SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[noiasca]

... eigentlich könnte man jedem Versionsfrager sagen: Mach ein Update auf die letzte aktuelle Version die von Synology angeboten wird. Vieleicht tritt dann bei einigen ein Lerneffekt ein. LESEN tun eh nur wenige, vieleicht müssen einige was TUN. Kommt halt sehr auf die Persönlichkeit an und ist ja nichts schlimmes ;-)

 

[Macflieger]

Mach ein Update auf die letzte aktuelle Version die von Synology angeboten wird.

Diese letzten angebotenen aktuellen Versionen sind alle(!) vor dem SynoLocker sicher?
D.h. das "und älter" bezieht sich auf das Erscheinungsdatum nicht Versionsnummer?

 

[noiasca]

du wirst ja nicht "alle" brauchen sondern deine Version. Also such dir mal deine letzte aktuelle Version und vieleicht sagt dir dann jemand ob die passt (... hui ist das schwierig in diesem Thread ...)

und zur spezifischen Frage. Synology gibt in der Presseaussendung (*) Versionsnummern vor. Also bezieht sich das älter auf die Versionsnummer.

(*)Achtung Spoiler, kleiner Tipp wo man die Info findet ...

 

[Macflieger]

du wirst ja nicht "alle" brauchen sondern deine Version. Also such dir mal deine letzte aktuelle Version und vieleicht sagt dir dann jemand ob die passt (... hui ist das schwierig in diesem Thread ...)

Das habe ich bereits mehrfach gemacht, aber keine Antwort bekommen. Meine Version (neuere gibt es nicht) ist 4.2-3250.

und zur spezifischen Frage. Synology gibt in der Presseaussendung (*) Versionsnummern vor. Also bezieht sich das älter auf die Versionsnummer.

Das ist dann eben etwas widersprüchlich.
In der Presserklärung steht, dass nur Versionen 4.3-3810 oder älter betroffen sind. Wenn das "älter" sich auf die Versionnummer bezieht, dann sind alle 4.2-Versionen betroffen. Dann ist der Rat von Synology in der gleichen Erklärung auf "4.2-3243 oder neuer" upzudaten zwar gut, aber bezgl. SynoLocker sinnlos.
Das finde ich halt widersprüchlich und logischer erscheint mir, dass sich das "älter" auf das Erscheinungsdatum bezieht.

 

[Frogman]

...Das ist dann eben etwas widersprüchlich. In der Presserklärung steht, dass nur Versionen 4.3-3810 oder älter betroffen sind. Wenn das "älter" sich auf die Versionnummer bezieht, dann sind alle 4.2-Versionen betroffen. Dann ist der Rat von Synology in der gleichen Erklärung auf "4.2-3243 oder neuer" upzudaten zwar gut, aber bezgl. SynoLocker sinnlos..

Wäre es nicht besser, Du würdest Du an den Urheber der Pressemitteilung wenden, wenn Du eine "sichere" Aussage haben willst? Wir hier interpretieren wie alle anderen auch nur die zur Verfügung stehenden Informationen!

 

[snowbeachking]

Lächerlich... - Du glaubst gar nicht, in wievielen SOHO-Unternehmen in einer lockeren Rund am Mittagstisch mit einem scharf-angucken jemand zum Admin befördert wird, weil der zu Hause auch für Mama, Schwager und Sohnemann ein NAS betreibt

Lächerlich? Nur weil ich eine andere Sicht habe?

Wie gesagt:

Ich war vor Jahren mal Gast bei einem Diskussionforum: Und eine sehr wichtige Persönlichkeit in Deutschland hatte zu einem Teilnehmer sinngemäß gesagt: "Hören Sie, Sie können viel erzählen wenn der Tag lang ist. Aber solange Sie mir keine Zahlen geben können, die Ihre Aussagen belegen, glaube ich Ihnen kein Wort."

Also, ich glaub' dir auch kein Wort, solange du deine pauschale Aussage nicht mit Zahlen belegen kannst.

 

[Frogman]

Lächerlich? Nur weil ich eine andere Sicht habe?

Nicht weniger oder mehr als meine Ansicht... - wie Du meine Äußerungen eben als "gruselig" ansiehst

 

[Erwe]

So, was habe ich jetzt aus diesem Thread gelernt:
1. ich hätte mein NAS nicht abschalten müssen, da DSM 5.0 sicher ist und ich die aktuelle Version drauf habe
2. ich hab' von Netzwerk noch weniger Ahnung als geglaubt
3. mein Router ist Schrott (was ich aber nicht ändern kann, da ich genau diesen verwenden muß)
4. einen Link auf einen Artikel zu posten dessen Inhalt in einem anderen Artikel in ähnlicher Form wiedergegeben wird ist im Gegensatz zu 10 Postings über Autos und Werkstätten unerwünscht
5. ich darf jetzt doch ohne IT Studium das NAS ins Internet lassen

 

[dil88]

In der Presserklärung steht, dass nur Versionen 4.3-3810 oder älter betroffen sind. Wenn das "älter" sich auf die Versionnummer bezieht, dann sind alle 4.2-Versionen betroffen. Dann ist der Rat von Synology in der gleichen Erklärung auf "4.2-3243 oder neuer" upzudaten zwar gut, aber bezgl. SynoLocker sinnlos.
Das finde ich halt widersprüchlich und logischer erscheint mir, dass sich das "älter" auf das Erscheinungsdatum bezieht.

Das älter bezieht sich nicht auf die Versionsnummer sondern auf das Erscheinungsdatum. Deshalb wird auch die Aussage getroffen "4.2-3243 oder neuer". Und dann ist da auch kein Widerspruch drin.

 

[rubinho]

So, was habe ich jetzt aus diesem Thread gelernt:
5. ich darf jetzt doch ohne IT Studium das NAS ins Internet lassen

Das NAS ins Internet zu lassen ist auch nicht gefährlich. Das Internet auf dein NAS lassen dagegen schon

 

[Benares]

@Macflieger
Jetzt vergiss doch mal die ganzen anderen 4er-Reihen. Synology hat im Februar für fast alle Reihen updates gebracht, wo der Bug behoben wurde, auch für die alten Schätzchen. Für die 4.2er Reihe war das die 4.2-3243 und mittlerweile gibt es die 4.2-3250.

Schau mal in meine Signatur. Für die DS209 gibt es kein 4.3 oder 5.0 mehr, dafür ist sie zu alt. 4.2 war die letzte Reihe dafür. Deshalb ist dort jetzt die 4.2-3250 drauf.

 

[b1tchnow]

So, was habe ich jetzt aus diesem Thread gelernt:
[...]
3. mein Router ist Schrott (was ich aber nicht ändern kann, da ich genau diesen verwenden muß)
[...]

Das sehe ich nicht so. Wir haben uns doch gestern mit Deinem Router beschäftigt, oder? Du hast den Technical (oder so ähnlich) 7200, oder?

Der hat doch vieles, was man so braucht.

Was passt denn bei dem nicht? Und war in der DS nun UPNP an?

 

[Eckoman]

Vorhin kam von Synology folgende Mail: "Important security message regarding SynoLocker"

Dear Synology users,
We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.
Affected users may encounter the following symptoms:
• When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
• Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
• DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php
If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:
• DSM 4.3-3827 or later
• DSM 4.2-3243 or later
• DSM 4.0-2259 or later
• DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.
We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.
Sincerely,
Synology Development Team

 

[Macflieger]

Wäre es nicht besser, Du würdest Du an den Urheber der Pressemitteilung wenden, wenn Du eine "sichere" Aussage haben willst?

Das habe ich getan und warte auch dort auf eine Antwort.

 

[Macflieger]

Das älter bezieht sich nicht auf die Versionsnummer sondern auf das Erscheinungsdatum. Deshalb wird auch die Aussage getroffen "4.2-3243 oder neuer". Und dann ist da auch kein Widerspruch drin.

Ja, so habe ich es auch gedeutet. Ich wollte halt nur die Bestätigung, dass ich damit nicht falsch liege.

 

[Frogman]

Vorhin kam von Synology folgende Mail: "Important security message regarding SynoLocker"

Nix Neues - bitte vorher auch mal lesen, bevor man postet! (nur ein Beispiellink). Wenn jetzt jeder hier den Erhalt der email postet, springt uns jahlives aus dem Stand einen viereinhalbfachen Salto mit Schraube...

 

[jahlives]

Wenn jetzt jeder hier den Erhalt der email postet, springt uns jahlives aus dem Stand einen viereinhalbfachen Salto mit Schraube...

ich lese schon gar nicht mehr mit Oder fast nicht mehr

 

[snowbeachking]

Gibt es eigentlich Feedback vom Betroffenen der hier den SynoLocker ggf. für Analysezwecke zur Verfügung stellen wollte?

 

[wo_2012]

In der Hoffnung dass die ganze Diskussion wieder etwas sachlicher wird, verbunden mit der Bitte doch nur Informationen zu posten, die auf fundierten Informationen beruhen.

Mit neuen Platten bist Du das Ding los. Viel Erfolg!

Nein ist er meines Wissens nach nicht und Synology empfiehlt eine andere Vorgehensweise.
Im Falle eines Befalls ist die Synology vollständig zu resetten, dazu ist der physikalische Zugriff auf die Hardware notwendig.

Meine Frage, die sich an betroffene Synology Anwender richtet:
1. Welche Synology Hardware ist betroffen
2. Welche DSM SOftware Version wurde verwendet / Wann wurde die DSM Version zuletzt aktualisiert ?
3. Hattet Ihr VPN konfiguriert oder als Paket geladen ?

Die Antworten zu dieser Frage von betroffenen Anwendern wären eine echte Hilfe für alle hier im Forum, weil wir dann einen Überblick über das eigentliche Thema bekämen.

Die Hintergründe hierzu:

Am 1. Dezember 2013 ist im amerikanischen Synology Forum ein Beitrag erschienen ist, in welchem erstmalig über diese Schwachstelle berichtet wurde, es wurde auch gleichzeitig ein Workaround angegeben. Das Thema hat sich dann bis Februar hingeschleppt und wurde auch bei CERT hinterlegt.

Synology hat im Februar mitgeteilt welche DSM Versionen eingespielt werden müssen.
Da es schwierig ist alle Infos auszugraben, hier nochmals eine Zusammenstellung dder Links
CERT: Synology Passwort Schwachstelle.
Synology: Februar 2014-Aufforderung zum Update.
In den Februar Updates beschreibt Synology die Vorgehensweise bei einem befallenen System. Da dazu der halbe Artikel gelesen werden muss, hier noch einmal der Link:
Synology: HowTo Reset an infected System.
Synology: August 2014-Erneute Aufforderung zum Upgrade

 

[Frogman]

...Nein ist er meines Wissens nach nicht und Synology empfiehlt eine andere Vorgehensweise.Im Falle eines Befalls ist die Synology vollständig zu resetten, dazu ist der physikalische Zugriff auf die Hardware notwendig.

Auch wenn Synology eine andere Vorgehensweise empfiehlt (da geht's ja auch um die Reparatur mit denselben Platten) - was bringt Dich zu dem Wissen? Das DSM ist vollständig auf den Systempartitionen der internen Platten installiert (mit Ausnahme einiger Versionsdaten im Flash der DS). Wenn Du also auf neuen Platten das System neu aufsetzt, ist das mit Sicherheit nicht mehr infiziert