SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[F0x123]

Ok und das Update 5 finde ich wo?

Hier finde ich nur die DSM Version vom Mai

http://ukdl.synology.com/download/DSM/4.3/3827/

Wie gesagt ich hatte das 4.3.3827 schon länger installiert oder ist das ein Patch innerhalb der 3827?

 

[laserdesign]

http://ukdl.synology.com/download/criticalupdate/update_pack/3827-5/

 

[rumknapser]

Es versteht sich von selbst, dass hier nichts veröffentlicht werden soll (dafür gibt's PN und andere Kanäle).

Mooooment! Ich bin in der Tat sehr an den eventuell gewonnenen möglichen Informationen und auch Interpretationen von Euch interessiert!

Die Quelltexte oder Binaries werden sowieso irgendwo im Netz auftauchen, da kann sich jeder nach Bedarf bedienen, aber spannend -jedenfalls für mich- wäre auf jeden Falll eine offene (Diskussion über und während der) Analyse der erhaltenen Daten.

Dieser Thread ist schon jetzt ein Gewinn an Wissen und Einsichten über die langjährig eingeholten und erlernten Erfahrungen Eurerseits, entsprechend möchte ich nun nicht vor verschlossener Tür stehen bleiben müssen, wenn es ans Eingemachte geht...

Habt Dank!

 

[Flanosch]

Diskussionen hin und her

Liebe Forum-Mitglieder

Man kann hier noch lange herumdiskutieren, aber eigentlich interessiert aktuell nur, wie die Betroffenen ihre Daten wieder zurückholen können. Vielleicht hat jemand einen Vorschlag?

Danke für Eure Erfahrungsberichte.

 

[Steini]

Vielleicht verfolgst du einfach mal diesen Thread und machst dir etwas Mühe die gewünschten Infos für dich herauszuziehen...

 

[Flanosch]

Wie schon gesagt. bis auf die übliche "wer-ist-jetzt-Schuld-Diskussion" habe ich hier noch kein vernünftiges Statement zum Thema, was tun wenn infiziert, gelesen.

 

[Fusion]

@Flanosch - kein vernünftiges Statement gelesen? Dann hast du aber nicht wirklich mitgelesen .
Welche Möglichkeiten gibt es denn groß? So gut wie keine...

Betroffener, alle Daten verschlüsselt > Festplatten extern löschen, DS neu aufsetzen, (Backup der Daten wiederherstellen)
Betroffener, alle Daten verschlüsselt > Überlebenswichtige Daten (wieso hat der Idiot kein Backup?), zahlen (und hoffen, dass man einen key bekommt) und damit Kriminellen Vorschub leisten, weil es ja so gut funktioniert. Danach Daten sichern und auf weiteren Befall untersuchen und dann ebenfalls frisch beginnen.
Betroffener, teil-verschlüsselt > Platten extern löschen, DS neu aufsetzen, (Backup der Daten wiederherstellen)
Betroffener, teil-verschlüsselt > Platten ausbauen, extern recovery probieren von dem was noch lesbar ist (Daten isolieren und untersuchen auf Schädlinge), System neu aufsetzen

Betroffene und alle anderen ebenfalls:
Auf die neuesten empfohlenen DSM Versionen wechseln, nur absolut nötige Dienste nach außen öffnen (evtl. auf VPN wechseln wo es geht), sich mit Thema Backup beschäftigen und vielleicht generell mal 5 Minuten die Woche mit der Verwaltung und Sicherheit der DS.

 

[Theslowman]

Ohne zynisch zu klingel @Fusion.... mit auf die Liste gehört:

- Nicht Betroffener > DSM Version prüfen und ggf. updaten/ upgraden, Ports nach draußen kontrollieren im Router.

Gruß TSM

 

[martec]

Vielleicht wurde das schon gepostet, aber es soll wohl möglich sein wieder an die Dateien zu kommen. Gibt es Erfahrungen hierzu?

http://www.melani.admin.ch/dienstleistungen/archiv/01583/index.html?lang=de
https://www.decryptcryptolocker.com/

 

[jahlives]

das dürfte kaum gehen, denn Cryptolocker wurde im Zuge einer "Operation" Tovar bereits im Juni 2014 offline genommen. Also wird die Schlüsseldatenbank kaum auf Synolocker anwendbar sein. Ausserdem uinterscheidet das Melani auch klar zwischen Synolocker und Cryptolocker. Auch die Anbieter von DeCryptlocker sagen klar, dass das nicht für alle Varianten von dieser Software geht.

 

[ottosykora]

aber es soll wohl möglich sein wieder an die Dateien zu kommen. Gibt es Erfahrungen hierzu?

suchen mag ich es jetzt gerade nicht, aber es war da jemand der es , erfolglos, versucht hat mit dem decryptolocker.

Hingegen wurde hier berichtet dass man nach der Zahlung von den 0.6 Bitcoins den Schlüssel bekommt und kann anfangen zu decodieren.

 

[Flanosch]

Weiss jemand wo ich die Infopage des Synolockers auf meiner DS wiederfinde nachdem ich meine DS upgedated habe?

 

[ottosykora]

also du hast es noch drauf?

infos was geändert wird siehe: http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

 

[Fusion]

Weiss jemand wo ich die Infopage des Synolockers auf meiner DS wiederfinde nachdem ich meine DS upgedated habe?

Kannst du das konkretisieren?

Wenn der Synolocker die DS befallen hat kannst du meines Wissens auch kein DSM-Update mehr fahren.

Also was hast du genau gemacht?

 

[goetz]

Hallo,
eine Liste der Dateien findest Du hier.

Gruß Götz

PS: zu spät

 

[Flanosch]

Hab erst mal die Portweiterleitung auf meinem Router ausgeschalten. Danach mit dem ds- Finder meine ds gesucht. Im Zuge dessen konnte ich das Upgrade machen. Ich komme nun wieder auf das ds-Interface wobei die CPU- Auslastung noch immer bei 97 % liegt. Eigentlich wollte ich mich nun " ergeben" und das Lösegeld bezahlen, da ich fürchte ich komme nie wieder an meine Daten. Irgendwie komme ich aber nicht mehr an synolocksite.

 

[KOL88]

Hey Leute,
würde euch gerne mal von meinem Fall berichten:
Habe am 6.8. gemerkt, dass es mich am 4.8. (Änderungsdatum der Dateien) erwischt hat. Keine Anmeldung über die Oberfläche möglich. Das NAS war als Netzlaufwerk in meinen Explorer eingebunden. darüber konnte ich die Ordnerstruktur weiter nutzen und alle Daten sehen. Natürlich nicht öffnen, etc. Anschließend Stecker gezogen und informiert. Dann Ports dicht gemacht. Ich habe 2 Festplatten drin, nutze RAID1, anschließend Platte2 ausgebaut. Gerät mit Platte1 gestartet. Über Resetbutton und Synology Assistent das Update auf DSM 5.0 gemacht.
NAS funktioniert wieder. Aber:
Ich krieg eine Fehlermeldung, dass das Volume fehlerhaft ist (siehe Anhang). Gehe ich auf FileStation zeigt es mir nur noch den Ordner "photo" an. Da sind noch alle Dateien von meiner PhotoStation drauf (natürlich verschlüsselt - außer eine *.png Datei). Alle anderen Ordner werden nicht mehr angezeigt. Also hab ich auch keinen Zugriff auf den Großteil der verschlüsselten Daten, die ich gerne aufheben möchte, falls man sie später doch noch wiederbeleben kann.
Anschließend habe ich die Platte2 mittels USB-Adapter an meinen PC angeschlossen. Im Explorer wird nichts angezeigt. Die Datenträgerverwaltung zeigt mir... (siehe das Bild im Anhang).
Gibt es eine Möglichkeit die irgendwie an die verschlüsselten Daten zu kommen? Wenn ja wie?
Ich habe nicht gerade viele Erfahrungen mit RAID1, Netzwerkfstplatten usw.

Zum Thema Datensicherung: 99% der Daten sind nochmal weggesichert. Es trifft bei nur die neuesten Daten (Hochzeitsvorbereitung und viele Bilder von meinem Anbau). Die habe ich 2 Monate lang nicht gesichert...

 

[Toby-ch]

Hm
Also ich weis nicht wie schnell die RAID Controller einer DS arbeiten aber RAID 1 sollte eigentlich 1:1 laufen. im 2 - 3 Sec Takt.

Das heißet wen die Date xY.Doc auf dem Master verschlüsselt wird wird die gleich danach auf das Slave Laufwerk kopiert und die Gute Datei überschrieben.
Gibt es keine Möglichkeit die Daten zu entschlüsseln, was es meines Wissens momentan noch nicht gibt .
Kannst du nur so vorgehen:
1. DS Konfig sicheren wen nicht schon gemacht
2. DS auf Werkseinstellung bringen
3. Update fahren
4. Beide Festplatten Formatieren evtl. am PC
5. HDDs einbauen
6. DS neu Konfigurieren oder Konfig einspielen
7. Backup einspielen
-------ENDE------
PS Ein RAID1 ist kein Backup
Jedenfalls nicht gegen Viren oder versehentliches Löschen nur ein Schutz im falle eines Festplatten Defekt's

Die Meldung ist normal da ja eine Festplatte Fehlt ist das RAID nicht komplett somit Fehlerhaft. Die verblieben Festplatte hat aber den Status Normal!

 

[KOL88]

OK vielen Dank schonmal.
Aber komme ich an die verschlüsselten Daten, wenn ich die 2. Platte wieder einbau?
Möchte mir zumindest die ca. 100MB aufheben falls es später eine Möglichkeit gibt wie bei Cryptolocker.

 

[Toby-ch]

KOL88
Keine Ahnung könnte sein das der Virus weiter verschlüsselt.
Hast du kein Backup? oder was möchtest du mit den 100 MB genau anfangen?
Unter Windows kannst du ohne Zusatz Software das Dateisystem EXT4 nicht öffnen
Link