SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[snowbeachking]

das ist sogar (recht) sicher, weil die "Infektion" ja über Lücken im DSM vonstatten ging. Und unter welchem User läuft der DSM?

Das macht Sinn. Der SynoLocker soll ja wohl nur kleinere Dateien verschlüsseln. Ich nehme an, dass eine verschlüsselte Freigabe auch die Dateien einzeln verschlüsselt und eine verschlüsselte Freigabe nich eine einzelene große verschlüsselte Datei ist?

 

[goetz]

Hallo,

Hat jemand etwas gehört ob andere Wege der Installation erfolgen ausser von aussen via den 'synopass' ?

Also ich meine irgendwie mit einem File direkt oder so was.

die Installation ist nicht über den OpenVPN Server gekommen sondern über eine DSM Schwachstelle wie damals der Miner, siehe hier.
Mit der Schwachstelle des OpenVPN Servers konnte man die VPN Verbindung aufbauen und gelangt ins Netz aber nicht automatisch auf die DS.

Gruß Götz

 

[jony]

SynoLocker verschlüsselt alle Daten wenn du ihm die Zeit dazu lässt. Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.

 

[ottosykora]

Das macht Sinn. Der SynoLocker soll ja wohl nur kleinere Dateien verschlüsseln.

laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

 

[alexserikow]

Nö - ich sehe die email auch etwas mißverständlich. Es heißt dort eingangs ja

Dear Synology users, We have discovered security vulnerabilities on the software currently installed on your Synology product. These vulnerabilities might result in unauthorized parties compromising your Synology product.

Das 'currently installed on your Synology product' spricht ja schließlich den Synology-User mit seiner DS an.

Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?

 

[goetz]

Hallo,

laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

Symantec hat ja wohl die Sache ganz gut analysiert, da kann ich meinen Honigtopf (DS1513+ mit DSM 4.3 ohne Updates) wieder dicht machen.

Gruß Götz

 

[Fusion]

@alexserikow - Nope, habe nur die allgemein gehaltene email "Important security message regarding SynoLocker " die hier schon geposted wurde erhalten.

 

[snowbeachking]

laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls. Wären diese Dateien dann verschont gewesen? Scheinbar ja nicht.

Welche Dateiendung haben denn die Dateien der verschlüsselten Freigaben? Wären die dann gemäß dieser Liste betroffen?

 

[Frogman]

laut dieser Analyse soll es einfach nach den ext suchen und die dann verschlüsseln

http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

Aber dennoch wäre aus Sicht der Urheber eine Priorisierung entsprechend der Filegrößen nachvollziehbar, um eine maximale Verschlüsselung in möglichst kurzer Zeit zu erreichen, bevor eventuell ein User Maßnahmen ergreift.

 

[Frogman]

...Aber ja bei uns hat er auch mit den kleinen files sprich .xls, .doc, .pdf angefangen und damit natürlich genau das Zeug getroffen das am wichtigsten war und wo das 3-Monate alte Backup des Nas genau "wertlos" war. Am Ende waren aber alle files verschlüsselt auch Bilder und Videos... das hat allerdings mehrere Tage gedauert bis alles durch war bei 1TB Daten.

Jetzt muss ich nochmal ganz dumm nachfragen - wie bitte habt ihr die markierten Aussagen denn nachvollziehen können?

Du schreibst hier, dass ihr sofort nach Entdecken des Angriffs, dementsprechend am 3.8., das NAS ausgeschaltet hättet und dann wieder mit den kompromittierten Platten gestartet, als ihr irgendwann am 4.8./5.8. den Key gekauft habt... Nach meinem Verständnis könnt ihr mit dem beschriebenen Ablauf keine der Aussagen treffen.

 

[ottosykora]

Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls.

aber die schreiben klar es such nach .do oder .jp etc. Damit sind die .doc und .docx dabei

 

[b1tchnow]

Genau, und das wundert mich ein wenig. Hat sonst noch einer die EMail bekommen?

Da habe ich nicht aufmerksam genug die Mail gelesen.

Ich habe die Mail auch bekommen und darin steht dasselbe. Wie Du habe ich aber auch die aktuellste Version installiert?

 

[snowbeachking]

aber die schreiben klar es such nach .do oder .jp etc. Damit sind die .doc und .docx dabei

Danke, hatte ich dann nicht richtig nachvollzogen.

Und kennt jemand die Dateiendung welche die Dateien der verschlüsselten Freigaben haben?

 

[goetz]

Hallo,

Und kennt jemand die Dateiendung welche die Dateien der verschlüsselten Freigaben haben?

aus dem allerersten Post:

• The encrypted file is renamed to the original filename.

Gruß Götz

 

[snowbeachking]

• The encrypted file is renamed to the original filename.

Danke, aber das wäre nur möglich wenn die verschlüsselte Freigabe angehängt ist? Bei einer nicht angehängten verschlüsselten Freigabe dann ja nicht, da das Passwort dafür fehlt?

 

[snowbeachking]

Wie kann denn SynoLocker wissen wie die Originaldatei heißt, wenn im Dateisystem der verschlüsselte Dateiname hinterlegt ist? Oder irre ich mich jetzt?

 

[Frogman]

Ihr redet glaube ich von zwei Dingen - goetz meint den Namen der vom Locker verschlüsselten Datei, Du redest von einer bereits vom DSM verschlüsselten Datei, die erneut vom Locker verschlüsselt werden könnte...

 

[winfreund]

ich frage mich gerade, was an der email so schwer zu verstehen ist? es wird keiner direkt angesprochen, sondern es ist eine allgemeine rundmail. Soweit ich weiss gibt es begriffe wie "eure", im dem sinn nicht im englischen.

 

[goetz]

Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz

 

[snowbeachking]

Hallo,
ist die Datei verschlüsselt wird eben der verschlüsselte Dateiname nach dem Muster untersucht und beim Treffer eben noch einmal verschlüsselt und bekommt seinen ursprünglichen verschlüsselten Namen.

Gruß Götz

Mit Muster meinst du ob zb Word- oder JPG-Datei? Ist das nicht ein großer Aufwand?

Das würde doch nur mit angehängten Freigaben funktionieren, da der Key vom Nutzer bereits hinterlegt worden ist?
Bei nicht angehängten Freigaben kann er das Muster der Datei gar nicht erst analysieren, da er sie ohne vorhandenen Schlüssel gar nicht öffnen kann.