SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

rumknapser

Benutzer
Mitglied seit
02. Mai 2013
Beiträge
329
Punkte für Reaktionen
6
Punkte
24
Es versteht sich von selbst, dass hier nichts veröffentlicht werden soll (dafür gibt's PN und andere Kanäle).
Mooooment! Ich bin in der Tat sehr an den eventuell gewonnenen möglichen Informationen und auch Interpretationen von Euch interessiert!

Die Quelltexte oder Binaries werden sowieso irgendwo im Netz auftauchen, da kann sich jeder nach Bedarf bedienen, aber spannend -jedenfalls für mich- wäre auf jeden Falll eine offene (Diskussion über und während der) Analyse der erhaltenen Daten.

Dieser Thread ist schon jetzt ein Gewinn an Wissen und Einsichten über die langjährig eingeholten und erlernten Erfahrungen Eurerseits, entsprechend möchte ich nun nicht vor verschlossener Tür stehen bleiben müssen, wenn es ans Eingemachte geht...

Habt Dank!
 

Flanosch

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Diskussionen hin und her

Liebe Forum-Mitglieder

Man kann hier noch lange herumdiskutieren, aber eigentlich interessiert aktuell nur, wie die Betroffenen ihre Daten wieder zurückholen können. Vielleicht hat jemand einen Vorschlag?:rolleyes:

Danke für Eure Erfahrungsberichte.
 

Steini

Benutzer
Mitglied seit
22. Mrz 2010
Beiträge
423
Punkte für Reaktionen
1
Punkte
0
Vielleicht verfolgst du einfach mal diesen Thread und machst dir etwas Mühe die gewünschten Infos für dich herauszuziehen...
 

Flanosch

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Wie schon gesagt. bis auf die übliche "wer-ist-jetzt-Schuld-Diskussion" habe ich hier noch kein vernünftiges Statement zum Thema, was tun wenn infiziert, gelesen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@Flanosch - kein vernünftiges Statement gelesen? Dann hast du aber nicht wirklich mitgelesen .
Welche Möglichkeiten gibt es denn groß? So gut wie keine...

Betroffener, alle Daten verschlüsselt > Festplatten extern löschen, DS neu aufsetzen, (Backup der Daten wiederherstellen)
Betroffener, alle Daten verschlüsselt > Überlebenswichtige Daten (wieso hat der Idiot kein Backup?), zahlen (und hoffen, dass man einen key bekommt) und damit Kriminellen Vorschub leisten, weil es ja so gut funktioniert. Danach Daten sichern und auf weiteren Befall untersuchen und dann ebenfalls frisch beginnen.
Betroffener, teil-verschlüsselt > Platten extern löschen, DS neu aufsetzen, (Backup der Daten wiederherstellen)
Betroffener, teil-verschlüsselt > Platten ausbauen, extern recovery probieren von dem was noch lesbar ist (Daten isolieren und untersuchen auf Schädlinge), System neu aufsetzen

Betroffene und alle anderen ebenfalls:
Auf die neuesten empfohlenen DSM Versionen wechseln, nur absolut nötige Dienste nach außen öffnen (evtl. auf VPN wechseln wo es geht), sich mit Thema Backup beschäftigen und vielleicht generell mal 5 Minuten die Woche mit der Verwaltung und Sicherheit der DS.
 
Zuletzt bearbeitet:

Theslowman

Benutzer
Mitglied seit
24. Sep 2012
Beiträge
372
Punkte für Reaktionen
2
Punkte
18
Ohne zynisch zu klingel @Fusion.... mit auf die Liste gehört:

- Nicht Betroffener > DSM Version prüfen und ggf. updaten/ upgraden, Ports nach draußen kontrollieren im Router.

Gruß TSM
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
das dürfte kaum gehen, denn Cryptolocker wurde im Zuge einer "Operation" Tovar bereits im Juni 2014 offline genommen. Also wird die Schlüsseldatenbank kaum auf Synolocker anwendbar sein. Ausserdem uinterscheidet das Melani auch klar zwischen Synolocker und Cryptolocker. Auch die Anbieter von DeCryptlocker sagen klar, dass das nicht für alle Varianten von dieser Software geht.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.148
Punkte
288
aber es soll wohl möglich sein wieder an die Dateien zu kommen. Gibt es Erfahrungen hierzu?

suchen mag ich es jetzt gerade nicht, aber es war da jemand der es , erfolglos, versucht hat mit dem decryptolocker.

Hingegen wurde hier berichtet dass man nach der Zahlung von den 0.6 Bitcoins den Schlüssel bekommt und kann anfangen zu decodieren.
 

Flanosch

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Weiss jemand wo ich die Infopage des Synolockers auf meiner DS wiederfinde nachdem ich meine DS upgedated habe?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Weiss jemand wo ich die Infopage des Synolockers auf meiner DS wiederfinde nachdem ich meine DS upgedated habe?

Kannst du das konkretisieren?

Wenn der Synolocker die DS befallen hat kannst du meines Wissens auch kein DSM-Update mehr fahren.

Also was hast du genau gemacht?
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.160
Punkte für Reaktionen
407
Punkte
393
Hallo,
eine Liste der Dateien findest Du hier.

Gruß Götz

PS: zu spät
 

Flanosch

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hab erst mal die Portweiterleitung auf meinem Router ausgeschalten. Danach mit dem ds- Finder meine ds gesucht. Im Zuge dessen konnte ich das Upgrade machen. Ich komme nun wieder auf das ds-Interface wobei die CPU- Auslastung noch immer bei 97 % liegt. Eigentlich wollte ich mich nun " ergeben" und das Lösegeld bezahlen, da ich fürchte ich komme nie wieder an meine Daten. Irgendwie komme ich aber nicht mehr an synolocksite.
 

KOL88

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Hey Leute,
würde euch gerne mal von meinem Fall berichten:
Habe am 6.8. gemerkt, dass es mich am 4.8. (Änderungsdatum der Dateien) erwischt hat. Keine Anmeldung über die Oberfläche möglich. Das NAS war als Netzlaufwerk in meinen Explorer eingebunden. darüber konnte ich die Ordnerstruktur weiter nutzen und alle Daten sehen. Natürlich nicht öffnen, etc. Anschließend Stecker gezogen und informiert. Dann Ports dicht gemacht. Ich habe 2 Festplatten drin, nutze RAID1, anschließend Platte2 ausgebaut. Gerät mit Platte1 gestartet. Über Resetbutton und Synology Assistent das Update auf DSM 5.0 gemacht.
NAS funktioniert wieder. Aber:
Ich krieg eine Fehlermeldung, dass das Volume fehlerhaft ist (siehe Anhang). Gehe ich auf FileStation zeigt es mir nur noch den Ordner "photo" an. Da sind noch alle Dateien von meiner PhotoStation drauf (natürlich verschlüsselt - außer eine *.png Datei). Alle anderen Ordner werden nicht mehr angezeigt. Also hab ich auch keinen Zugriff auf den Großteil der verschlüsselten Daten, die ich gerne aufheben möchte, falls man sie später doch noch wiederbeleben kann.
Anschließend habe ich die Platte2 mittels USB-Adapter an meinen PC angeschlossen. Im Explorer wird nichts angezeigt. Die Datenträgerverwaltung zeigt mir... (siehe das Bild im Anhang).
Gibt es eine Möglichkeit die irgendwie an die verschlüsselten Daten zu kommen? Wenn ja wie?
Ich habe nicht gerade viele Erfahrungen mit RAID1, Netzwerkfstplatten usw.

Zum Thema Datensicherung: 99% der Daten sind nochmal weggesichert. Es trifft bei nur die neuesten Daten (Hochzeitsvorbereitung und viele Bilder von meinem Anbau). Die habe ich 2 Monate lang nicht gesichert...
 

Anhänge

  • Datenträgerverwaltung.jpg
    Datenträgerverwaltung.jpg
    19,1 KB · Aufrufe: 155
  • Volume.JPG
    Volume.JPG
    83,3 KB · Aufrufe: 154

Toby-ch

Benutzer
Mitglied seit
02. Okt 2013
Beiträge
453
Punkte für Reaktionen
18
Punkte
18
Hm
Also ich weis nicht wie schnell die RAID Controller einer DS arbeiten aber RAID 1 sollte eigentlich 1:1 laufen. im 2 - 3 Sec Takt.
220px-RAID_1.svg.png
Das heißet wen die Date xY.Doc auf dem Master verschlüsselt wird wird die gleich danach auf das Slave Laufwerk kopiert und die Gute Datei überschrieben.
Gibt es keine Möglichkeit die Daten zu entschlüsseln, was es meines Wissens momentan noch nicht gibt .
Kannst du nur so vorgehen:
1. DS Konfig sicheren wen nicht schon gemacht
2. DS auf Werkseinstellung bringen
3. Update fahren
4. Beide Festplatten Formatieren evtl. am PC
5. HDDs einbauen
6. DS neu Konfigurieren oder Konfig einspielen
7. Backup einspielen
-------ENDE------
PS Ein RAID1 ist kein Backup
Jedenfalls nicht gegen Viren oder versehentliches Löschen nur ein Schutz im falle eines Festplatten Defekt's

Die Meldung ist normal da ja eine Festplatte Fehlt ist das RAID nicht komplett somit Fehlerhaft. Die verblieben Festplatte hat aber den Status Normal!
 

KOL88

Benutzer
Mitglied seit
11. Aug 2014
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
OK vielen Dank schonmal.
Aber komme ich an die verschlüsselten Daten, wenn ich die 2. Platte wieder einbau?
Möchte mir zumindest die ca. 100MB aufheben falls es später eine Möglichkeit gibt wie bei Cryptolocker.
 

Toby-ch

Benutzer
Mitglied seit
02. Okt 2013
Beiträge
453
Punkte für Reaktionen
18
Punkte
18
KOL88
Keine Ahnung könnte sein das der Virus weiter verschlüsselt.
Hast du kein Backup? oder was möchtest du mit den 100 MB genau anfangen?
Unter Windows kannst du ohne Zusatz Software das Dateisystem EXT4 nicht öffnen
Link
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat