Toggle sidebar

SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.
jahlives schrieb:
das ist sogar (recht) sicher, weil die "Infektion" ja über Lücken im DSM vonstatten ging. Und unter welchem User läuft der DSM? :-)
Zum Vergrößern anklicken....

Das macht Sinn. :) Der SynoLocker soll ja wohl nur kleinere Dateien verschlüsseln. Ich nehme an, dass eine verschlüsselte Freigabe auch die Dateien einzeln verschlüsselt und eine verschlüsselte Freigabe nich eine einzelene große verschlüsselte Datei ist?
 
Hallo,
ottosykora schrieb:
Hat jemand etwas gehört ob andere Wege der Installation erfolgen ausser von aussen via den 'synopass' ?

Also ich meine irgendwie mit einem File direkt oder so was.
Zum Vergrößern anklicken....
die Installation ist nicht über den OpenVPN Server gekommen sondern über eine DSM Schwachstelle wie damals der Miner, siehe hier.
Mit der Schwachstelle des OpenVPN Servers konnte man die VPN Verbindung aufbauen und gelangt ins Netz aber nicht automatisch auf die DS.

Gruß Götz
 
SynoLocker verschlüsselt alle Daten wenn du ihm die Zeit dazu lässt. Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.
 
Frogman schrieb:
Nö - ich sehe die email auch etwas mißverständlich. Es heißt dort eingangs ja

Dear Synology users,

We have discovered security vulnerabilities on the software currently installed on your Synology product. These vulnerabilities might result in unauthorized parties compromising your Synology product.

Das 'currently installed on your Synology product' spricht ja schließlich den Synology-User mit seiner DS an.
Zum Vergrößern anklicken....
Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?
 
@alexserikow - Nope, habe nur die allgemein gehaltene email "Important security message regarding SynoLocker " die hier schon geposted wurde erhalten.
 
ottosykora schrieb:
laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2
Zum Vergrößern anklicken....

Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls. Wären diese Dateien dann verschont gewesen? Scheinbar ja nicht. :confused:

Welche Dateiendung haben denn die Dateien der verschlüsselten Freigaben? Wären die dann gemäß dieser Liste betroffen?
 
jony schrieb:
...Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.
Zum Vergrößern anklicken....
Jetzt muss ich nochmal ganz dumm nachfragen - wie bitte habt ihr die markierten Aussagen denn nachvollziehen können?

Du schreibst hier, dass ihr sofort nach Entdecken des Angriffs, dementsprechend am 3.8., das NAS ausgeschaltet hättet und dann wieder mit den kompromittierten Platten gestartet, als ihr irgendwann am 4.8./5.8. den Key gekauft habt... Nach meinem Verständnis könnt ihr mit dem beschriebenen Ablauf keine der Aussagen treffen.
 
Zuletzt bearbeitet:
snowbeachking schrieb:
Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls.
Zum Vergrößern anklicken....

aber die schreiben klar es such nach .do oder .jp etc. Damit sind die .doc und .docx dabei
 
alexserikow schrieb:
Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?
Zum Vergrößern anklicken....

Da habe ich nicht aufmerksam genug die Mail gelesen.

Ich habe die Mail auch bekommen und darin steht dasselbe. Wie Du habe ich aber auch die aktuellste Version installiert?
 
Hallo,
Und kennt jemand die Dateiendung welche die Dateien der verschlüsselten Freigaben haben?
Zum Vergrößern anklicken....
aus dem allerersten Post:

• The encrypted file is renamed to the original filename.

Gruß Götz
 
Wie kann denn SynoLocker wissen wie die Originaldatei heißt, wenn im Dateisystem der verschlüsselte Dateiname hinterlegt ist? Oder irre ich mich jetzt?
 
Ihr redet glaube ich von zwei Dingen - goetz meint den Namen der vom Locker verschlüsselten Datei, Du redest von einer bereits vom DSM verschlüsselten Datei, die erneut vom Locker verschlüsselt werden könnte...
 
ich frage mich gerade, was an der email so schwer zu verstehen ist? es wird keiner direkt angesprochen, sondern es ist eine allgemeine rundmail. Soweit ich weiss gibt es begriffe wie "eure", im dem sinn nicht im englischen.
 
Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz
 
goetz schrieb:
Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz
Zum Vergrößern anklicken....

Mit Muster meinst du ob zb Word- oder JPG-Datei? Ist das nicht ein großer Aufwand?

Das würde doch nur mit angehängten Freigaben funktionieren, da der Key vom Nutzer bereits hinterlegt worden ist?
Bei nicht angehängten Freigaben kann er das Muster der Datei gar nicht erst analysieren, da er sie ohne vorhandenen Schlüssel gar nicht öffnen kann.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten