SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Jofy]

Hallo,

es ist doch klar, dass die keine Ports nennen (können). Die wissen selbst noch nicht, wie der Angriff durchgeführt wird.
Es kann jeder Dienst/Port das Einfallstor sein. Da momentan nicht klar ist, ob auch aktuelle Versionen betroffen sind, macht das Ganze auch nicht einfacher.
Zudem gilt: Wer keine Datensicherung hat/macht, der hat keine wichtigen Daten - Und ein NAS ist KEINE Datensicherung (Es sei denn, dass man es nur als
Datensicherungslaufwerk nutzt, was ja den Sinn eines NAS ad absurdum führt).

Wer jetzt noch sein NAS im Internet verfügbar läßt, handelt in meinen Augen grob fahrlässig.
Zu meinem NAS gibt es nur einen Zugriff aus den Intranet. Per WAN nur via VPN der Fritzbox.

Grüße
Jofy

 

[Frogman]

..Wer jetzt noch sein NAS im Internet verfügbar läßt, handelt in meinen Augen grob fahrlässig.

Ja, eben darum - und diese Empfehlung sollte auch der Hersteller zu geben den Arsch in der Hose haben - so etwas nennt sich proaktives Handeln. Nichts anderes tun allenthalben wir alle (aber manch einer hört halt eben nur auf den Hersteller und ist auch nicht unbedingt in den Foren unterwegs). Marketingseitig wieder mal keine Glanzleistung... - aber die Marketiers krümeln wahrscheinlich noch an dem letzten Mining-Klops herum.

 

[Puppetmaster]

Solange es das eigene NAS mit eigenen Daten ist, kann ich keine Fahrlässigkeit erkennen. Du mußt dir halt der Gefahren bewusst sein.
Fahrlässig wäre, wenn du es von berufs wegen für einen Kunden so aufsetzt.

 

[Frogman]

...Fahrlässig wäre, wenn du es von berufs wegen für einen Kunden so aufsetzt.

Wobei ich annehme, das Synology auch diese Zielgruppe aktuell nicht anders mit Empfehlungen versorgt wie den gemeinen Home-User.

 

[tomtom00]

Auf Facebook hat Synology nun etwas veröffentlicht.

Hello Everyone,

We'd like to give you an update regarding SynoLocker, a ransomware affecting certain Synology servers.

When trying to access DSM, it displays the following message "All important files on this NAS have been encrypted using strong cryptography", in addition to instructions for paying a fee to unlock your data.

What should you do?
If you are seeing this message when trying to login to DSM:

1-Power off the DiskStation immediately to avoid more files being encrypted

2-Contact our Support team so we can investigate further. If you are in doubt as to whether your DiskStation may be affected, please don't hesitate to contact us at security@synology.com

We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.

Our support team can be reached here: http://bit.ly/UgW2wa

Nicht wirklich was neues, aber immerhin eine erste öffentliche Stellungnahme

 

[Jofy]

Ich sehe da unabhängig davon, ob es die eigenen Daten oder die eines Kunden sind.
Siehe Definition von "fahrlässig" (http://www.duden.de/rechtschreibung/fahrlaessig)
Wobei ich hier sicherlich keine Definitions-Diskussion entfachen möchte.
Wem seine Daten nichts wert sind, kann das NAS ja online lassen.
Wer seine Daten schützen will und sich den Aufwand einer Neuinstallation sparen möchte, nimmt sein NAS vom Netz.
Ist wie beim Überholen - Bin ich mir nicht sicher, lass ich es.

Grüße
Jofy

 

[Toby-ch]

Also ich habe bei mir die Ports 5000 / 5001 / 23 / 22 Von aussen Dicht.
Weiter habe ich das Quick Connect ausgeschaltet.
Somit sollte sie von aussen nicht zu erreichen sein!
Weiter komme ich ohne Probleme an meine Daten via VPN.

 

[Eckoman]

Wem seine Daten nichts wert sind, kann das NAS ja online lassen.
Wer seine Daten schützen will und sich den Aufwand einer Neuinstallation sparen möchte, nimmt sein NAS vom Netz.

Wie oft wollen wir hier im Thread noch weitere Permutationen der selben Kernaussage posten? Frei nach dem Motto: "es wurde schon alles gesagt, nur noch nicht von jedem"

Wenn man sich den Thread hier anschaut muss man feststellen dass der Informationsgewinn mit weiterem Fortschreiten der Postings immer dünner wird.

 

[downunder07]

SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable. [...]

Quelle: https://myds.synology.com/support/support_form.php?lang=us

 

[cantor]

auf facebook hat synology nun etwas veröffentlicht.

<leicht OT>
Hmm, also auf Facebook, soso ... Auf synology.com bzw. synology.com/de-de/ - also dort, wo *ich* zuerst nachsehen würde - steht nichts. Und zu allem Überfluß werden dort auch Besucher mit deaktiviertem JS oder mit einer älteren IE-Version gnadenlos ausgesperrt. Gute Informationspolitik sieht anders aus.
</leicht OT>

 

[sorn1x]

habs portforwarding im router ausgeschaltet und das nas herunter gefahren...
alles updates sind installiert. ne txt konnte ich gerade von unterwegs normal runter laden und normal öffnen. auch war im ressourcen manager keine hohe last in der letzten woche (maximum 20% cpu last)

scheinbar habe ich auch mal glück gehabt. ich hoffe die betroffenen bekommen hilfe

 

[pumpupthejam]

An Tagen wie diesen möchte man ja fast Unitymedia für Ipv6 DS-Lite und AVM für IPv4 only VPN danken. So kam ich erst nie in die Versuchung meine Kiste - zugänglich - ins Netz zu stellen

 

[Dennis-TW]

Ich erhöhe mal das OT: Wie viele von euch waren eigentlich schon mal in Taiwan?

(...ist m.E. eine berechtigte Frage da die meisten hier anscheinend keinen Plan haben wie es oftmals in taiwanischen Unternehmen zugeht)

 

[Viennaboy]

offizielle Antwort: SynoLocker

SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now.
Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable.

If NAS is infected, first do not trust (and ignore) any unauthorized, non-Synology messages or emails. Hard shut down the DiskStation to prevent any further issues.
Contact Synology support as soon as possible by submitting a form below or email us at security@synology.com.
We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.

 

[mamuesp]

das schrieben sie auf fb vor 20min:

Das kann man schon seit drei Stunden im Synology-Forum lesen: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770#p333891

Insofern wäre es mal nett, wenn das redundante Gerausche mal abebben würde ... ;-)

 

[Frogman]

Quelle: https://myds.synology.com/support/support_form.php?lang=us

Na Mensch, ein Easter Egg ist dagegen ja so unauffällig wie 'n Gartenzwerg mit lila Mütze direkt vor'm Brandenburger Tor...

 

[tomtom00]

An Tagen wie diesen möchte man ja fast Unitymedia für Ipv6 DS-Lite und AVM für IPv4 only VPN danken. So kam ich erst nie in die Versuchung meine Kiste - zugänglich - ins Netz zu stellen

Haha genau das habe ich mir auch schon gedacht!
IPv4 Portscans haben bei mir eh gar keinen Sinn, auch wenn ich eh nicht die Standardports geöffnet habe.

 

[süno42]

Allerdings ist ein solcher Home-Server (der Ausdruck "NAS" ist m.E. nicht mehr adäquat) für bestimmte Anwendungen einfach praktisch. Ok, mit entsprechendem Wissen kann ich das Teil innerhalb eines VPNs betreiben, die Firewall dicht machen und nur wenige Dienste öffnen (irgendwie muss ich von außerhalb auch an meine Mails kommen ...). Allerdings sind die von Dir genannten Punkte absolut kontraproduktiv, und solange man noch Basteleien wie Zusatztools über IPKG dazupacken muss, ist die Sache sowieso recht wackelig.

Dank Fritzbox muß ich mir um VPN keine Gedanken machen. Aber stimmt, man muß einfach noch zuviel basteln. Auch ich wollte schon längst meine Mails auf das NAS bannen

Bloß: was gibt es für Alternativen? Den Riesenvorteil, ein relativ Energie sparendes System für alle benötigten Dienste einsetzen zu können, steht so schon wieder zur Disposition. Oder lässt sich die DSM von der Firmware befreien und eine eigene Lösung wie FreeNAS o.ä. aufspielen?
[...]

Genau da fängt das Dilemma an. Es gibt zwar mittlerweile einige schicke energiesparende Hardware, die bei 10-20 Watt mithalten kann, ist aber wieder mit viel Bastelei verbunden und vor allem mit großen Abstrichen bei der Webadministration.

Oh, ich sehe schon, ich schweife vom Thema ab…

 

[leghorn]

An Tagen wie diesen möchte man ja fast Unitymedia für Ipv6 DS-Lite und AVM für IPv4 only VPN danken. So kam ich erst nie in die Versuchung meine Kiste - zugänglich - ins Netz zu stellen

Habe bei UM IPv4, aber dennoch: YMMD

 

[hakiri]

Solche "Unfälle" passieren. Unabhängig davon, dass so etwas architekturbedingt bei der einen Firma schneller passier als bei einer anderen (z.B. dass Dienste unter root laufen wie http).
Was ich allerdings nun katastrophal finde ist das Krisen-Management. Wenn selbst heise.de schon nachfragt und nach 5 Stunden noch keine Rückmeldung in irgendeiner offiziellen Form geschehen ist, gibt mir das sehr zu denken und ich verliere sehr stark das Vertrauen.
Einige erinnern sich da vielleicht noch an das AVM Desaster und hier wurde deutlich professioneller vorgegangen in meinen Augen.
Im Moment bin ich einfach nur froh, dass meine Synology oft ausgeschaltet ist und ich bisher auch nur die Photo-Station genutzt habe. (ja auch ohne VPN für Kollegen und Freunde erreichbar)
In Zukunft werde ich KEINEN Dienst der Synology mehr nutzen und auch die Photo-Station durch koken o.ä. ersetzen.