SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Benares]

@jony
Find ich super, wie du dich einsetzt, damit nicht auch andere in die gleiche Falle tappen.
Musste ich mal loswerden.

Allerdings verstehe ich nicht ganz: War 1723 wirklich der einzige weitergeleitete Port, oder waren da noch mehr?

 

[Benares]

Wenn ich das jetzt richtig überflogen habe sind die DS mit DSM 5.x sicher (offizielle Aussage von Synology)? Kann ich dann meine wieder ans Netz bringen?!

Sicher sind alle die, die ein vernüftiges Regelwerk im Router haben. Wer Ports wie 5000 (DSM), 21 (ftp) oder 23 (telnet) ... weiterleitet ist auch mit DSM 5.x nicht sicher! Am Besten sollte man ganz auf solche Weiterleitungen verzichten.

 

[Frogman]

... denn A) bleiben die Leute eher fahrlässig wenn es mit etwas Kleingeld erledugt ist...

Kleiner Scherz, oder?

B) zahlen mehr wenn die Leute wissen es geht tatsächlich ...

Meine Worte, siehe oben...

C) Sind meine zukünftigen Angriffe rentabler wenn die Leute wissen ich liefere ihre Daten bei bezahlung... ..

Du glaubst doch nicht ernsthaft, dass die die Masche in 3 Wochen nochmal abziehen?
Dass Du "meine zukünftigen Angriffe" geschrieben hast, war wohl Zufall, oder?

 

[alexserikow]

Sicher sind alle die, die ein vernüftiges Regelwerk im Router haben. Wer Ports wie 5000 (DSM) oder 23 (telnet) ... weiterleitet ist auch mit DSM 5.x nicht sicher!

Nun ja, wie schon gesagt komme ich von der Arbeit nicht per VPN auf die Fritzbox/DS - daher muss bei mir der Port 5001 offen sein um an meine Daten zu kommen. 5000 ist jetzt zu, 22 und 23 auch!

 

[andhe]

Hallo zusammen,

ich habe eine ds414 mit aktuellen DSM 5.? (am letzten Donnerstag aktualisiert). Ich habe die DS momentan aus Angst erstmal heruntergefahren.

Vielleicht könnt ihr mir kurz eine Hilfestellung geben: Die DS hängt hinter einem Router auf dem keine offenen Ports eingestellt sind und auch keine Portumleitung aktiviert ist. Wenn ich nicht im zu Hause bin, dann verbinde ich mich übers Internet per VPN mit dem heimischen Netz (dem Router).

Ich nutze die DS als Datenspeicher und verbinde die Macs über afp und zusätzlich läuft noch die CloudStation darauf. Quick Connect ist deaktiviert.

Welche Ports müssen auf des DS hierfür offen sein? Ich möchte mich aber, auch als admin, über die Weboberfläche der DS anmelden können. Bin ich soweit auf "der sicheren Seite"?

Viele Grüße und vielen Dank

André

 

[tomtom00]

Nun ja, wie schon gesagt komme ich von der Arbeit nicht per VPN auf die Fritzbox/DS - daher muss bei mir der Port 5001 offen sein um an meine Daten zu kommen. 5000 ist jetzt zu, 22 und 23 auch!

An was für Daten musst du denn kommen um 5001 zu öffnen? Reicht nicht eventuell die FileStation dafür? So habe ich das geregelt, da ich eh von außerhalb so gut wie nie irgendwas an der Systemsteuerung o.ä. ändern will (wenn ja dann vpn) sondern einfach mal eben ein Dokument o.ä. benötige. Wenn ich mich recht erinnere ist das Port 7001?!

 

[snowbeachking]

Hm.... irgendwie könnte man fast vermuten, dass jony hier sogar noch Werbung für die Jungs macht.

"Extrem professionell", "alles automatisiert und smooth", so nach dem Motto "alles prima gelaufen, gerne wieder!"

Nichts für ungut, aber mit gerade mal 8 Beiträgen hat hier wohl noch niemand so hohe Welle geschlagen. Irgendwie erweckt das in mir einiges an Misstrauen.

Meine Gedanken.

 

[Frogman]

Was mich persönlich so stört ist, dass die Vermarktung insb. der kleineren NAS-Geräte sich durchaus an unbedarfte Privatanwender richtet, gleichzeitig aber die Geräte mit allen Scheunentoren zum Internet offen ausgeliefert werden

Das ist ja mal Unsinn - wo bitte ist die im Werkszustand offen zum Internet?

 

[alexserikow]

An was für Daten musst du denn kommen um 5001 zu öffnen? Reicht nicht eventuell die FileStation dafür? So habe ich das geregelt, da ich eh von außerhalb so gut wie nie irgendwas an der Systemsteuerung o.ä. ändern will (wenn ja dann vpn) sondern einfach mal eben ein Dokument o.ä. benötige. Wenn ich mich recht erinnere ist das Port 7001?!

Mensch, danke für die Info - manchmal kommt man auf die einfachsten sachen nicht Port 5001 ist nun gesperrt, 7001 offen (in der Hoffnung das ich da von der Arbeit drauf zugreifen kann) - DANKE!

 

[Benares]

Die DS hängt hinter einem Router auf dem keine offenen Ports eingestellt sind und auch keine Portumleitung aktiviert ist. Wenn ich nicht im zu Hause bin, dann verbinde ich mich übers Internet per VPN mit dem heimischen Netz (dem Router).
...
Welche Ports müssen auf des DS hierfür offen sein? Ich möchte mich aber, auch als admin, über die Weboberfläche der DS anmelden können. Bin ich soweit auf "der sicheren Seite"?

Das ist gut so. Bei VPN braucht es keine offenen Ports.

 

[andhe]

Hallo Benares,

danke für Deine Antwort. Bin gerade nicht zu Hause und habe die ds414 wie gesagt gestern Abend schnell heruntergefahren. Soweit ich mich erinnere waren aber einige Ports auf der ds geöffnet. Kann ich alle schliessen? Dann komme ich doch auch aus dem VPN nicht mehr drauf, oder? Welche Ports brauche ich für afp, Cloud Station und die Weboberfläche? Nicht, das ich mich auf einmal selber aussperre?

Vielen Dank

André

 

[ubuntulinux]

Könnte mir eventuell jemand die Binaries des Lockers geben? Möchte die gerne untersuchen.

 

[rauppe31]

Hallo @jony

Hab den Thread mal still verfolgt und finde es mutig, den/die Hacker zu bezahlen
Du willst ja die Daten von /etc/synolock nachher hochladen.
Am besten machst du das schon jetzt, oder machst eine Sicherungskopie der Programmdaten. Könnte ja sein, dass das Decrypt-Programm die Daten nach dem Entschlüsseln löscht und dann gibts nichts mehr zu analysieren

 

[Benares]

Nun ja, wie schon gesagt komme ich von der Arbeit nicht per VPN auf die Fritzbox/DS - daher muss bei mir der Port 5001 offen sein um an meine Daten zu kommen. 5000 ist jetzt zu, 22 und 23 auch!

Und wozu musst du von der Arbeit aud deine Fritzbox/DS kommen? Gibt es da nichts wichtigeres zu tun? Sorry, das versteh ich nicht.

 

[jony]

Hey Frogman

Ich habe das ja aus der "Ich" Sicht des Erpressers geschrieben darum "meine". Ich fand das absurd dass hier jemand denkt wir wären Täter und nicht Opfer. Wir sind höchstens schuldig fahrlässig und etwas dumm zu sein. Du hast uns ja als erster geholfen am Sonntag als bei Google keine Zeile zu finden war und wir den Angriff bemerkt haben.
Wir sind ein paar Dau's in einem kleinen Büro und wir haben uns überlegt was würden wir tun wenn wir die Angreifer wären und die Logik sagt mir gib Daten gegen Geld frei denn alles andere ist Geschäftsschädigend, daher wenn ich es technisch kann und nicht riskiere dadurch aufgespürt zu werden dann macht es keinen Sinn trotz Zahlung nichts zu liefern.
Wir haben das Risiko am grössten eingeschätzt dass der Angreifer versucht mit den freigegebenen Daten gleich noch den nächsten Mist in unser Netzwerk zu bringen sprich ein Trojaner oder irgendwelche Schadsoftware welche dann in ein paar Wochen an anderer Stelle zuschlagen soll. Dies ist immer noch meine grösste Sorge dass Daten so manipuliert wurden dass sie nun ein Risiko für uns darstellen. Der Angriff am Wochenende lief ja schön koordiniert und ziehlte wohl mindestens auch auf KMU's wie uns mit schlechter IT Security aber Bereitschaft zu zahlen bei Datenverlust.

An dieser Stelle Danke dir für die Hilfe und die vielen nützlichen Tipps und Infos!
Wir werden nie wieder so fahrlässig mit unseren IT Systemen umgehen, wird halt mehr kosten muss aber sein.

 

[Frogman]

Hallo zusammen,

ich habe eine ds414 mit aktuellen DSM 5.? (am letzten Donnerstag aktualisiert). Ich habe die DS momentan aus Angst erstmal heruntergefahren.

Mach doch bitte dazu einen neuen Thread auf, wenn Dir eine Suche nicht schon Hilfe gibt.

 

[Benares]

Soweit ich mich erinnere waren aber einige Ports auf der ds geöffnet. Kann ich alle schliessen? Dann komme ich doch auch aus dem VPN nicht mehr drauf, oder? Welche Ports brauche ich für afp, Cloud Station und die Weboberfläche? Nicht, das ich mich auf einmal selber aussperre?

Beherrscht dein Router kein VPN? Dann braucht es keine Port-Weiterleitungen. VPN über die Syno ist Blödsinn, wenn der Router das kann.

 

[andhe]

Hallo,

doch der Router beherrscht VPN. Über den verbinde ich ich mich ja auch per VPN, über die DS mache ich kein VPN auf. Dennoch sind auf der DS ja trotzdem einige Ports auf, sonst würde doch Cloud Station etc. im internen Netz nicht funktionieren. Ich will einfach nur die Ports öffnen die ich minimal brauche.

@Frogman: Warum eigenen Thread aufmachen. Ist doch nicht OT?

Viele Grüße

André

 

[jony]

Meine Gedanken.

Das ist Unsinn, ich und meine Kollegen waren nur schockiert aber auch fasziniert von der Selbstverständlichkeit und Leichtigkeit wie wir mit dem Hack abgezogen wurden. Alleine schon die Arroganz überall noch TM und Copyrights hinzumachen hat mir etwas die Sprache verschlagen. Am Sonntag musste ich den Text erstmal mehrfach lesen bis ich geschnallt habe dass dies mit Sicherheit nicht von Synology ist denn bei SynoLock dachte ich erst die Station hat sich gesichert weill eben angegriffen oder so was. Erst bei Tor Browser und Anweisung dämmerte mir was da genau gespielt wird. Wie gesagt Sonntag gab es dazu nichts auf Google und erst Frogman brachte da etwas Licht ins Dunkel...

 

[Frogman]

@Frogman: Warum eigenen Thread aufmachen. Ist doch nicht OT?

Das nicht unbedingt - nur geht das hier in dem schnelllebigen Thread total unter.