SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[alexserikow]

ich hab jetzt doch erstmal meine DS komplett vom Netz genommen! Hoffe das es bald eine offizielle Stellungnahme gibt...

 

[Zeyda2]

Hallo
Ja leider auch bei mir das selbe Problem.
Habe ein DS 412+ und kann seit heute nicht mehr auf meine Daten zugreifen.
Im Netzwerk waren die Laufwerke nur sehr langsam erreichbar. Als ich versucht habe einfach den Server über die Administration neu zu starten, habe ich die o.a. Meldung des SynLocker
erhalten.
Da sich der Server auch nicht ausschalten ließ habe ich den Stecker gezogen.
Seitdem kann die DS mit den betroffenen Festplatten nicht booten. Mit einer jungfräulichen Festplatte lässt sich der Server jedoch neu aufsetzen.
Wie komme ich zu meinen wirklich wichtigen Firmendaten?

 

[NEMA]

....und Admin-Zugang mit ner 2-Wege-Auth versehen! Jeder hier hat nen Smartphone und alle (Android, Windows-Phone und iOS) haben die Authentifikator App!

Sorry, aber es hat auch die "normalen" Anwender hier... Ich oute mich als so einer...

Wie versehe ich eine 2-Wege-Auth für den Admin-Zugang?

Danke an euch Spezialisten!

NEMA

 

[KlausKaa]

Wie komme ich zu meinen wirklich wichtigen Firmendaten?

Willkommen im Forum.

Ich fürchte, da hilft nur ein aktuelles Backup (siehe auch die Meldung bei heise.de)

 

[Waldschrat]

Ähm, wie jetzt? Wenn die Daten denn erstmal verschlüsselt sind, sind sie verschlüsselt - was willst Du da beenden? Und da die CPU das System beim Verschlüsseln mächtig in Anspruch nimmt, wirst Du aufgrund der Trägheit da nicht wirklich gut herankommen, zumal der Prozess erst einmal gefunden werden müsste.

Ist natürlich nur präventiv möglich. Ich kenne den Verschlüsselungsdienst der Syno nicht, wenn ich aber davon ausgehe, dass der Trojaner den internen Dienst der Syno verwendet müsste es doch möglich sein, diesen Dienst per Namen mit ps | grep zu finden. Aufruf als Script mit & im Hintergrund. Beim Finden killen mit Nachricht an den Admin der die Syno dann vom Netz nimmt/ausschaltet/...

 

[gizmo21]

Hallo
Ja leider auch bei mir das selbe Problem.
Habe ein DS 412+ und kann seit heute nicht mehr auf meine Daten zugreifen.
Im Netzwerk waren die Laufwerke nur sehr langsam erreichbar. Als ich versucht habe einfach den Server über die Administration neu zu starten, habe ich die o.a. Meldung des SynLocker
erhalten.
Da sich der Server auch nicht ausschalten ließ habe ich den Stecker gezogen.
Seitdem kann die DS mit den betroffenen Festplatten nicht booten. Mit einer jungfräulichen Festplatte lässt sich der Server jedoch neu aufsetzen.
Wie komme ich zu meinen wirklich wichtigen Firmendaten?

welche Firmware-Version war denn drauf?

 

[yep_DD]

Wäre es nicht sinnvoll, wenn jeder Betroffene folgende Daten mit angibt:

- DSM Version
- Offene Ports
- Freigegeben über UPNP / EZInternet / Portfreigabe Router
- Verwendete Dienste

Grüße

 

[Zeyda2]

ich bin mir nicht ganz sicher aber ich habe die letzen beiden Monate kein Update gemacht.

 

[jan_gagel]

welche Firmware-Version war denn drauf?

und wie war die DS vom Internet her erreichbar, also welche Portweiterleitungen gab es?

 

[Frogman]

...Ich kenne den Verschlüsselungsdienst der Syno nicht, wenn ich aber davon ausgehe, dass der Trojaner den internen Dienst der Syno verwendet müsste es doch möglich sein, diesen Dienst per Namen mit ps | grep zu finden. ...

Da wird wohl nicht die interne Verschlüsselung benutzt, sondern ein AES-256-Algorithmus mit RSA-Schlüssel. Das System von sich aus läßt auch das nachträgliche Verschlüsseln der kompletten Nutzdaten gar nicht zu, daher dürfte hier eine systemfremde Software zum Einsatz kommen.

 

[Zeyda2]

Frei über das Port 5000 bzw 5001

 

[yep_DD]

@Zeyda2, das heißt aber auf jedenfall DSM5 nehme ich mal an, oder?

 

[TheGardner]

Sorry, aber es hat auch die "normalen" Anwender hier... Ich oute mich als so einer...

Wie versehe ich eine 2-Wege-Auth für den Admin-Zugang?

Danke an euch Spezialisten!

NEMA

Du hast bei jedem User oben rechts doch den Knopf zum Abmelden! Der Admin hat dort auch noch die Punkte Neustarten und Herunterfahren! Jeder User wiederum hat dort noch den Punkt Optionen! Dahinter gibts auf der ersten Registerkarte den Punkt Zwei-Wege-Auth.

Der Zwei Wege Auth ist praktisch Deine bisherige Anmeldung aus Benutzername (admin) und Passwort UND (jetzt neu) einer 6-stelligen ID, welche sich jede Minute ändert! Diese ID musst Du immer parat haben - und wo geht das am besten, als auf dem Handy!

Einfach mal den Punkt unter Optionen Schritt für Schritt durchgehen (man muss ihn ja nicht abschließen) und sich das anschauen! Android, iOS oder Windows-Phone Smartphone dabei griffbereit liegen haben!

 

[Zeyda2]

@yep DD ich gehe davon aus ja

 

[NEMA]

Ganz herzlichen DANK, lieber TheGardner!!!NEMA

 

[Stinka]

Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?

 

[Zeyda2]

Würde es sin machen auf die Erpressung einzugehen und zu zahlen?
Das Problem ist, dass ich diese Meldung nicht mehr habe da ich nicht mehr auf die Daten zugreifen kann.

 

[Frogman]

Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?

Das kann Dir mit Sicherheit aktuell niemand sagen! Wie oben schon angedeutet - man sollte nur das freigeben, was man überhaupt braucht, und aktuell nach Möglichkeit erst einmal nichts, bis die Umstände geklärt sind.

Würde es sin machen auf die Erpressung einzugehen und zu zahlen?.

Die Erfahrung anderer - wie ich oben schon geschrieben hatte - sowie die Empfehlung des BKA in solchen Fällen sagen eindeutig nein.

 

[jahlives]

@zeyda
darfst es gerne probieren und berichten. Sei einfach nicht enttäuscht wenn du den Schlüssel nicht bekommst. Ich als Bösewicht würde mich hüten mit dem Opfer zu kommunizieren. Drum würde ich mir keine grossen Chancen ausrechnen, dass man den korrekten Schlüssel wirklich bekommt.

 

[Zeyda2]

dachte ich mir schon