SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

maxx922

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
...bin beim Suchen auch auf das Thema hier gestoßen.

Habe gestern auch sofort mein NAS vom Netz genommen und runtergefahren.

Was mir auffällt...ähnlich wie schnitzelbrain: Meine Fritz.Box fliegt seit gestern nacht ständig raus (Verbindungsabbruch) - mit der Meldung "Authentication failed 401"...
Nach Neustart bin ich wieder 1-2 min online und dann bricht die Verbindung wieder ab...mein Provider meldet keine Störungen in meiner Gegend...
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0

spargel

Benutzer
Mitglied seit
15. Sep 2009
Beiträge
146
Punkte für Reaktionen
0
Punkte
16
Hallo zusammen...
Ich habe mich nun etwas durch dieses Thema gelesen, aber ehrlich gesagt nicht alle 31 Seiten.
Ist nun schon wirklich ein Fall bekannt, bei dem jemand gehackt wurde?
Schade ist, dass immer wieder vom Thema abgeschweift wird... - das macht diesen Thread beinahe unleserlich...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@Spargel - ja, es wurden Leute gehackt sonst gäbe es diesen Thread hier gar nicht bzw. nicht in der Intensität. Es finden sich auch via Google jede Menge Systeme.
 

Steffen78

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
6
Ich habe nun auch erstmal alle Ports auf der Fritzbox von außen zu gemacht.
Sicher ist sicher..

Ich hab allerdings auch keine auffälligen dinge auf meiner Syno entdecken können..
Keine Loginversuche, keine auffällige CPU Last.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Vorschlag - kopiert die aktuellsten Infos an Links, Synology-Antworten etc. in den Opening Post ...
 

weisslein

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen

Ich habe ein NAS, auf welches ich nicht mehr zugreifen kann und fast alle Dateien verschlüsselt worden sind.
Versucht man über LAN oder Internet auf das NAS einzuloggen, kommt die bekannte Meldung der Verschlüsselung.
Über die Programme, also Dateimanager, Word, Excel usw. kann man auf Verzeichnisse und Dateien zugreifen. Will man sie öffnen, kommt aber ein Fehler dass es diese nicht öffnen kann. Z.B. Word Konverter kann nicht gestartet werden. Oder Excel bringt auch eine Meldung, dass das Dateiformat nicht richtig ist.
Es gibt aber auch Dateien die noch funktionieren, also wurde nicht alles verschlüsselt. So z.b. Fotos.

Mich würden vor allem Lösungen interessieren, denn passiert ist es ja jetzt und ich wäre froh wenn ich wüsste, was ich machen kann um z.B. wieder auf das NAS zu kommen.

Bin für alle Lösungen offen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
Alternativ einen neuen Thread für die Info-Sammlung der für Kommentare gesperrt ist und auf diesen "Kommentar-Thread" hier verweist.
Sonst gehen die Infos unter oder man muß sie x-Mal wiederholen...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@weisslein - zu aller erst mal ausschalten und Stecker ziehen, wenn noch was zugreifbar ist. Dann kann man später noch Daten retten.
Falls du ein Backup hast kannst du erstmal abwarten, es gibt bis jetzt keine Lösung bzw. kann es in dem Fall nicht geben, wenn die Verschlüsselung ordentlich gemacht wurde. In dem Fall sind die Daten nämlich verloren.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@bartson - synology hatte ja vorsichtig formuliert. Sie habe nicht komplett ausgeschlossen, dass v5 betroffen sein könnte. Sie vermuten nur ein Einfalltor gefunden zu haben. Und nur dieses würde auf den neueren Systemen nicht funktionieren.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
@weisslein:

Welche DSM Version hast du in Benutzung und was hattest du alles an Paketen/Diensten laufen?
Wie war deine DS vom Internet aus erreichbar?
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24
Seit dem ich alleine diese regionale Firewall aktiviert habe, habe ich 80% weniger Angriffsversuche ....

Ich weiss jetzt auch wieder warum ich das nicht gemacht habe, funktioniert bei mir nicht, sobald ich D, A und CH explizit zulasse bekomme ich den Hinweis, dass 'der Computer des Administrators durch eine neue Firewallregel blockiert wurde' (Zugriff definitiv aus D).
Wie fest sitze ich denn da auf dem Schlauch? Ich denke eine regionale Einschränkung für verschiedene Dienste ist generell eine gute Idee.

Ohne Region.jpgMit Region.jpgFehler.jpgaktuelle IP.jpg
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Ich denke, du darfst auch deine lokale IPs nicht vergessen, sonst sperrst du dich selbst aus. 192er-Nummern sind vermutlich keinem Land zugeordnet.
 

Erkan75

Benutzer
Mitglied seit
20. Sep 2013
Beiträge
104
Punkte für Reaktionen
3
Punkte
18
@Waldschrat
Du musst Dein Netzwerk natürlich auch erlauben!
Also zB Alle Ports, Alle Protokolle, Quell-IP 192.168.XXX.0/255.255.255.0 ZULASSEN

/edit
Und auch Dein VPN-Netzwerk nicht vergessen :)
So habe ich es eingestellt - im Moment nur D:
 

Anhänge

  • Unbenannt.jpg
    Unbenannt.jpg
    73 KB · Aufrufe: 284
Zuletzt bearbeitet:

weisslein

Benutzer
Mitglied seit
05. Aug 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
@Puppetmaster
Ich müsste auf dem NAS nachsehen, komme ja aber nicht mehr drauf. Es ist das NAS meines Schwagers und ich mache etwas den Verwalter. Es waren bestimmt nicht die neusten Updates drauf, und ich bin über synology.me auf das NAS gekommen. Habe die Ports dafür geöffnet wie in Anleitungen beschrieben.
Ich selber habe auch ein Synology NAS, doch zum Glück bin ich nicht betroffen.
 

goetz

Super-Moderator
Teammitglied
Sehr erfahren
Mitglied seit
18. Mrz 2009
Beiträge
14.164
Punkte für Reaktionen
412
Punkte
393
Hallo,
Aber warum sieht man dann häufig screenshots vom Synolocker auf einem DSM 5 Hintergrund? Macht mich ein wenig stutzig...
1. es ist immer der selbe Screenshot (die ich bisher gesehen habe), einer kupfert beim anderen ab
2. ist es zu 99,9% ein Fake. Wenn eine DS betroffen ist kommt man nicht mehr ins DSM, es wird nur die Synolocker-Seite als Gesamtseite angezeigt.

Gruß Götz
 

maxx922

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Noch eine Frage an die Experten:

Habe meine Log-Datei gestern vor dem Runterfahren noch ausgelesen und folgende externe Zugriffsversuche gefunden...

Ist das normal - und bei jedem so, dass irgendwer regelmäßig versucht auf das System zuzugreifen oder habe ich hier ein Problem und das ganze steht im Zusammenhang mit dem Synolocker?

zugriffe.jpg
 

Erkan75

Benutzer
Mitglied seit
20. Sep 2013
Beiträge
104
Punkte für Reaktionen
3
Punkte
18
Zuletzt bearbeitet von einem Moderator:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat