SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[chmee]

@frogman
..habe sie im nächsten Post doch nachgebessert.. "ports zu schließen".. welche?! Alle bis auf einen? Allein die Frage, ob Port XY geschlossen werden sollte oder zB per https sicher ist, ist keine Hilfe. Wissen wir schon, auf welchem Port, mit welchem Exploit der Zugriff durchgeführt wird? Die einzig anständige Aussage ist doch, alle Ports zu schließen - so blöd es auch klingt, sogar der indirekte Zugriff via Rechner und Webkonsole könnte möglich sein. Man sollte sich nur bewusst sein, dass, wenn es erst passiert ist, die Daten 100%ig weg sind.

 

[dany]

Laut heise.de wird in kürze eine News von Synology folgen. Dann wissen wir mehr. Alles andere ist Spekulation wie/wer rein gekommen ist.

Gruss Dany

Update vom 04.08.14, 14:45: Synology hat uns gegenüber angekündigt, hierzu in Kürze in offizielles Statement zu veröffentlichen

 

[diver68]

Wie ich Eingangs schon schrieb. Erst mal Stecker aus der Wand und auf ein offizielles Statement warten. Alles Andere (welche Ports wann wo und wohin) ist reine Spekulation, solange man noch nicht weiß um was/wen es sich handelt.

 

[Oceanwaves]

Unglücklich sind solche Zombie-Hosts - dieser "Virus" ist quasi tödlich. Es zerstört die Idee einer Backup-Position - und ganz ehrlich, ich habe kein weiteres Backup neben meinem Raid1 DS212. Es würde mich echt kalt erwischen.

Ein NAS ist ein NAS und kein Backup. Sicher, man könnte es auch als Backup-Medium verwenden, aber dann hat es nichts im Internet verloren.

 

[Iarn]

Habe im Netz eine mögliche Notlösung für betroffene Maschinen gefunden
1.Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.

Bin da nicht der Urheber aber es klingt halbwegs logisch so vorzugehen. Besser als nichts.

 

[chmee]

@Oceanwaves
Nun, willst Du den Kunden vorwerfen, dass sie auf die "eierlegende Wollmilchsau"-PR reinfallen und ihre Syno als Netzplatte, Backup, als VPN-Base und als ftp-Host nutzen? Unnötig, oder?

 

[e876zh239]

@Iarn:
Die Lösung wurde HIER schon genannt, löst aber auch nicht das Problem der weiterhin verschlüsselten Daten, leider.

Ich hab auch alle Ports im Router geschlossen. Waren bei mir nur 5001 und 6690. Aber sicher ist sicher.
Gruß

 

[Matthieu]

Bin da nicht der Urheber aber es klingt halbwegs logisch so vorzugehen.

Deswegen ist es immer gut bei sowas die Quelle anzugeben, denn so ist es auch kein Zitat (Kopf meets Tischplatte).

MfG Matthieu

 

[e876zh239]

HIER die mutmaßliche Quelle von Iarns vorgehen.

 

[_Homer_]

und hier eine offizielle Aussage im englischen Forum zu Sofortmaßnahmen (Diskstation abschalten, damit nicht noch mehr Daten verschlüsselt werden und Kontakt mit Synolgy aufnehmen)

 

[mysticc]

Syno wurde ausgeschaltet. Was hilft das Grübeln ob dieses oder jenes genug ist - vor allem da man noch nicht weiß über welchen Weg sich Zugang verschafft wurde.
Ausschalten ist definitiv genug.
Und nun warten was von Synology kommt.

 

[Dennis-TW]

Hui .... und sowas wenn man 10.000 km von seiner DS entfernt sitzt

Zum Glück nichts passiert und jetzt erstmal alle Freigaben deaktiviert. Man gut, dass ich mich vor dem Abflug noch in openVPN eingearbeitet habe.

 

[Erebus]

Man gut, dass ich mich vor dem Abflug noch in openVPN eingearbeitet habe.

Was natürlich auch genau das einfallstor sein kann :-D

 

[dil88]

Und gut, wenn man sich trotz Reise auf dem Laufenden hält. Zeit spielt bei so unerfreulichen Themen wie diesem eine nicht unerhebliche Rolle.

 

[süno42]

Moin,

allen hier, deren Daten verschlüsselt wurden, mein Beileid. Man kann es leider nicht oft genug sagen, und es wurde auch schon so oft hier diskutiert: Ein simples NAS gehört einfach nicht ins Internet. Mittlerweile sollte bekannt sein…

• Im DSM ist ein Haufen veralteter Software vergraben
• Synology hat es bis heute nicht geschafft, ein ordentliches Patchmanagement auf die Beine zu stellen
• Updates sind immer noch nicht digital signiert (man möge mich korrigieren, falls es sich doch bereits geändert hat)
• Dienste laufen unnötigerweise größtenteils mit Root-Rechten (was bei Standard-Linux-Distributionen nicht der Fall ist)
• Synology hat einige proprietäre Treiber integriert, deren Nutzen nicht immer klar ist bzw. geheim gehalten wird
• Synology ist durch fest kodierte Standardpaßwörter negativ aufgefallen
• Synology verlangt im Supportfall Zugriff über Telnet
• Die Diskstation funkt regelmäßig über HTTP einen Ping-Server in Asien an
• Softwareaktualisierungen werden ohne Changelog ausgeliefert
• In der Vergangenheit: diverse Pufferüberläufe, Directory-Traversal-Lücken, … in unterschiedlichen Webdiensten
• Allseits bekannte Standardlücken von Webanwendungen sind/waren in der Weboberfläche verbaut
• ...

Meine Wahrnehmung ist, daß Synology aus bereits vergangenen Sicherheitsvorfällen nichts gelernt hat bzw. keine Investitionen in verbesserte Sicherheit tätigen möchte. Sicherheit kostet nun mal Geld. Genauso werden Tips aus Anwenderkreisen nicht umgesetzt. Im Gegenteil, immer neue Funktionen (Verkaufsargument) und halbgare Software scheinen wichtiger zu sein (Billiger. Software reift beim Kunden, wenn sie denn nicht schon vorher anfängt zu schimmeln).

So, wer mag zuerst draufhauen?


Viele Grüße,
Süno42

 

[dil88]

Deine Argumente sind stichhaltig. Allerdings habe ich schon den Eindruck, dass sich bei Synology bereits etwas geändert hat und dass sich zukünftig noch mehr ändern wird. Es geht etwas langsam, aber ich habe dennoch die Hoffnung, dass da schon Schritt für Schritt ein substantielles Verständnis entsteht. Und das ist - da bin ich vollkommen Deiner Meinung - auch dringend erforderlich. Wir werden sehen, welchen Kurs Synology einschlagen wird.

 

[Frogman]

und hier eine offizielle Aussage im englischen Forum zu Sofortmaßnahmen (Diskstation abschalten, damit nicht noch mehr Daten verschlüsselt werden und Kontakt mit Synolgy aufnehmen)

Nun ja - wenn auch nicht offiziell, aber den Hinweis haben andere und ich auch bereits gestern Abend gegeben. Ich find's allerdings schon schade, dass dort von offizieller Seite - wie im Folgenden dann auch von Usern gefragt - nicht auch Hinweise kommen für diejenigen, die (bisher) nicht betroffen sind, wie bspw. Ports schließen.

 

[Iarn]

Deswegen ist es immer gut bei sowas die Quelle anzugeben, denn so ist es auch kein Zitat (Kopf meets Tischplatte).

MfG Matthieu

Ich hatte es aus dem xpenology Forum. Links auf dieses Forum sind hier normal nicht gerne gesehen.

 

[Puppetmaster]

Für mein Handy (Android) und mein iPad (WLAN im Hotel im Urlaub) reicht das dicke.

Genau aus dem Grund halte ich VPN eben auch nicht für die eierlegende Wollmilchsau, denn viel zu oft habe ich schon Wochen in einem Hotel mit WLAN aber ohne Möglichkeit, über VPN zuzugreifen, zugebracht.

 

[mamuesp]

Moin,
So, wer mag zuerst draufhauen?

Warum draufhauen, wenn jemand die Wahrheit sagt? Das muss ja wohl gesagt werden dürfen ...

Allerdings ist ein solcher Home-Server (der Ausdruck "NAS" ist m.E. nicht mehr adäquat) für bestimmte Anwendungen einfach praktisch. Ok, mit entsprechendem Wissen kann ich das Teil innerhalb eines VPNs betreiben, die Firewall dicht machen und nur wenige Dienste öffnen (irgendwie muss ich von außerhalb auch an meine Mails kommen ...). Allerdings sind die von Dir genannten Punkte absolut kontraproduktiv, und solange man noch Basteleien wie Zusatztools über IPKG dazupacken muss, ist die Sache sowieso recht wackelig.

Bloß: was gibt es für Alternativen? Den Riesenvorteil, ein relativ Energie sparendes System für alle benötigten Dienste einsetzen zu können, steht so schon wieder zur Disposition. Oder lässt sich die DSM von der Firmware befreien und eine eigene Lösung wie FreeNAS o.ä. aufspielen? Ok, das ist etwas ketzerisch, aber eine solche Überlegung sollte bei der zweiten großen Attacke in kurzer Zeit (die BitCoin-Heinis haben damals auch auf meinem System rumgeschrubbt ... zu der Zeit hatte ich versäumt, den VPN only Betrieb des NAS auch konsequent durchzuziehen) durchaus legitim sein ...