SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[maxx922]

...bin beim Suchen auch auf das Thema hier gestoßen.

Habe gestern auch sofort mein NAS vom Netz genommen und runtergefahren.

Was mir auffällt...ähnlich wie schnitzelbrain: Meine Fritz.Box fliegt seit gestern nacht ständig raus (Verbindungsabbruch) - mit der Meldung "Authentication failed 401"...
Nach Neustart bin ich wieder 1-2 min online und dann bricht die Verbindung wieder ab...mein Provider meldet keine Störungen in meiner Gegend...

 

[yep_DD]

diese Antwort eben direkt von Syno bekommen:



Hello xxxxxxxxx,

Thank you for contacting Synology support.

From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:

http://www.synology.com/company/news/article/437

As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:

http://www.synology.com/en-global/support/tutorials/478

Hope this helps.

Best Regards,

 

[spargel]

Hallo zusammen...
Ich habe mich nun etwas durch dieses Thema gelesen, aber ehrlich gesagt nicht alle 31 Seiten.
Ist nun schon wirklich ein Fall bekannt, bei dem jemand gehackt wurde?
Schade ist, dass immer wieder vom Thema abgeschweift wird... - das macht diesen Thread beinahe unleserlich...

 

[Fusion]

@Spargel - ja, es wurden Leute gehackt sonst gäbe es diesen Thread hier gar nicht bzw. nicht in der Intensität. Es finden sich auch via Google jede Menge Systeme.

 

[Steffen78]

Ich habe nun auch erstmal alle Ports auf der Fritzbox von außen zu gemacht.
Sicher ist sicher..

Ich hab allerdings auch keine auffälligen dinge auf meiner Syno entdecken können..
Keine Loginversuche, keine auffällige CPU Last.

 

[Fusion]

Vorschlag - kopiert die aktuellsten Infos an Links, Synology-Antworten etc. in den Opening Post ...

 

[drknickel]

Vorschlag - kopiert die aktuellsten Infos an Links, Synology-Antworten etc. in den Opening Post ...

+1 Super Idee. gerade die Info das DSM 5 anscheinend nicht betroffen ist ist ja sehr viel wert.

 

[weisslein]

Hallo zusammen

Ich habe ein NAS, auf welches ich nicht mehr zugreifen kann und fast alle Dateien verschlüsselt worden sind.
Versucht man über LAN oder Internet auf das NAS einzuloggen, kommt die bekannte Meldung der Verschlüsselung.
Über die Programme, also Dateimanager, Word, Excel usw. kann man auf Verzeichnisse und Dateien zugreifen. Will man sie öffnen, kommt aber ein Fehler dass es diese nicht öffnen kann. Z.B. Word Konverter kann nicht gestartet werden. Oder Excel bringt auch eine Meldung, dass das Dateiformat nicht richtig ist.
Es gibt aber auch Dateien die noch funktionieren, also wurde nicht alles verschlüsselt. So z.b. Fotos.

Mich würden vor allem Lösungen interessieren, denn passiert ist es ja jetzt und ich wäre froh wenn ich wüsste, was ich machen kann um z.B. wieder auf das NAS zu kommen.

Bin für alle Lösungen offen.

 

[Fusion]

Alternativ einen neuen Thread für die Info-Sammlung der für Kommentare gesperrt ist und auf diesen "Kommentar-Thread" hier verweist.
Sonst gehen die Infos unter oder man muß sie x-Mal wiederholen...

 

[Fusion]

@weisslein - zu aller erst mal ausschalten und Stecker ziehen, wenn noch was zugreifbar ist. Dann kann man später noch Daten retten.
Falls du ein Backup hast kannst du erstmal abwarten, es gibt bis jetzt keine Lösung bzw. kann es in dem Fall nicht geben, wenn die Verschlüsselung ordentlich gemacht wurde. In dem Fall sind die Daten nämlich verloren.

 

[bartson]

+1 Super Idee. gerade die Info das DSM 5 anscheinend nicht betroffen ist ist ja sehr viel wert.

Aber warum sieht man dann häufig screenshots vom Synolocker auf einem DSM 5 Hintergrund? Macht mich ein wenig stutzig...

 

[Fusion]

@bartson - synology hatte ja vorsichtig formuliert. Sie habe nicht komplett ausgeschlossen, dass v5 betroffen sein könnte. Sie vermuten nur ein Einfalltor gefunden zu haben. Und nur dieses würde auf den neueren Systemen nicht funktionieren.

 

[Puppetmaster]

@weisslein:

Welche DSM Version hast du in Benutzung und was hattest du alles an Paketen/Diensten laufen?
Wie war deine DS vom Internet aus erreichbar?

 

[Waldschrat]

Seit dem ich alleine diese regionale Firewall aktiviert habe, habe ich 80% weniger Angriffsversuche ....

Ich weiss jetzt auch wieder warum ich das nicht gemacht habe, funktioniert bei mir nicht, sobald ich D, A und CH explizit zulasse bekomme ich den Hinweis, dass 'der Computer des Administrators durch eine neue Firewallregel blockiert wurde' (Zugriff definitiv aus D).
Wie fest sitze ich denn da auf dem Schlauch? Ich denke eine regionale Einschränkung für verschiedene Dienste ist generell eine gute Idee.

 

[Benares]

Ich denke, du darfst auch deine lokale IPs nicht vergessen, sonst sperrst du dich selbst aus. 192er-Nummern sind vermutlich keinem Land zugeordnet.

 

[Erkan75]

@Waldschrat
Du musst Dein Netzwerk natürlich auch erlauben!
Also zB Alle Ports, Alle Protokolle, Quell-IP 192.168.XXX.0/255.255.255.0 ZULASSEN

/edit
Und auch Dein VPN-Netzwerk nicht vergessen
So habe ich es eingestellt - im Moment nur D:

 

[weisslein]

@Puppetmaster
Ich müsste auf dem NAS nachsehen, komme ja aber nicht mehr drauf. Es ist das NAS meines Schwagers und ich mache etwas den Verwalter. Es waren bestimmt nicht die neusten Updates drauf, und ich bin über synology.me auf das NAS gekommen. Habe die Ports dafür geöffnet wie in Anleitungen beschrieben.
Ich selber habe auch ein Synology NAS, doch zum Glück bin ich nicht betroffen.

 

[goetz]

Hallo,

Aber warum sieht man dann häufig screenshots vom Synolocker auf einem DSM 5 Hintergrund? Macht mich ein wenig stutzig...

1. es ist immer der selbe Screenshot (die ich bisher gesehen habe), einer kupfert beim anderen ab
2. ist es zu 99,9% ein Fake. Wenn eine DS betroffen ist kommt man nicht mehr ins DSM, es wird nur die Synolocker-Seite als Gesamtseite angezeigt.

Gruß Götz

 

[maxx922]

Noch eine Frage an die Experten:

Habe meine Log-Datei gestern vor dem Runterfahren noch ausgelesen und folgende externe Zugriffsversuche gefunden...

Ist das normal - und bei jedem so, dass irgendwer regelmäßig versucht auf das System zuzugreifen oder habe ich hier ein Problem und das ganze steht im Zusammenhang mit dem Synolocker?

 

[Erkan75]

Hier ein aktueller Fall: http://XXX.XXX.XXX.XXX:5000/index.html