SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[jahlives]

@Eckoman
und wieso sieht man z.B. auf dem Screeny von Webbuddha keinen DSM? Der Screeny aus #34 ist der einzige welcher suggeriert, dass man sich noch anmelden konnte. Woran ich aber starke Zweifel habe, denn alle anderen Screenies legen eher nahe dass der komplette DSM totgeschossen ist!

 

[Eckoman]

Klar, alles kann gefaked sein - aber welche Motivation hätte denn jemand in dieser Situation sowas zu faken, wer hätte welchen Vorteil davon?

Das hingegen würde ich mit unterschreiben. Habe ich mit meiner DS mit DSM 5.0 und allen Patchen auch erst mal gemacht.

Ich habe es sogar mit einer (natürlich) aktuellen DS gemacht die vom Internet aus nur über eine Web-Application-Firewall (Reverse Proxy) erreichbar war, sicher ist sicher.

 

[TheGardner]

...z.B. um zu einem Blogeintrag nen schönes Bild dabei zu haben! Das wäre zumindest mal ein positiv-idiotischer Hintergrund . Und da draussen gibts ne Menge Knaller, mit megaviel Zeit und Langerweile ums für sinnlosere Gründe zu machen!

 

[henning]

Was machen denn die User mit DSM3.1? Meine DS unterstützt kein höheres :-(
Ist der Fehler nur in der 4er, oder sollte ich schleunigst das Ding vim INet nehmen? Nur was machen dann meine Kunden, wenn sie auf Daten zugreifen wollen?

Ja, Backup wird natürlich regelmäßig auf externem Medium gemacht ;-)

 

[chmee]

Hey Alle. Nachdem ich die News bei heise gelesen hab, gleich mal rüber hierher, schauen, was geschrieben wird. Mir verschlägts die Sprache. Wer von Euch hat denn einen Syno-Honeypot aufgemacht um MIT SICHERHEIT zu sagen, wie der Eingriff geschieht? Bis dahin sollte jeder, der wichtige Daten auf dem Gerät hat, das Ding wie irgendmöglich vom großen Netz kappen. Was nützen die Tipps, Portzugriffe einzuschränken, wenn (a) Ihr es nicht wisst, (b) die Infektion anderer/simplerer Art ist (c) oder sogar ein 0day ist?

Wie erklärt Ihr, dass es "oOps" doch nicht gereicht hat. Daten weg, übern Jordan. Wartet doch bitte, bis Syno da n Statement macht. Ich selber warte jetzt, was Syno dazu sagen kann und vor Allem, dass sie mit nem FW-Update reagieren müssen. schleunigst.

 

[borg2k]

Was machen denn die User mit DSM3.1? Meine DS unterstützt kein höheres :-(
Ist der Fehler nur in der 4er, oder sollte ich schleunigst das Ding vim INet nehmen? Nur was machen dann meine Kunden, wenn sie auf Daten zugreifen wollen?

Ja, Backup wird natürlich regelmäßig auf externem Medium gemacht ;-)

Als Selbstständiger kannst du die Dinger doch eh wieder abschreiben, da würde ich immer ein aktuelles NAS einsetzen, d.h. wenn bei einem Gerät keine Updates mehr erscheinen muss eine neue ran, die alte kann ja im LAN als Backup-NAS verbleiben.

 

[henning]

Ja, das ist ja auch schon für September geplant. Da kommt eh neue Hardware, aber eben erst in einem Monat ;-)

 

[Frogman]

... Wer von Euch hat denn einen Syno-Honeypot aufgemacht um MIT SICHERHEIT zu sagen, wie der Eingriff geschieht? ....

Jo - das ist DIE Chance für Dich

...Bis dahin sollte jeder, der wichtige Daten auf dem Gerät hat, das Ding wie irgendmöglich vom großen Netz kappen. Was nützen die Tipps, Portzugriffe einzuschränken, wenn (a) Ihr es nicht wisst, (b) die Infektion anderer/simplerer Art ist (c) oder sogar ein 0day ist? ... Wartet doch bitte, bis Syno da n Statement macht. Ich selber warte jetzt, was Syno dazu sagen kann und vor Allem, dass sie mit nem FW-Update reagieren müssen. schleunigst.

Wie, was jetzt - trennen oder warten? Scherz beseite - bitte keine mißverständlichen Empfehlungen! Trennen ist sicher richtig, warten nicht!

 

[alexserikow]

Bevor wir von Synology nichts genaueres über den Exploit wissen würde ich sofort jedweden externen Zugriff auf die DS abklemmen, egal mit wie viel Komforteinbußen das verbunden ist. Es sei denn man hat ein sehr aktuelles Backup und scheut sich nicht die DS im Zweifelsfall neu aufzusetzen.

Genau das habe ich auch gemacht - alle Portweiterleitungen in der Fritzbox deaktiviert - sollte reichen, oder?!

 

[Frogman]

...alle Portweiterleitungen in der Fritzbox deaktiviert - sollte reichen, oder?!

yep

 

[user0572]

@alexserikow

Ja. Allerdings kannst du gleich mal checken ob dein Router und deine DS auf mit den aktuellsten Patches laufen.

 

[Benares]

Mal ne Frage in die Runde:
Warum muss eigentlich jeder zweite irgendwelche Ports offen haben, um seine ach so heiligen Daten mit der Welt zu teilen?
Was ist das? Gastfreundschaft öder Blödheit?

Für den Privatbedarf reicht doch ein funktionierender VPN-Zugang völlig.

 

[user0572]

Unwissenheit und Bequemlichkeit. Ich persönlich scheue Port-Forwarding wie der Teufel das Weihwasser.

 

[chmee]

@frogman abklemmen und hoffen/warten. Mir war wichtig zu sagen, dass alle "Thesen" momentan nichts machen außer falsche Sicherheit auszustrahlen (Ok, dann gibt es noch die "hab ich doch gesagt"-Typen).. Unglücklich sind solche Zombie-Hosts - dieser "Virus" ist quasi tödlich. Es zerstört die Idee einer Backup-Position - und ganz ehrlich, ich habe kein weiteres Backup neben meinem Raid1 DS212. Es würde mich echt kalt erwischen. Aus der Vergangenheit wissen wir, dass die Zahlung keine Restaurierung nach sich zieht. Die Daten sind, wenn erstmal verschlüsselt, weg, futsch, kaputt. Vielleicht kann man in 20 Jahren nochmal mit nem 4000x schnelleren System nen Brutforce auf den Key anwerfen...

mfg chmee

 

[beasttec]

Für den Privatbedarf reicht doch ein funktionierender VPN-Zugang völlig.

Meine Uni nutzt ein eigenes VPN Netzwerk, heißt VPN in VPN ist nicht möglich. Da bleibt mir gar nichts anderes übrig.

 

[borg2k]

Mal ne Frage in die Runde:
Warum muss eigentlich jeder zweite irgendwelche Ports offen haben, um seine ach so heiligen Daten mit der Welt zu teilen?
Was ist das? Gastfreundschaft öder Blödheit?

Für den Privatbedarf reicht doch ein funktionierender VPN-Zugang völlig.

stimmt theoretisch, nur erstens ist VPN immernoch nicht für Otto-Normalverbraucher einfach einzurichten. Ich selbst hab bei der Einrichtung von L2TP über IPsec bei Windows 7 lange gebraucht eh es funktioniert hat, mit Mac OSX hab ich es bis heute nicht hinbekommen eine Verbindung zum VPN-Server Modul der DS erfolgreich herzustellen. OpenVPN ist nochmal ne ganze Ecke schwerer einzurichten, da dort dann auch noch Zertifikate dazukommen und zum Anderen ist es nicht praktikabel für alle Dienste VPN einzurichten. Bestes Beispiel ist da iOS, da wird die VPN Verbindung im Standby jedesmal gekappt, was dann auch bedeutet dass keine Verbindung mehr zum CalDav Server auf der DS bestünde.

 

[Frogman]

@frogman abklemmen und hoffen/warten. Mir war wichtig zu sagen, dass alle "Thesen" momentan nichts machen außer falsche Sicherheit auszustrahlen (Ok, dann gibt es noch die "hab ich doch gesagt"-Typen)..

Verstehe ich nicht ganz... in Dutzenden Posts dieses Threads wird keine "falsche Sicherheit ausgestrahlt", sondern empfohlen, Ports zu schließen! Da sehe ich eher eine mißverständliche Empfehlung wie die Deine irreführend.

 

[user0572]

@borg2k

Also grundsätzlich stimme ich mit dir überein aber wer auf OSX nicht schafft den System Client mit einem Server zu verbinden kann nicht viel Ahnung haben. Außerdem kann jeder aktuelle Router inzwischen VPN und den sollte man auch nutzen bevor man ein Tor zur Hölle aufmacht.

 

[Benares]

Ich habe ne Fritzbox als Router. Da ist VPN eigentlich ganz easy.
Für mein Handy (Android) und mein iPad (WLAN im Hotel im Urlaub) reicht das dicke.
Und von der Firma aus muss ich nicht wirklich über 5 Ecken auf mein Homenet zugreifen - da hab ich anderes zu tun.

 

[Lockslay]

Hallo zusammen,
ich habe mein NAS erst einmal offline geschickt, sicher ist sicher.
Solange Synology nicht Antworte und eine Stellung dazu abgibt bleibt mein NAS vom Netz.

Gruß
Lockslay