SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[b1tchnow]

Wie sonst würden wohl diese gewaltigen Botnetze entstehen, die letztlich auf alle Auswirkungen haben können. Da ist noch viel zu tun an Übernahme von Verantwortung, Aufklärung und besserer Software, die höhere Sicherheit auch für diejenigen bietet, die sich mit Technik nicht gut auskennen.

Das hatte ich auch im Hinterkopf, als ich meine Kritik formuliert habe.

Es ist aber de facto so, dass viele Benutzer von technischen Geräten, das nicht wollen, können und nie wollen oder können werden. Ich sehe da die Hersteller und die Entwickler mehr in der Pflicht, als den Benutzer. Der User ist immer ein Depp. Das ist für mich keine Feststellung, sondern eine Vorgabe, wenn ich Software entwickle oder ein System freigebe.

Ich halte es für falsch, zu erwarten, dass sich die User weiterentwickeln werden. Die Absicherung der IT muss zum allergrößten Teil in der Verantwortung der Entwickler liegen.

Meine Freundin hat seit Jahr und Tag ein einziges Passwort (übrigens das, was ihre Eltern auch haben!). Das hat die Form "einwort5". Ich habe schon viele, viele Diskussionen geführt, habe ihr schon Vorschläge für einfach zu merkende und doch sichere Passwörter gemacht, hab schon über ihren Amazonaccount Sachen für mich bestellt und und und... denkst Du, sie würde dieses schei** Passwort mal ändern...

Genau so kommen diese Botnetze zustande, aber ich bin da etwas resigniert.

Ok, ich relativiere meine Aussage und gebe frogman und Dir recht. Natürlich hat der Benutzer eine Verantwortung, wir sollten aber auf IT-Seite alles tun, ihm diese weitestgehend abzunehmen, denn der User ist und bleibt ein DAU.

@frogman: Entschuldige bitte, ich wollte Dich nicht angehen und Du hast ja, wie ich oben schreibe, nicht unrecht.

 

[weisslein]

@Weisslein

wäre interessant zu wissen ob andere betroffene auch die Mail bekommen haben.
Bei dem Satz "gib uns die WAN IP gib uns dein admin Passwort" bekomme ich immer Gänsehaut.

Wenn die Mail wirklich von Support ist wäre es ja super und könnte die deine Daten wieder zurückgeben.

Da das NAS ja sowieso im Eimer ist, gibts ja nicht mehr viel zu verlieren.
Und ich denke schon das Mail ist vom Support, denn ich habe nicht alles hier gepostet. Doch die Gänsehaut habe ich eben auch empfunden!

Werde es mal angehen und wieder berichten, was das Ergebnis war.

 

[vpnleader]

Frogman die Meckerschüssel --> neuer Übername^^

@dil88 ja das Stimmt schon, aber gewisse Leute sind leider nicht fähig sich zu schützen, da das Know-How nicht ausreicht oder die Inteligenz am Anschlag ist. Trotzdem dürfen diese Menschen ein PC und NAS besitzen

 

[b1tchnow]

Gerade kam übrigens diese E-Mail von Synology bei mir an:

Dear Synology users,

We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.

Affected users may encounter the following symptoms:

When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php

If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:

DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.

Sincerely,
Synology Development Team

Um den Kreis zu schließen: Wer halt sechs Monate keine Updates einspielt ist wirklich einfach nur selbst schuld!

 

[dil88]

Ich halte es für falsch, zu erwarten, dass sich die User weiterentwickeln werden.

Ich bin wie Du der Meinung, dass ein großer Teil der Verantwortung bei den Herstellern liegt. Aber in diesem Punkt hier möchte ich Dir erneut widersprechen. Der Thread hier handelt von einer dramatischen Attacke, die vermutlich durch das Einspielen von Security-Updates hätte vermieden werden können. Dass es dabei in der Praxis auch Probleme gibt, ist klar. Und daran muss gearbeitet werden. Aber ich teile nicht die Auffassung, dass das Einspielen von Security-Updates objektiv eine zu große Hürde ist. Bei allen, denen ich Systeme einrichte, erkläre ich das, bis es läuft. Und es läuft bei allen. Ahnung hat von denen keiner, richtig schwer mit dieser Technik tun sich mehr oder weniger alle. Kurz: Dieses Minimum kann man heutzutage erwarten, und es würde enorm viel bringen.

 

[Frogman]

...Meine Freundin hat seit Jahr und Tag ein einziges Passwort (übrigens das, was ihre Eltern auch haben!). Das hat die Form "einwort5". Ich habe schon viele, viele Diskussionen geführt, habe ihr schon Vorschläge für einfach zu merkende und doch sichere Passwörter gemacht, hab schon über ihren Amazonaccount Sachen für mich bestellt und und und... denkst Du, sie würde dieses schei** Passwort mal ändern...

Wie, und dann entläßt Du in Deinem Plädoyer den User aus seiner Verantwortung, weil sie "nicht können oder wollen? Gerade auch das "nicht wollen" ist ja häufig da Problem... Sorry, ich kann doch nicht ernsthaft dem Entwickler die Verantwortung geben nach dem Motto "Du musst einen Zwangsalgorithmus für sichere Passwörter implementieren", nur weil User zu faul sind, ein sicheres Passwort einzurichten! Btw: die DS erlaubt die Aktivierung einer Funktion, um dem User Vorgaben zum Passwort zu machen - aber dafür muss halt der Betreiber der DS es auch anschalten. Wenn er ebenso faul ist, dann trägt er halt die Verantwortung, wenn Daten kompromittiert werden!

 

[snowbeachking]

Meine 2 cents:

- Man darf auch als DAU eine NAS betreiben
- Man muss grundsätzlich keine News bei heise und Co. lesen
- Man ist keinesfalls gezwungen, seine Software up to date zu halten
- Man darf alle Ports in seinem Router öffnen

All das ist legitim, auch ohne dass man sich Gedanken über mögliche Risiken oder dergleichen macht.

Man darf nur hinterher nicht den Schuldigen ausschließlich bei einem anderen suchen, wenn denn etwas passiert. Man trägt dann mindestens einmal eine Mitschuld.
Klar, der Dieb ist ein böser Bube, aber wenn deine Haustür immer offen steht, guckt dich nicht nur die Kripo, sondern auch die Versicherung nachher etwas seltsam an, wenn deine Klamotten weg sind und du da stehst und heulst.

Fazit: mach dich schlau, vertraue nicht (nie!) der Werbung, oder beklag dich wenigstens nicht, wenn es dich erwischt!

Ein schöner Beitrag!

Das Fazit von Puppetmaster möchte ich auch noch einmal hervorheben. Es ist wirklich wichtig, wenn man das Risiko (und darum geht es immer; um das potentielle Risiko), minimieren möchte, dass man sich (vielleicht sogar intensiv) damit beschäftigt was man da eigentlich tut und versucht (soweit die Zeit es erlaubt - gibt auch manchmal wichtigere Dinge im Leben) auf dem Laufenden zu bleiben.

Aber so ein prätentiöses Auftreten wie mancher hier verpack ich einfach net.

Auch schön formuliert. Der eine oder andere Beitrag ist sicherlich wenig hilfreich.

Denn eines wird meiner Meinung nach tatsächlich immer wieder unterschlagen: Das Risiko. Wie hoch ist dieses? Bei dem ein oder anderen User sicherlich niedriger.

Ich stelle mir wieder, auch aufgrund dieses Themas, die Frage: Wie hoch ist eigentlich mein Risiko meine wichtigen Daten zu verlieren? Daher hinterfrage ich erneut mein Backup-Konzept.

Heartbleed und Miner habe ich tatsächlich verschlafen, weil ich in der Zeit mich mit für mich wichtigeren Dingen im Leben beschäftigt habe. Zu der Zeit hatte ich nicht unbedingt aktuelle DSM Versionen auf meinen zwei DS laufen und beide waren von außen zugänglich. Beide über OpenVPN und Port 5001.
Was ist passiert? Nichts! Hätte ich also in der Zeit Lotto spielen sollen?

Mein Fazit: Es ist wichtig auf die sicherheitsrelevanten Themen aufmerksam zu machen, aber immer im Hinterkopf behalten, wie hoch ist eigentlich das persönliche Risiko? Dann erkennt man schnell, ob man Panik haben sollte oder nicht.

PS: Wie oft hat SynoLocker weltweit zugeschlagen? Wie hoch ist der prozentuelle Anteil der Opfer? Wäre doch schön anhand so einer Zahl mal zu berwerten wie schlimm es eigentlich tatsächlich ist?

 

[dil88]

Heartbleed und Miner habe ich tatsächlich verschlafen, weil ich in der Zeit mich mit für mich wichtigeren Dingen im Leben beschäftigt habe. Zu der Zeit hatte ich nicht unbedingt aktuelle DSM Versionen auf meinen zwei DS laufen und beide waren von außen zugänglich. Beide über OpenVPN und Port 5001.
Was ist passiert? Nichts! Hätte ich also in der Zeit Lotto spielen sollen?

Ehrlich gesagt hast Du in der Zeit Lotto gespielt. Und dass es viel, viel wichtigere Dinge im Leben gibt, als die hervorragende Heise-Site zu verfolgen, ist ganz meine Meinung. Aber darum geht es mir gar nicht. Du hättest Updates einspielen sollen, unabhängig davon, ob Du weißt warum, und unabhängig davon, ob Du sonst betroffen gewesen wärest oder nicht. Unterhalte Dich einmal mit denen, die (zufällig) betroffen waren und sei froh, dass es Dich nicht getroffen hat. Ich bin es.

 

[Frogman]

...Ich stelle mir wieder, auch aufgrund dieses Themas, die Frage: Wie hoch ist eigentlich mein Risiko meine wichtigen Daten zu verlieren? Daher hinterfrage ich erneut mein Backup-Konzept.

Das ist kaum entscheidend, wenn die Daten dann weg sind. Aber klar ist eben, dass man - abhängig von der Wichtigkeit, die man seinen Daten zumisst - seine Maßnahmen wählen muss!

 

[Benares]

Doch die Gänsehaut habe ich eben auch empfunden!

Ich beim ersten mal auch. Aber der Syno-Support macht das eben so - wohl wegen der Einfachheit. Mir wurde auf diesem Weg auch schon mal geholfen.
Da die Mail von Synology ja einen Bezug auf ein offenes Ticket von mir hatte, habe ich an der Echtheit auch nicht gezweifelt.
Ich hab temporär das root-PW geändert, Synology mitgeteilt und den Port geöffnet. Und nach erfolgreichem Abschluss der Aktion, das ganze dann wieder rückgängig gemacht.

 

[Puppetmaster]

Ehrlich gesagt hast Du in der Zeit Lotto gespielt.

Also, wir spielen hier alle die ganze Zeit Lotto! Du kennst den Einsatz (deine Daten), aber du kennst nicht die Wahrscheinlichkeit für den Hauptgewinn.
Problem bei den Lücken in der Software ist ja unter anderem, dass die oft erst durch einen Hack auffallen.

Ist deine DS jetzt sicher? Nein? Wie sicher ist sie...? - Du kannst es nicht beantworten!

 

[dil88]

Frogman die Meckerschüssel --> neuer Übername^^

Du meinst es bestimmt nicht böse, aber ich will an dieser Stelle einmal eins sagen: Mir ist jemand, der mir und anderen hin und wieder auch undiplomatisch den Spiegel vorhält, aber mit seinem enormen und aktuellen Wissen permanent weiterhilft, sehr sehr lieb und teuer.

 

[dil88]

Also, wir spielen hier alle die ganze Zeit Lotto! Du kennst den Einsatz (deine Daten), aber du kennst nicht die Wahrscheinlichkeit für den Hauptgewinn.
Problem bei den Lücken in der Software ist ja unter anderem, dass die oft erst durch einen Hack auffallen.

Ist deine DS jetzt sicher? Nein? Wie sicher ist sie...? - Du kannst es nicht beantworten!

Nur dass ich es nicht konkret beantworten kann, heißt nicht, dass meine Maßnahmen keine Wirkung haben. Meine Erfahrung sagt mir, dass üblicherweise (Geheimdienste einmal ausgenommen) relativ einfache Weg beschritten werden. Und die kann man in der Regel relativ einfach und rechtzeitig versperren. Und genau das mache ich und bin damit bisher hervorragend gefahren - anders als manche, die ich kenne, die das nicht getan haben. Bin ich dadurch 100% sicher. Auf gar keinen Fall.

 

[keineAhnungvonNix]

............, aber gewisse Leute sind leider nicht fähig sich zu schützen, da das........

Es geht nicht unbedingt, um die Fähigkeit sich zu schützen. Wenn ich für ein fertiges System bezahle, dann bei der Anwendung die üblichen Sicherheitsmaßnahmen wie starke Passwörter, Virenschutz, evtl. Firewall treffe, bin ich auch nicht Willens mich mit dem System dauernd auseinanderzusetzen, denn die DS ist für mich ein Arbeitsgerät von vielen und wenn ich für jedes Gerät täglich im Netz rumsuchen sollte, obs da Neuigkeiten, Sicherheitlücken etc. gibt, bräuchte ich die Geräte nicht, weil ich nicht zu den Arbeiten käme, wofür die Geräte eigentlich gebraucht werden.

Find es übrigens sehr toll, dass Ihr trotz konträrer Meinungen so schnell hilfreiche Antworten liefert.

 

[xamoel]

Ok, aber auch fertige System müssen auf dem laufenden gehalten werden, oder machst du bei deinem Auto keinen Ölwechsel, oder updatest du dein Smartphone/die Apps nie?
Ist doch gang und gäbe, so schwierig ist das auch nicht.

 

[b1tchnow]

Sorry, ich kann doch nicht ernsthaft dem Entwickler die Verantwortung geben nach dem Motto "Du musst einen Zwangsalgorithmus für sichere Passwörter implementieren", nur weil User zu faul sind, ein sicheres Passwort einzurichten!

Doch, tue ich! Bei mir stehen die Entwickler deutlich mehr in der Pflicht, als der User.

Achtung, jetzt kommt ein Autovergleich:

Wenn bei meinem Auto die Bremsen versagen, weil die Werkstatt Mist baut, ist das doch nicht meine Schuld?

Es hängt ja auch nicht alles nur an den Passwörtern. Bei Amazon z. B. kann man 1234567890 als Passwort eingeben, aber wenn man etwas an eine neue Adresse bestellt, muss man auch neue Zahlungsdaten eingeben. Das minimiert den Missbrauch des Systems.

Das Onlinepasswort meines Bankkontos ist fünf Zeichen lang und ändern kann ich es nicht. Was soll ich jetzt tun? Gemeinhin gilt das als nicht sicher, aber wirklicher Schaden kann durch ein zusätzliches TAN-Verfahren, wenn es interessant wird, auch nicht entstehen.

Ich entlasse den Benutzer mehr aus seiner Pflicht, als Du das tust, aber natürlich entlasse ich ihn nicht aus der Verantwortung, auch die Konsequenzen seines Handelns zu tragen.

Du meinst es bestimmt nicht böse, aber ich will an dieser Stelle einmal eins sagen: Mir ist jemand, der mir und anderen hin und wieder auch undiplomatisch den Spiegel vorhält, aber mit seinem enormen und aktuellen Wissen permanent weiterhilft, sehr sehr lieb und teuer.

Ich möchte an dieser Stelle auch dringend betonen, wir streiten bzw. debattieren fachlich und nicht persönlich! Das wird im Internet häufig verwechselt, aber gegen harsche fachliche Debatten habe ich nichts. Deshalb bin ich neben der Hilfesuche und Unterstützung, wenn ich helfen kann, ja auch hier. :-D

 

[carstenj]

Hi,

Sorry, ich kann doch nicht ernsthaft dem Entwickler die Verantwortung geben nach dem Motto "Du musst einen Zwangsalgorithmus für sichere Passwörter implementieren", nur weil User zu faul sind, ein sicheres Passwort einzurichten!

Sicherheit und Komfort sind zwei Dinge die sich diametral entgegenstehen. Ich denke, dass sich eben viele nicht bewusst sind, was ein "einfaches" Passwort ist. Das Problem ist meiner Meinung nach, dass sich viele versiertere Benutzer eben überhaupt nicht in die ganzen "DAUs" hineinversetzen können.

Die die hier schreiben, egal ob die nun TCP/IP runterbeten können oder wissen wer oder was Heise überhaupt ist, sind ja schonmal denen gegenüber im Vorteil die nichtmal wissen wie man sich in so einem Forum überhaupt anmeldet.

 

[dil88]

bin ich auch nicht Willens mich mit dem System dauernd auseinanderzusetzen, denn die DS ist für mich ein Arbeitsgerät von vielen und wenn ich für jedes Gerät täglich im Netz rumsuchen sollte, obs da Neuigkeiten, Sicherheitlücken etc.

Und auch hier noch einmal: Ich zumindest verlange und erwarte das nicht die Bohne. Aber spiel bitte wie bei Deinem Windows die Security-Updates ein. Und nutze Deine Zeit ansonsten so, wie Du es beschrieben hast.

 

[fbl1]

Es geht nicht unbedingt, um die Fähigkeit sich zu schützen. Wenn ich für ein fertiges System bezahle, dann bei der Anwendung die üblichen Sicherheitsmaßnahmen wie starke Passwörter, Virenschutz, evtl. Firewall treffe, bin ich auch nicht Willens mich mit dem System dauernd auseinanderzusetzen, denn die DS ist für mich ein Arbeitsgerät von vielen und wenn ich für jedes Gerät täglich im Netz rumsuchen sollte, obs da Neuigkeiten, Sicherheitlücken etc. gibt, bräuchte ich die Geräte nicht, weil ich nicht zu den Arbeiten käme, wofür die Geräte eigentlich gebraucht werden.

Ist aber nicht ganz richtig. Wenn du ein Auto hast dann muss dieses auch in die Werkstatt, braucht einen Ölwechsel oder neue Reifen.
Genauso ist es mit einer NAS als Arbeitsgerät wenn ich es selbst betreibe. Es braucht Pflege also Updates sollten immer Eingespielt werden und auch regelmässig mal in die Logfiles sehen ob irgend etwas seltsam ist.
Ein IT Endgeräte ohne Pflege und Wartung gibt es nicht und sehe ich in Zukunft auch nicht. Ausser ich gebe es in die passenden Hände und zahle dafür.
Auch ein PC braucht seine Updates egal welches System. Aber hier meckert keiner das er es machen muss oder dann selber schuld ist wenn was passiert.

 

[Frogman]

Achtung, jetzt kommt ein Autovergleich:Wenn bei meinem Auto die Bremsen versagen, weil die Werkstatt Mist baut, ist das doch nicht meine Schuld?

Wie es fbl1 schon gesagt hat - Du bist als Halter eines Autos auch verpflichtet, es regelmäßig zum TÜV vorzustellen und solltest tunlichst etwas Pflege wirken lassen, damit es auch sonst sicher und fahrbereit ist. Nichts anderes ist die Pflege eines IT-Systems. Und jeder Autofahrer muss einen Führerschein als Sachkunde-Nachweis ablegen... (und ja, ich denke, zukünftig sollte man durchaus mal über einen IT-Führerschein nachdenken, bevor man Leute in die digitale Welt läßt - zumindest dann, wenn sie für Daten anderer zuständig sein sollen).