SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
ich frage mich gerade, was an der email so schwer zu verstehen ist? es wird keiner direkt angesprochen, sondern es ist eine allgemeine rundmail. Soweit ich weiss gibt es begriffe wie "eure", im dem sinn nicht im englischen.
Dann wirf doch noch einmal einen Blick in's englische Wörterbuch - es geht nicht allein um "your", sondern um "...vulnerabilities on the software currently installed on your Synology product."! Übersetzt: "...Verwundbarkeit in der Software, die aktuell auf Ihrem Synology-Produkt installiert ist".
 

Der_Broker

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls. Wären diese Dateien dann verschont gewesen? Scheinbar ja nicht. :confused:

Welche Dateiendung haben denn die Dateien der verschlüsselten Freigaben? Wären die dann gemäß dieser Liste betroffen?

Es sind alle Dateiendungen eingeschlossen, die mit den aufgelisteten Buchstaben anfangen, heißt: *.do schließt *.doc, *.docx, *.dot,... mit ein; genauso ist es z.B. mit *.jp...
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
Mit Muster meinst du ob zb Word- oder JPG-Datei? Ist das nicht ein großer Aufwand?

Das würde doch nur mit angehängten Freigaben funktionieren, da der Key vom Nutzer bereits hinterlegt worden ist?
Bei nicht angehängten Freigaben kann er das Muster der Datei gar nicht erst analysieren, da er sie ohne vorhandenen Schlüssel gar nicht öffnen kann.
es wird doch sowieso das gesamte Filesystem nach den Mustern (.do* .jp* usw) durchsucht und dann ist es doch egal ob es ein verschlüsselter oder unverschlüsselter Dateiname ist, Treffer ist Treffer.
Rich (BBCode):
----------  1 root root 65536 2014-02-06 21:02 ECRYPTFS_FNEK_ENCRYPTED.FXZ2NpMak2gChkaggCBshfSkFVbNR4SRIu-GhyPihhdFFpDEtQFbSsjoUxT3ZqRlZbkDJIZjC95dglU-
würde nicht neu verschlüsselt werden da kein Muster im Dateinamen zutrifft. Wäre .fx* dabei so würde die Datei verschlüsselt werden.

Gruß Götz
 

DJ Mike

Benutzer
Mitglied seit
03. Mai 2012
Beiträge
264
Punkte für Reaktionen
0
Punkte
22
Etwas Offtopic

Wo kann man ein Topic abbestellen vorallem dieses Thema, das man keine eMails mehr bekommt ?

Habe Heute bereits wieder über 25 Mails gelöscht.


Gruss Mike


rechts oben über dem Thread, Themen-Optionen

Danke
 
Zuletzt bearbeitet:

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
rechts oben über dem Thread, Themen-Optionen
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Noch eine Anmerkung zu den emails von Synology.

Da gibt es wohl mehrere verschiedene (Betreff wurde bei den Postings glaube ich ausgelassen):

Important security message regarding SynoLocker
Paar Infos zum SynoLocker und die schon genannten empfohlenen DSM Version. Danach noch ein Hinweis auf Download-Center.

Important message regarding DDNS and QuickConnect services
In dieser hier kommt das berüchtigte "your" vor und direkt der Hinweise aufs Download-Center

Die neueste Version bleibt aber DSM 5.0-4493 Update 3 (da findet sich auch im Download-Center nix Neues).
Was die fast schon beiläufige Erwähnung von DDNS und QuickConnect im Betreff bedeuten soll wird verschwiegen. Wäre aber durchaus möglich, dass hier nicht nur einfach das Netz nach offenen Synos gescannt wurde sondern zusätzlich der Webdienst direkt auf den Syno-Servern angegriffen wurde und sich der Opferkreis dadurch noch erweitert hat.
Bleibt allerdings Spekulation (aber zu QuickConnect und MyDS gab es ja auch diverse Threads in der letzen Woche)
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Die neueste Version bleibt aber DSM 5.0-4493 Update 3 (da findet sich auch im Download-Center nix Neues).
Sehr merkwürdig ist, dass man im Download-Zentrum aktuell nicht das Update 3 bekommt sondern schlicht DSM 5.0-4493 ( Version : DSM 5.0-4493; Datum des Builds : 2014-06-04 ).

In der Mail von Synology wird nicht Update 3 aufgeführt sondern es ist nur von 4493 die Rede.
Mail von Synology: Important message regarding DDNS and QuickConnect services schrieb:
We strongly suggest you install the newest version of DSM as soon as possible. To do so, please visit our Download Center and download DSM 5.0-4493, ...

Welche Version soll man nun verwenden? Was ist mit denen die Update 3 auf ihren Systemen haben?
Also ich finde die Informationspolitik nicht gerade informationsreich!

Wie interpretiert ihr das?

Gruß
luddi
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Sehr merkwürdig ist, dass man im Download-Zentrum aktuell nicht das Update 3 bekommt sondern schlicht DSM 5.0-4493 ( Version : DSM 5.0-4493; Datum des Builds : 2014-06-04 ).
Das liegt daran, dass im Downloadcenter immer die letzte Releaseversion zur Vollinstallation aufgeführt ist. Das Update 3 ist als Update entweder aus dem laufenden System installierbar oder hier als 'critical update pack' vom Server herunterladbar, um es manuell einzuspielen.

Das ist aber nicht neu - Synology hat vor einiger Zeit diesen Updatemechanismus eingeführt, um mit kleinen Updates schneller reagieren zu können, ohne immer eine Vollinstallation machen zu müssen.
 

Der_Broker

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Das liegt daran, dass im Downloadcenter immer die letzte Releaseversion zur Vollinstallation aufgeführt ist. Das Update 3 ist als Update entweder aus dem laufenden System installierbar oder hier als 'critical update pack' vom Server herunterladbar, um es manuell einzuspielen.

Das war bei mir auch so. Nach dem Herunterladen und Installieren von DSM 5.0-4493 wurde mir im DSM das Update 3 angeboten, welches ich dann natürlich installiert habe - da war ich zugegebenermaßen aber ein wenig überrascht...
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Dann ist mir in der Vergangenheit noch nie aufgefallen, dass im Download-Zentrum immer nur die letzte Releaseversion ohne Patches zur verfügung steht...
Danke!
 
Zuletzt bearbeitet:

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
Liebe Synology Experten, ich habe noch eine letzte Frage betreffend ein infiziertes System wieder in Stand stellen. Hat das Nas selber irgendwelchen beschreibbaren Speicher (EEPROM, etc.) den man löschen/zurücksetzen kann/muss oder sind nur Daten auf der/den Festplatten sprich wenn ich meine beiden Festplatten (extern) komplett wipe mit einem entsprechende tool kann mir SynoLocker keine Sachen unterschieben auf dem Gertät oder?
Natürlich werde ich als erstes das Nas danach auf den top aktuellen Stand updaten. Ich frage weill ich analog einem verseuchten PC das NAS komplett platt machen will schlussendlich, um einen 100% sicheren Neustart zu gewährleisten.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Bevor Du hier alles plättest - was ist denn mit Deinem Angebot, Reste des Schädlings bereitzustellen?

Und vielleicht kannst Du meinem Verständnis noch etwas auf die Sprünge helfen?
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Liebe Synology Experten, ich habe noch eine letzte Frage betreffend ein infiziertes System wieder in Stand stellen. Hat das Nas selber irgendwelchen beschreibbaren Speicher (EEPROM, etc.) den man löschen/zurücksetzen kann/muss oder sind nur Daten auf der/den Festplatten sprich wenn ich meine beiden Festplatten (extern) komplett wipe mit einem entsprechende tool kann mir SynoLocker keine Sachen unterschieben auf dem Gertät oder?
Natürlich werde ich als erstes das Nas danach auf den top aktuellen Stand updaten. Ich frage weill ich analog einem verseuchten PC das NAS komplett platt machen will schlussendlich, um einen 100% sicheren Neustart zu gewährleisten.
Die Frage sollte Dir Synology am besten beantworten können. Nach meinem Verständnis nistet sich der SynoLocker nur auf den Platten des NAS ein.

Ich möchte Dich allerdings bitten, in diesem Forum keine Binaries oder sonstige Dateien des SynoLocker verfügbar zu machen. Ich denke, es reicht wenn Synology und anerkannte Virenspezialisten Zugriff auf diese Daten bekommen. Ich will niemandem hier Böses unterstellen, aber die Gefährlichkeit dieses Codes wurde in den letzten Tagen hinreichend unter Beweis gestellt und man sollte es vermeiden, diese Software öffentlich verfügbar zu machen.
 

jony

Benutzer
Mitglied seit
03. Aug 2014
Beiträge
17
Punkte für Reaktionen
0
Punkte
0
Ich plätte hier ertsmal gar nichts geht nur um die Frage wie ich denn reinen Tisch machen kann am schluss. Bin gerade die Daten am extrahieren allerdings läuft das Nas nachwievor mit angezogener Handbremse. Der rattert immer noch den Disk rauf und runter daher kann ich kaum die ganzen Daten ohne externen Zugang der Festplatte rausziehen.

Zu der Aussage, wir haben am 3.8. als erstes versucht das Nas runterzufahren, ging nicht, also hab ich den Stecker gezogen (power off) und eine der beiden Festplatten (No. 2) ausgebaut. Mit nur einer Festplatte (No. 1) im Nas habe ich das Ding am 3.8. wieder hochgefahren um zu sehen was Sache ist. Durch den Ausbau hatte ich mir ja den "ist" Stand so weit gesichert. Der Locker hat mir dann ein Text/Logfile angeboten zum anschauen was bereits verschlüsselt worden ist und da war klar dass alle wichtigen Daten bereits aufegelistet waren. Ab dem Zeitpunkt haben wir das angegriffene Nas getrennt vom restlichen Netzwerk und Internet laufen lassen um weitern Schaden zu verhindern sprich nicht noch den Ablauf der Hacker abzuschiessen. Natürlich kann ich nicht mit Sicherheit sagen wie die Priorität war beim verschlüsseln aber den Teil des Nas mit Bilder und Videos hat der Locker sich als letztes vorgenommen wobei er einzelne Bilder und Videos in den Arbeitsordner mit den dort gelagerten Daten verschlüsselt hat. Die fortlaufende Verschlüsselung konnte ich über das Logfile des Locker mitansehen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
..Ich möchte Dich allerdings bitten, in diesem Forum keine Binaries oder sonstige Dateien des SynoLocker verfügbar zu machen.
Es versteht sich von selbst, dass hier nichts veröffentlicht werden soll (dafür gibt's PN und andere Kanäle). Wie Du selbst nachlesen kannst, hatte ein Moderator des Forums darum gebeten - und ich hoffe mal, Du glaubst nicht, dass er damit nun Schindluder treiben möchte...
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
laut den Angaben von Symantec sind keine Dateien dabei die in den Flash geschrieben werden. Bei einem Upgrade auf die aktuelle Version wird dann sowieso Kernel und initiale Ramdisk der aktuellen Version in den Flash geschrieben.
Mit frischen Platten bleibt also nichts zurück.

Gruß Götz
 

F0x123

Benutzer
Mitglied seit
22. Mrz 2012
Beiträge
62
Punkte für Reaktionen
1
Punkte
8
Oje, ein paar Tage nicht in den Thread geschaut und wieder 20 neue Seiten.

Eine kurz Frage: Mein NAS ist glücklicherweise nicht betroffen. Ich habe DSM 4.3-3827 drauf. Muss/Sollte ich auch auf DSM 5 wechseln, da auf der Synology News Seite steht:

"Für Anwender, die keine der oben genannten Symptome bemerken, empfiehlt Synology DSM 5.0 herunterzuladen und zu installieren bzw. eine der folgenden Versionen zu installieren:

DSM 4.3-3827
oder neuer"

und die habe ich ja schon.

Und kann ich den Port 443 wieder nach außen öffnen? Ich habe owncloud laufen und brauche den Kalender und Kontakte-Sync über SSL auf meine Smartphones.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.678
Punkte für Reaktionen
2.080
Punkte
829
Du solltest 4.3 3827 Update 5 installieren, wenn Du bei DSM 4.3 bleiben willst. Ansonsten die neueste DSM 5.0
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat