SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Puppetmaster]

..nur hab ich z.Z. nirgends genügend Volumen um ein vollständiges Backup meiner Daten, die auf der DS sind, zu machen.

Darin solltest du investieren, ansonsten sollte man latent immer davon ausgehen, dass die Daten im nächsten Moment weg sind.

Ich betreibe die DS212j im Raid 1 Modus.

Dann hast du doch prinzipiell schonmal eine Platte "übrig"...

Ist es also eine gute Idee, eine Platte zu entfernen, während ich update, damit, falls was schiefgeht mit dem Update, die Daten wenigstens noch auf einer Platte sind?

Nein. Backup machen, s.o.

 

[weisslein]

Ich habe vom Synology Support diese Aufforderung erhalten.
Was denken die Experten darüber?
Soll ich dem nachkommen?

------------------------------
In order to reduce the impact of your existed files, please perform the following steps so we could proceed the further actions afterwards.

1. Remove all disks and try to install DSM with Synology Assistant. The process will stop at a point where telnet port 23 is enabled.
2. Insert all disks back to DiskStation/RackStation while the power is still on.
3. Make sure port 23 of your DiskStation is accessible from Internet. (Port forwarding for port 23 must be set up properly.)
4. Provide your WAN IP or DDNS name to us.
5. Provide your password for admin account

Best regards,
Frank Lüdke
Technical Support Engineer


2014-08-05 16:22 GMT+02:00 Synology Technical Support <de_support@synology.com>:
Dear Customer,

We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.
We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php:
• When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
• A process called “synosync” is running in Resource Monitor.
• DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
• For DSM 4.3, please install DSM 4.3-3827 or later
• For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
• For DSM 4.0, please install DSM 4.0-2259 or later
DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.
If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.

Best regards,

Synology Technical Support

 

[luddi]

...VPN Umfeld der Synology eine schwerwiegende Passwort Schwachstelle in den Versionen DSM 4.3-3810 und älter gegeben hat

Danke für den link zu "Vulnerability Note VU#534284", das ist für mich endlich mal eine detailierte Beschreibung dessen was Synology im Februar ( ver > 3810) gefixed haben soll.
Leider ist dies im Zusammenhang mit VPN aus den release notes von Synology nicht ersichtlich.

Version: 4.3-3827
(2014/2/14)
Change Log

This update repairs the system and removes malware caused by past system vulnerabilities (CVE-2013-6955, CVE-2013-6987).
The compatibility of SMB 2 file service has been enhanced when transferring files to Mac OS X 10.9.
Fixed an issue where SFTP service would consume excessive memory when it was enabled.
Enhanced the reliability of QuickConnect and Push Service notifications.

Aus CVE-2013-6955 und CVE-2013-6987 kann ich jedenfalls nicht entnehmen dass es um eine VPN-Server-Package Lücke geht wie aus VU#534284.

In dem VU#534284 ist unter Solution folgendes zu entnehmen...

Solution
Update

Synology has released Synology DiskStation Manager VPN module version 1.2-2317 to address this vulnerability. Affected users are advised to update to Synology DiskStation Manager VPN module version 1.2-2317 or higher.

• Disable OpenVPN module
• Modify the OpenVPN server configuration

Nun stelle ich mir folgende Fragen:

1. Der betroffene "jony" berichtete dass der Port 1723 geöffnet war, dieser aber für PPTP verwendet wird. Ist der Bug nun im VPN-Center allgemein vorhanden gewesen oder nur wie im vulnarability report OpenVPN betroffen?
2. Wurde man mit dem Update auf DSM 4.3-3827 vom System aus im Nachhinein gezwungen VPN-Center module 1.2-2317 oder höher zu installieren?
3. Welche VPN Protokolle waren bei dem betroffenen "jony" im VPN-Server module aktiviert?

*EDIT:
Durchsucht man alle CVE-xxx die Synology bei den release notes seit Dez-2013 mit angibt findet man keinen Hinweis auf eine Lücke im VPN-Server module.
Ist für mich nicht ganz transparent...

*EDIT#2:
Hier findet man den Verweis auf den VPN-Server vulnarability.

Version: 1.2-2317
(2014/03/03)

Fixed a security issue to prevent unauthorized access. (VU#534284)

Gruß
luddi

 

[Benares]

@Macflieger
3250 ist ok. Ist die aktuellste der 4.2er Reihe.

 

[Macflieger]

3250 ist ok. Ist die aktuellste der 4.2er Reihe.

Also ist es sicher, dass die nicht betroffen ist und ich gefahrlos Port 443 wieder öffnen kann?

 

[Benares]

Das kann dir keiner sagen, ob das gefahrlos ist.
In dem ganzen Thread geht es in nunmehr fast 700 Beiträgen darum, dass man nur die Ports öffnen soll, die man wirklich braucht.

 

[Macflieger]

Das kann dir keiner sagen, ob das gefahrlos ist.

"Gefahrlos" war nun natürlich nur auf den Synolocker bezogen. Das man prinzipiell gefährdet ist, wenn man einen Port offen hat, ist klar.

In dem ganzen Thread geht es in nunmehr fast 700 Beiträgen darum, dass man nur die Ports öffnen soll, die man wirklich braucht.

Auch das ist klar und daher hatte ich auch nur Port 443 offen.

 

[Frogman]

Nicht jeder hat Zeit ständig Newsticker zu lesen, und ja....... ich hab davon gar nichts mitbekommen.

Ganz ehrlich? Dann solltest Du einfach kein Server/NAS mit externem Zugriff betreiben. So einfach ist das!

 

[b1tchnow]

Ganz ehrlich? Dann solltest Du einfach kein Server/NAS mit externem Zugriff betreiben. So einfach ist das!

Schmarrn, so lange man alle Updates einspielt, musste man für dieses Problem keinen Newsticker lesen.

Mich hat das ganze Thema nur kirre gemacht, beschäftigt mich seit drei Tagen und was hat's mir gebracht? Meine DS lief die ganze Zeit unverändert durch.

 

[Frogman]

Schmarrn, so lange man alle Updates einspielt, musste man für dieses Problem keinen Newsticker lesen. .

Da denkst Du leider viel zu kurz! Das war eine mehr grundsätzliche Aussage. Manchmal sind eben auch andere Maßnahmen notwendig, bis das Update da ist (wie damals beim Miner) - auch wenn das aktuelle Problem keines gewesen ist, wenn man damals die Updates eingespielt hat.

 

[rubinho]

Schmarrn, so lange man alle Updates einspielt, musste man für dieses Problem keinen Newsticker lesen.

Mich hat das ganze Thema nur kirre gemacht, beschäftigt mich seit drei Tagen und was hat's mir gebracht? Meine DS lief die ganze Zeit unverändert durch.

Da kann ich nur Frogman recht geben. Beim Heartbleed Bug z.B. musste man, wenn man es richtig macht, mehr machen als nur ein Update aufspielen.

Oder manchmal kommt ein Patch einfach nicht schnell genug raus und man muss selbst agieren weil Gefahr in Verzug ist.

In all den Fällen ist ein aktives Verfolgen der Newsletter notwendig.

 

[Darkdevil]

Nochmal: Gegen diese hier verwendete Lücke im System nutzen alle Sicherheitsmaßnahmen nix. Die Angreifer haben sich über die VPN-Anmeldung als root Zugriff verschafft. Auf der Ebene wird kein 2-Wege-Auth verwendet.
Gegen diesen Angriff hat nur eines geholfen: ein aktuelles System!

Na, noch besser. VPN war bei meinem aktuellen System noch nie aktiv

 

[schnitzelbrain]

@Weisslein

wäre interessant zu wissen ob andere betroffene auch die Mail bekommen haben.
Bei dem Satz "gib uns die WAN IP gib uns dein admin Passwort" bekomme ich immer Gänsehaut.

Wenn die Mail wirklich von Support ist wäre es ja super und könnte die deine Daten wieder zurückgeben.

 

[Erwe]

Unitymedia-Kunde nehme ich an? Bei dem Schrottgerät lässt sich die Firewall nur komplett ein- oder ausschalten. Ein bedeutet: Keine Ports offen. Aus bedeutet: ALLE Ports offen. Im inoffiziellen Unitymediaforum gibt es sehr viele Infos zu dem Gerät.

Nein, UPC-Kunde. Die Firewall kennt folgende Einstellungen: aus-niedrig-mittel-hoch und es ist in der Doku keine Erklärung worin der Unterschied besteht. Im Auslieferungszustand von UPC steht sie auf "niedrig". Die Doku ist auch sonst falsch und die deutsche Version unterscheidet sich durch zusätzliche Fehler von der englischen.

Mich stört, daß ich anscheinend nicht alle Einstellungen sehen kann. Mir ist das bei folgender Vorgangsweise aufgefallen:
Ich lasse den Router von der DS aus konfigurieren
Ich schalte einen anderen Dienst im DSM frei. Der Router blockt diesen
Ich lasse den Router erneut konfigurieren
Jetzt ist der Dienst erreichbar.
Das Problem aber: in den Einstellungen am Router sehe ich keinen Unterschied.

 

[keineAhnungvonNix]

Ganz ehrlich? Dann solltest Du einfach kein Server/NAS mit externem Zugriff betreiben. So einfach ist das!

Ich hab einfach geglaubt was auf Synology Website bezüglich Sicherheit steht und auch, dass ich bei 2 Platten mit Raid 1 ein Backup habe.
Keinen Server mit externem Zugriff zu betreiben ist für mich auch keine Lösung, da werd ich mich langfristig halt selbst drum kümmern müssen und nicht mehr auf fertige Kauflösungen vertrauen. Da bleibt dann ja nur, das ganze auf ein für Betrüger uninteressantes Betriebssystem zu setzen wie OS2/eCS.

Nur auf die schnelle muss ich halt updaten und meine Frage ist, geht das wenn nur eine Platte im Schacht steckt?

 

[b1tchnow]

Da kann ich nur Frogman recht geben.

Also es tut mir leid, aber wenn hier Leute auftreten, die anderen ihr Recht auf den Betrieb einer NAS absprechen wollen, dann geht mir der Hut hoch.

Ihr habt natürlich recht, man sollte dringend einigermaßen auf dem Laufenden sein, was gerade abgeht, aber wenn das jemand nicht ist, dann schadet er sich gemeinhin nur selbst und dann seh ich es entspannt.

Es ist einfach nicht mein Problem, ob sich ein anderer um seine NAS kümmert oder nicht. Aber so ein prätentiöses Auftreten wie mancher hier verpack ich einfach net. Da muss ich was sagen, denn wir wissen ja, "wer Freiheit aufgibt, um Sicherheit zu gewinnen, wird am Ende beides verlieren". ;-)

 

[dil88]

Nur auf die schnelle muss ich halt updaten und meine Frage ist, geht das wenn nur eine Platte im Schacht steckt?

Ich würde keine interne Platte ohne Not herausnehmen. Wenn Du mindestens DSM 4.3 installiert hast, dann würde ich Dir folgende Vorgehensweise empfehlen: Konfiguriere die Update-Funktion im DSM so, dass sie Dir nur die wichtigen Updates anzeigt, und installiere dann die neueste Version. Dann sind die Änderungen nicht so groß, die Security-Patches aber dabei. Mittelfristig solltest Du überlegen, das RAID-1/SHR aufzulösen, ein Basis-Volume zu verwenden und die zweite Platte als externe Sicherung einzusetzen.

 

[Frogman]

Also es tut mir leid, aber wenn hier Leute auftreten, die anderen ihr Recht auf den Betrieb einer NAS absprechen wollen, dann geht mir der Hut hoch.

Bevor Dir der Hut hoch geht, solltest Du deutlich aufmerksamer lesen... - und keine falschen Behauptungen aufstellen! Mitnichten haben ich irgendjemandem das Recht auf den Betrieb eines NAS abgesprochen! Ich habe lediglich angemahnt, dass jemand, der keine Zeit investieren kann/will, sich um die Sicherheitspflege zu kümmern, dieses nicht von außen zugänglich betreiben sollte! Denn wenn er es tut, darf er sich über entsprechende Folgen nicht wirklich beschweren.

 

[dil88]

Es ist einfach nicht mein Problem, ob sich ein anderer um seine NAS kümmert oder nicht.

Ich würde mir auch oft mehr Freundlichkeit und weniger Gemeckere wünschen - innerhalb und außerhalb des Forums. Aber dieser Satz von Dir ist einfach nicht richtig. Natürlich ist es im Netz für alle relevant, ob sich Leute um ihre PCs, Router, NAS, Server etc.pp. kümmern. Wie sonst würden wohl diese gewaltigen Botnetze entstehen, die letztlich auf alle Auswirkungen haben können. Da ist noch viel zu tun an Übernahme von Verantwortung, Aufklärung und besserer Software, die höhere Sicherheit auch für diejenigen bietet, die sich mit Technik nicht gut auskennen. Den Weg über simple Verfahren, die aber hochgradig unsicher sind, halte ich für falsch.

 

[Puppetmaster]

Meine 2 cents:

- Man darf auch als DAU eine NAS betreiben
- Man muss grundsätzlich keine News bei heise und Co. lesen
- Man ist keinesfalls gezwungen, seine Software up to date zu halten
- Man darf alle Ports in seinem Router öffnen

All das ist legitim, auch ohne dass man sich Gedanken über mögliche Risiken oder dergleichen macht.

Man darf nur hinterher nicht den Schuldigen ausschließlich bei einem anderen suchen, wenn denn etwas passiert. Man trägt dann mindestens einmal eine Mitschuld.
Klar, der Dieb ist ein böser Bube, aber wenn deine Haustür immer offen steht, guckt dich nicht nur die Kripo, sondern auch die Versicherung nachher etwas seltsam an, wenn deine Klamotten weg sind und du da stehst und heulst.

Fazit: mach dich schlau, vertraue nicht (nie!) der Werbung, oder beklag dich wenigstens nicht, wenn es dich erwischt!

--

Gerade wurden erst 1,2Mrd Zugangsdaten, Mailkonten, etc. von bösen Buben erbeutet. - Was habe ich als User jetzt falsch gemacht? Die Seiten waren doch alle sicher...
Den Ärger habe ich womöglich trotzdem. Das kann man jetzt ignorieren, oder seine Lehre daraus ziehen. - So funktioniert die digitale Welt heute leider.