SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.164
Punkte für Reaktionen
915
Punkte
424
@karup - solange man nicht versteht wofür welche Ports verwendet werden sollten man diese auch nicht nach außen öffnen. Tut man es trotzdem ist einem der gewonnene Komfort wohl das unbekannte Risiko wert.
Zudem öffnet man ja auch nur Ports für Dienste die man nutzen will und nicht, weil sie auf dieser Liste stehen.
 

wo_2012

Benutzer
Mitglied seit
01. Jan 2013
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Das hat doch aber nichts mit dem aktuellen Fall zu tun - und schon gar nichts mit der Aussage, encryptete Daten seien nach einer Zahlung wieder decrypted worden. Du solltest solche Aussagen mit Bedacht machen... - nach meinem Informationsstand ist das in keinem Fall erfolgt (und ich habe lange gesucht).
Irgendwie muss ja nun jemand auf die Synology gekommen sein und Software installiert haben, und Synology hat den Fix zu diesem CERT Telegramm am 27.2.14 veröffentlicht, es bestand also reichlich Zeit ....
 

b1tchnow

Benutzer
Mitglied seit
18. Jun 2014
Beiträge
169
Punkte für Reaktionen
0
Punkte
0
Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.

Ich denke hier greift die einfach Regel: Wenn Du nicht weißt, wofür der Port ist, dann brauchst Du ihn nicht.

Stell Dir die IP-Adresse als ein Haus mit Wohnadresse vor. Die IP-Adresse ist die Wohnadresse Deines Computers/ Deiner DS. Innerhalb des Hauses gibt es unterschiedliche Ansprechpartner für unterschiedliche Fragen (FTP, Webseiten, WebDav...). Diese erreichst Du über die Ports, d. h. ein Port ist ähnlich einer Raumnummer im Haus.
Wenn du kein Kind hast, interessiert Dich der Ansprechpartner für Kindergeld nicht und Du musst seine Raumnummer auch nicht kennen.

Der Port hilft dem Computer innerhalb seiner Prozesswelt, d. h. unter den laufenden Programmen, den richtigen Empfänger für das ankommende Datenpaket zu finden.

Es kann nun sein, dass ein Ansprechpartner im Haus vergessen hat seine Tür abzuschließen und sein Rechner läuft. Wenn Du nun weißt, dass in Raum XY niemand ist und der Rechner im Büro aber noch läuft, kannst Du in das Gebäude, den Raum betreten und hast plötzlich Zugriff auf das Netzwerk des Hauses. Das funktioniert aber nur in dem Raum, in dem gerade keiner ist und dessen Tür unverschlossen ist. Es sollte eigentlich keine unverschlossenen Räume geben, denn normalerweise braucht man den Schlüssel in den Raum, um reinzukommen. Es gibt aber diese Bugs in Software, die möglich machen, dass man Zugriff auf Teile des Computers bekommt, auf die man eigentlich keinen Zugriff haben sollte.

Das entspricht dem Fall, dass einer der Prozesse - der laufenden Programme - ein Problem hat und man über den Zutritt in den Raum mehr Möglichkeiten bekommt, als eigentlich gewollt. Jetzt kann der Eindringling auf dem Computer im fehlerbehafteten Raum - die Tür wäre offen - ein eigene Software installieren und so tun, was er möchte.

Dazu müssen aber mehrere Dinge passieren:
1. Der Eindringling muss in das Gebäude kommen, d. h. der Port ist nach außen geöffnet.
2. Nachdem er die Tür in den ungesicherten Raum gefunden hat, muss diese unverschlossen sein, d. h. die Software, die den Eindringling/das Datenpaket empfangt, hat einen Fehler und der Eindringling kann den Raum unbeaufsichtigt betreten.

Da wir noch nicht wissen, wie Synolock auf das System kommt, kann man auch nicht sagen, ob der Fehler in einer unverschlossenen Tür oder sonst wo liegt.

Es ist möglich, dass ein nach außen geöffneter Port schon reicht, aber wir wissen nicht ob und auch nicht welcher.

Nicht jeder Raum im Gebäude bietet die gleichen Möglichkeiten und so ist auch nicht jeder geöffnete Port ein Problem.

Man kann theoretisch alle Ports in das Internet öffnen, wenn die Software, die die darüber empfangenen Pakete auswertet, keine Fehler macht. In der Praxis ist das aber nicht der Fall und es gibt da krude Diskussionen. Die Zahl der nach außen geöffneten Ports zu minimieren verringert nur das Risiko, dass im Falle einer fehlerbehafteten Software ein Eindringling über den Port auf das System kommt. Du kannst ohne Bedenken, alle Ports öffnen, für die auf Deiner DS kein Empfänger definiert ist, denn Datenpakete an diese werden einfach weggeworfen. Das tut man natürlich alles nicht, denn man minimiert einfach die Risiken!

Ich bin ein Anhänger der Fraktion "Never use a Firewall", denn wo kein Dienst, da kein Port und wo ein Dienst, da auch ein in der Firewall geöffneter Port, aber diese Diskussion geht hier zu weit und wird auch schnell episch. :)

@Synolock-Script: Ich halte das für gefährlich, denn Synolock wird dergestalt sein, dass es automatisch neu startet. Dann liefern sich Synolock und das Slript ein Rennen und ich befürchte auf lange Sicht wird Synolock gewinnen. Man wird das aber schnell an der Systemlast merken. Mir wäre das Risiko jedenfalls zu hoch und ich würde beim Finden des Prozesses sofort ein "shutdown -h now" ausführen.
Weiterhin sollte man alle geplanten Startups deaktivieren (Wie das per Skript geht, weiß ich nicht!) und die DS nicht mehr einschalten, sondern die Platten abziehen und Daten sichern.
Wenn Synolock seinen Prozessnamen ändert, läuft das Skript ins leere.

Alles in allem ist das Skript keine gute Idee finde ich.
 
Zuletzt bearbeitet:

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
158
Punkte für Reaktionen
3
Punkte
24

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
was weiss ich, von einer weiteren verseuchten Datei, die den Aufruf macht. Vielleicht wurde irgendwo ein Binary ausgetauscht. Denn mit den beschriebenen Lücken war/ist es ja möglich auch Files zu überschreiben. Es gäbe tausend Wege. Drum finde ich persönlich das killen des Crypt Prozesses nicht so sinnvoll. Einzige sinnvolles ist wenn dieser Prozess vorhanden ist runterfahren, wie auch von Synology wärmstens empfohlen. Denn die Lücke ist ja u.U. noch offen. Also müsste man nur den Namen ersetzen und das Script läuft ins Leere.
Der/die User, die befallen sind sollen sofort runterfahren und nicht anderes. Notfalls den Stecker ziehen. Und dann den aktuellen DSM auf neuen Platten neuinstallieren. Alles andere halte ich für sehr gefährlich, weil keine (einigermassen) Sicherheit bestehen kann alle Teile der Malware erwischt zu haben
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.828
Punkte für Reaktionen
2.258
Punkte
829
Ich finde den Ansatz von jahlives richtig, die DS 'runterzufahren. Da das aber einen Moment dauert, würde ich zuvor dennoch den synocrypt-Prozess hart killen.
 

SebastianDamm

Benutzer
Mitglied seit
03. Jun 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Mein erster Beitrag wurde leider von niemandem weiter aufgenommen. Da mittlerweile ja relativ sicher ist, dass DSM5 nicht betroffen ist, fühle ich mich erst mal sicherer - dennoch möchte ich nochmal kurz darauf zurückkommen - wie sieht es mit IPv6 und/oder IPv4 via DS-Lite aus?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
wie sieht es mit IPv6 und/oder IPv4 via DS Lite aus?
Wenn jemand die relevanten Ports an einem IPv6-Anschluss für die IP der DS zugelassen hat (bspw. in der FW der Fritzbox), dann dürfte das den gleichen Effekt zur Folge haben wie an anderen IPv4-Anschlüssen - Infektionsgefahr. Bei DSLite dürfte es - da nicht einfach erreichbar von außen, da die IPv4 nicht geroutet wird - weniger Besorgnis geben.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

F3rmi0s

Benutzer
Mitglied seit
06. Aug 2014
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Ich hätte mal eine Frage bzgl. Backup.
Hätte es bei diesem Fall etwas genützt, die Daten regelmäßig auf eine USB-Platte sichern zu lassen oder wäre die einfach auch mit verschlüsselt worden?

Ich habe derzeit noch kein Backup auf einem externen Medium und will das jetzt aber ändern.
Habt ihr ein paar Tipps für eine einfache und sichere Lösung?
 

DJ Mike

Benutzer
Mitglied seit
03. Mai 2012
Beiträge
264
Punkte für Reaktionen
0
Punkte
22
Hi Mike,

ich denke, zum Thema Portfreigabe/Portweiterleitung in Routern gibt es schon genug Anleitungen. Zudem sieht das bei jedem Router wieder anders aus.

Bei einer Fritzbox 7270 wählst Du z.B. den Punkt Internet/Freigaben/Portfreigaben und erstellst dann neue Einträge. Als Beispiel hier mal eine Portweiterleitung von (extern) Port 12345 auf den Port 22 (ssh) der DiskStation. Im Feld "an IP-Adresse" muss dann die IP der DiskStation eingetragen werden.

Anhang anzeigen 18428

Wichtig ist natürlich, dass man bei einem Verbindungsaufbau von außen dafür sorgen muss, dass keine ssh-Verbindung zu Port 22, sondern zu Port 12345 aufgebaut werden soll. Dies lässt sich aber eigentlich in allen ssh-Clients konfigurieren.

Wenn Du mit einem Browser einen bestimmten Port erreichen willst, dann gibst Du den einfach hinter dem URL ein.
Beispiel: Du möchtest von außen direkt auf die DSM-Oberfläche, und zwar per HTTPS. Dazu müsste normalerweise der Port 5001 von außen erreichbar sein. Wenn Du im Router eine Weiterleitung von z.B. Port 47001 auf Port 5001 eingerichtet hast, dann gibst Du im Browser entsprechend "<URL>:47001" ein. Du sprichst also den Port 47001 an, Dein Router nimmt Deine Anfrage auf diesem Port entgegen und leitet sie intern an Deine DiskStation an Port 5001 weiter.


Danke, das Hilft bestimmt noch anderen.

Gruss Mike
 

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.828
Punkte für Reaktionen
2.258
Punkte
829
Hätte es bei diesem Fall etwas genützt, die Daten regelmäßig auf eine USB-Platte sichern zu lassen oder wäre die einfach auch mit verschlüsselt worden?

Wenn man die USB-Platte immer an der DS lässt und das Backup täglich automatisch läuft, hätte es helfen können, wahrscheinlich eher nicht (Stichwort Reaktionszeit, Wochenende). Ein externes Backup, was manuell gestartet wird nach vorherigem Check der Daten und was anschließend von der DS abgenommen wird, wäre in diesem Zusammenhang hilfreich gewesen.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Hätte es bei diesem Fall etwas genützt, die Daten regelmäßig auf eine USB-Platte sichern zu lassen oder wäre die einfach auch mit verschlüsselt worden?
Nun ja - solange die Daten nicht encrypted waren, sind sie so im externen Backup. Nach dem encrypten landen sie dann auch so dort - wer also nur eine Version dort ablegt, hätte Pech. Daher hat man gewöhnlich auch redundant zwei Iterationen im Backup - und man sollte auch vor dem Backupstart mal schauen, ob alles i.O. ist auf der DS. Wenn die Platte ohnehin ständig an der DS hängt, wäre sie vermutlich mit encrypted worden, also wertlos.
 

Siutsch

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Nun ja - solange die Daten nicht encrypted waren, sind sie so im externen Backup. Nach dem encrypten landen sie dann auch so dort - wer also nur eine Version dort ablegt, hätte Pech. Daher hat man gewöhnlich auch redundant zwei Iterationen im Backup - und man sollte auch vor dem Backupstart mal schauen, ob alles i.O. ist auf der DS. Wenn die Platte ohnehin ständig an der DS hängt, wäre sie vermutlich mit encrypted worden, also wertlos.

Das ist m.M.n. nicht korrekt.

Die NAS meines Bruders war leider befallen (zu alte DMS-Version), aufgefallen war das ganze wg. lauter Lüfter und trägem Verhalten.

Der Synolocker verschlüsselt alle Dateien auf der NAS und zwar auch die externer Festplatten, also alles, was im Dateisystem erreichbar ist.
Dabei lässt er scheinbar große Dateien außen vor (Filme, etc.), weil das verschlüsseln wohl sonst zu lange dauern würde, oder holt diese nach, verschlüsselt werden alle "normal großen" Dateien, damit der Schädling möglichst schnell möglichst viel verschlüsselt.
Zumindest hat sich dies bei ihm soweit gezeigt.

Mein Bruder hat die NAS dann nach allg. Empfehlung ausgeschaltet und die externe Platte dann an einem anderen PC geprüft, die internen Daten waren wohl bereits alle verschlüsselt.
Auf der externen war leider auch schon ne Menge im Eimer, aber nicht alles, allerdings aber nat. trotzdem zu viel! :(

Eine nächtlich laufende Datensicherung hat einem also leider in diesem Fall rein gar nichts gebracht.
Leider handhabe ich das aktuell auch nicht viel anders, außer das ich schon recht zügig die Updates mache, also schon ewig auf DSM5 bin.

Man müsste also die Platte vor einer Sicherung mounten und danach sofort wieder unmounten, damit sie nicht im Dateisystem eingebunden ist.
Leider kann man diese wohl nur durch ab-/anstecken oder Neustart der NAS wieder autom. einbinden lassen.
Folgenden Eintrag hatte ich dazu in Eurem Forum gefunden, den man viell. dazu nutzen könnte, probiert habe ich es aber bisher nicht:
http://www.synology-forum.de/showth...mit-auswerfen-und-wieder-mounten-von-USB-HDDs

Schön wäre, wenn Synology sowas optional mit einbauen würde, nicht jeder kann per Telnet oder SSH manuell Scripte erstellen und diese irgendwie einbinden.

Eine von mir bisher zus. praktizierte Lösung ist, nach wie vor ab und an manuell zu sichern und die Platte dann weiterhin auch an einem anderen Ort aufzubewahren, in dem Zusammenhang hatte ich das dann nat. auch mal wieder gemacht, die letzte Sicherung war nämlich auch schon von Februar 2014, geht zwar noch, aber auch nicht optimal, da man sowas nat. regelmäßig vergisst.

Ich überlege, ob ich eine weitere NAS (hatte eh vor eine für zus. Backup zu kaufen), die dann nat. nicht von außen erreichbar ist von einem externen PC befüllen lasse, die Synology also nicht selbst auf die weitere NAS sichern zu lassen, da diese im Zweifelsfall dann ja auch wieder von einem gehackten Gerät erreichbar wäre, sondern z.B. von meinem HTPC die Daten von der Synology abzugreifen (über eine normale Laufwerkszuordnung) und auf eine weitere zur Backup NAS zu sichern.
Diese LW-Zuordnungen könnte man dann nat. auch nur wärend der Sicherung aktiv halten, zumindest ist sowas unter Windows (8.1) für mich über eine einfache CMD-Datei oder den Taskplaner wesentlich einfacher umsetzbar, als mit Linux Scripten auf der NAS.

Diese NAS würde sogar im Nachbarhaus stehen (Schwager), ich hatte da vor Urzeiten mal ein LAN-Kabel hin verlegt, was leider nur immer noch nicht durch den Keller ins Haus verlegt wurde, was nun ebenfalls aus aktuellem Anlass nat. endlich mal umgesetzt werden soll.

Folgende Dinge hatte ich aus aktuellem Anlass dann auch mal geprüft, obwohl das meiste eh schon so umgesetzt war:

Auf der Synology:

- Unter Systemsteuerung - Sicherheit - Firewall die Quell-IPs regional auf Deutschlang beschränken, zus. den internen IP-Bereich 192.x für alles zugelassen (wusste ich noch nicht)

- Unter Systemsteuerung - Sicherheit - Automatische Blockierung aktiviert (hatte ich schon)

- Unter Systemsteuerung - Netzwerk - DSM-Einstellungen HTTPS aktivieren und HTTP auf HTTPS umleiten aktivieren
Die Synology Apps und der Web-Zugriff sollten eigentlich nicht mehr per HTTP funktionieren, nur noch per HTTPS, Passwort sollte
darin nat. nicht gespeichert werden (hatte ich schon)

- Unter Systemsteuerung - Benachrichtigung die EMail-Benachrichtigung aktivieren und unter Erweitert alle Ereignisse aktiviert
damit man über Updates/Systemfehler auch informiert wird (hatte ich schon)

- User-Bezeichnung "admin" auf der NAS geändert (neuen User mit Admin-Rechten anlegen, damit anmelden und den Admin
dann deaktivieren)



Auf der Fritz.Box:

- Standard HTTPS-Port der Fritz.Box von 443 geändert auf einen 5stelligen Port

- Eingangs-Port für die NAS von Port 5001 in der Fritz.Box auf einen 5stelligen Port geändert (auf der NAS bleibt 5001)

- User-Bezeichnung "admin" auf der Fritz.Box geändert (hatte ich schon)



Sicher kann man noch mehr machen, auf VPN hab ich aber keinen Bock, zumal hier ja auch Leute betroffen sein sollen, die nur VPN als Zugang genutzt hatten, auch da gibt es sicher Lücken.
 

WakkoTequilla

Benutzer
Mitglied seit
18. Nov 2013
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Habe ein paar Fragen
1. Wenn ich via shell auf die DS zugreife sehe ich mit "top" und "ps -w" keinen entsprechenden Prozess "synosnc" Gibt es weitere Tests?
2. Ist die Schadsoftware in jedem Fall in /etc/synolocker/ zu finden?
3. Wie lange dauert die Verschlüsselung von den Daten (also wie lange zB für 100 GB)
4. Wenn eine Infektion vorhanden ist, wann wird die gehackte Startseite gezeigt? (sofort, wenn alle Dateien verschlüsselt sind, unbekannt).
5. Mir wurde angezeigt, dass meine DS auf dem neuesten Stand ist (in der Systemsteuerung -> Update; -> falsche Info, gemäss Synology ein Anzeichen, dass ich betroffen bin). Ich konnte dann manuell von 4.2 auf die erste "nichtbetroffene" Version von 4.3 upgraden und dann auf 5.0. Angenommen, meine DS war infiziert, bin ich nun auf der sicheren Seite, oder besteht die Möglichkeit, dass sich der Cryptolocker noch irgendwo eingenistet hat?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Das ist m.M.n. nicht korrekt....
Du hast meinen Post aber schon gelesen, oder? Was ist daran nicht korrekt? Nichts anderes als das, was Du geschildert hast, habe ich geschrieben (letzter Satz)! Jeder halb Kundige weiß, dass man eine Backup-Platte nicht ständig an der DS angeschlossen läßt - denn dann wäre es im Ernstfall wertlos...
 
Zuletzt bearbeitet:

dil88

Benutzer
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.828
Punkte für Reaktionen
2.258
Punkte
829
@Siutsch: Mit dem Paket autorun geht ein manuelles Backup sehr bequem und schnell, wenn die Hardware nicht limitiert. Dass man ein manuelles Backup nur alle halbe Jahr schafft, weil es so mühsam ist, kann ich vor diesem Hintergrund nicht nachvollziehen. Richtig ist aber, dass diese Funktionalität dem DSM natürlich als Grundfunktionalität gut zu Gesicht stehen würde.
 

Siutsch

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Du hast meinen Post aber schon gelesen, oder? Was ist daran nicht korrekt? Nichts anderes als das, was Du geschildert hast, habe ich geschrieben!

Ja, sorry, hatte Deinen letzten Satz "Wenn die Platte ohnehin ständig an der DS hängt, wäre sie vermutlich mit encrypted worden, also wertlos." irgendwie überlesen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat