwachstelle sein soll, wieso lautet das Statement bisher, dass nur DSM 4.3 und früher betroffen sei?
 

Der_Broker

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Wenn man OpenVPN nur herunterlädt im Packetshop schlägt DSM 5.0 automatisch vier oder fünf neue Regeln für die Firewall vor, bei denen unter anderem Port 1723 aufgemacht wird....was zugegebenermaßen noch nicht bedeutet, dass diese Ports auch gerootet sind.

Ich halte es schon für möglich, dass gezielt dieser Port angegriffen wird, da Firmen deutlich eher VPN einsetzen als Privatuser und diese eine deutlich höhere Bereitschaft und Möglichkeit haben das Erpressungsgelt zu bezahlen.
 

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
@Puppetmaster

Die Info ist nur für uns als betroffene gültig, die Frage war was wir auf dem Router eingestellt haben. Ich habe das angeschaut und wir hatten auf dem Router bei Firewall Regeln: VPN-PPTP aktiv und unter Portweiterleitungen PPTP Erster Port:1723, Letzter Port: 1723. Ansonsten Standardeinstellungen Netgear + das übliche (DHCP, WLAN mit WPA2-PSK, usw.)

Auf dem Nas selber lief unserer Meinung nach nichts spezifisches, wir haben aber auch keine Standardeinstellungen geändert oder die Sicherheit erhöht + war die Firmware wie gesagt alt 4.x (kann ich genau sagen nach Daten Rettung). Die User auf dem Nas waren mit Passwörter geschützt aber vermutlich zu schwache Passwörter. Keine ganz billigen Nummern ala 1234 aber halt kurz und einfach zu merken für die User.
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Wenn ich das jetzt richtig überflogen habe sind die DS mit DSM 5.x sicher (offizielle Aussage von Synology)? Kann ich dann meine wieder ans Netz bringen?!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Ok, danke. Mir war nach fast 500 Posts entfallen, dass ihr ja noch nicht auf DSM 5.0 umgestiegen wart.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat