SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Frogman]

ich frage mich gerade, was an der email so schwer zu verstehen ist? es wird keiner direkt angesprochen, sondern es ist eine allgemeine rundmail. Soweit ich weiss gibt es begriffe wie "eure", im dem sinn nicht im englischen.

Dann wirf doch noch einmal einen Blick in's englische Wörterbuch - es geht nicht allein um "your", sondern um "...vulnerabilities on the software currently installed on your Synology product."! Übersetzt: "...Verwundbarkeit in der Software, die aktuell auf Ihrem Synology-Produkt installiert ist".

 

[Der_Broker]

Danke für diesen hilfreichen Link. Aber jetzt mal blöd gefragt: Wenn ich mir die Dateiendungen ansehe, dann finde ich z.B. kein .doc, .jpg oder .xls. Wären diese Dateien dann verschont gewesen? Scheinbar ja nicht.

Welche Dateiendung haben denn die Dateien der verschlüsselten Freigaben? Wären die dann gemäß dieser Liste betroffen?

Es sind alle Dateiendungen eingeschlossen, die mit den aufgelisteten Buchstaben anfangen, heißt: *.do schließt *.doc, *.docx, *.dot,... mit ein; genauso ist es z.B. mit *.jp...

 

[goetz]

Hallo,

Mit Muster meinst du ob zb Word- oder JPG-Datei? Ist das nicht ein großer Aufwand?

Das würde doch nur mit angehängten Freigaben funktionieren, da der Key vom Nutzer bereits hinterlegt worden ist?
Bei nicht angehängten Freigaben kann er das Muster der Datei gar nicht erst analysieren, da er sie ohne vorhandenen Schlüssel gar nicht öffnen kann.

es wird doch sowieso das gesamte Filesystem nach den Mustern (.do* .jp* usw) durchsucht und dann ist es doch egal ob es ein verschlüsselter oder unverschlüsselter Dateiname ist, Treffer ist Treffer.

----------  1 root root 65536 2014-02-06 21:02 ECRYPTFS_FNEK_ENCRYPTED.FXZ2NpMak2gChkaggCBshfSkFVbNR4SRIu-GhyPihhdFFpDEtQFbSsjoUxT3ZqRlZbkDJIZjC95dglU-

würde nicht neu verschlüsselt werden da kein Muster im Dateinamen zutrifft. Wäre .fx* dabei so würde die Datei verschlüsselt werden.

Gruß Götz

 

[DJ Mike]

Etwas Offtopic

Wo kann man ein Topic abbestellen vorallem dieses Thema, das man keine eMails mehr bekommt ?

Habe Heute bereits wieder über 25 Mails gelöscht.


Gruss Mike

rechts oben über dem Thread, Themen-Optionen

Danke

 

[Fusion]

rechts oben über dem Thread, Themen-Optionen

 

[snowbeachking]

Danke für die Aufklärung.

 

[Fusion]

Noch eine Anmerkung zu den emails von Synology.

Da gibt es wohl mehrere verschiedene (Betreff wurde bei den Postings glaube ich ausgelassen):

Important security message regarding SynoLocker
Paar Infos zum SynoLocker und die schon genannten empfohlenen DSM Version. Danach noch ein Hinweis auf Download-Center.

Important message regarding DDNS and QuickConnect services
In dieser hier kommt das berüchtigte "your" vor und direkt der Hinweise aufs Download-Center

Die neueste Version bleibt aber DSM 5.0-4493 Update 3 (da findet sich auch im Download-Center nix Neues).
Was die fast schon beiläufige Erwähnung von DDNS und QuickConnect im Betreff bedeuten soll wird verschwiegen. Wäre aber durchaus möglich, dass hier nicht nur einfach das Netz nach offenen Synos gescannt wurde sondern zusätzlich der Webdienst direkt auf den Syno-Servern angegriffen wurde und sich der Opferkreis dadurch noch erweitert hat.
Bleibt allerdings Spekulation (aber zu QuickConnect und MyDS gab es ja auch diverse Threads in der letzen Woche)

 

[luddi]

Die neueste Version bleibt aber DSM 5.0-4493 Update 3 (da findet sich auch im Download-Center nix Neues).

Sehr merkwürdig ist, dass man im Download-Zentrum aktuell nicht das Update 3 bekommt sondern schlicht DSM 5.0-4493 ( Version : DSM 5.0-4493; Datum des Builds : 2014-06-04 ).

In der Mail von Synology wird nicht Update 3 aufgeführt sondern es ist nur von 4493 die Rede.

We strongly suggest you install the newest version of DSM as soon as possible. To do so, please visit our Download Center and download DSM 5.0-4493, ...

Welche Version soll man nun verwenden? Was ist mit denen die Update 3 auf ihren Systemen haben?
Also ich finde die Informationspolitik nicht gerade informationsreich!

Wie interpretiert ihr das?

Gruß
luddi

 

[Frogman]

Sehr merkwürdig ist, dass man im Download-Zentrum aktuell nicht das Update 3 bekommt sondern schlicht DSM 5.0-4493 ( Version : DSM 5.0-4493; Datum des Builds : 2014-06-04 ).

Das liegt daran, dass im Downloadcenter immer die letzte Releaseversion zur Vollinstallation aufgeführt ist. Das Update 3 ist als Update entweder aus dem laufenden System installierbar oder hier als 'critical update pack' vom Server herunterladbar, um es manuell einzuspielen.

Das ist aber nicht neu - Synology hat vor einiger Zeit diesen Updatemechanismus eingeführt, um mit kleinen Updates schneller reagieren zu können, ohne immer eine Vollinstallation machen zu müssen.

 

[Der_Broker]

Das liegt daran, dass im Downloadcenter immer die letzte Releaseversion zur Vollinstallation aufgeführt ist. Das Update 3 ist als Update entweder aus dem laufenden System installierbar oder hier als 'critical update pack' vom Server herunterladbar, um es manuell einzuspielen.

Das war bei mir auch so. Nach dem Herunterladen und Installieren von DSM 5.0-4493 wurde mir im DSM das Update 3 angeboten, welches ich dann natürlich installiert habe - da war ich zugegebenermaßen aber ein wenig überrascht...

 

[luddi]

Dann ist mir in der Vergangenheit noch nie aufgefallen, dass im Download-Zentrum immer nur die letzte Releaseversion ohne Patches zur verfügung steht...
Danke!

 

[luddi]

Das war bei mir nicht so. Nach dem Herunterladen und Installieren von DSM 5.0-4493 wurde mir im DSM das Update 3 angeboten, ....

Frogman hat das doch richtig geschrieben....

Das Update 3 ist als Update entweder aus dem laufenden System installierbar oder .....

 

[jony]

Liebe Synology Experten, ich habe noch eine letzte Frage betreffend ein infiziertes System wieder in Stand stellen. Hat das Nas selber irgendwelchen beschreibbaren Speicher (EEPROM, etc.) den man löschen/zurücksetzen kann/muss oder sind nur Daten auf der/den Festplatten sprich wenn ich meine beiden Festplatten (extern) komplett wipe mit einem entsprechende tool kann mir SynoLocker keine Sachen unterschieben auf dem Gertät oder?
Natürlich werde ich als erstes das Nas danach auf den top aktuellen Stand updaten. Ich frage weill ich analog einem verseuchten PC das NAS komplett platt machen will schlussendlich, um einen 100% sicheren Neustart zu gewährleisten.

 

[Frogman]

Bevor Du hier alles plättest - was ist denn mit Deinem Angebot, Reste des Schädlings bereitzustellen?

Und vielleicht kannst Du meinem Verständnis noch etwas auf die Sprünge helfen?

 

[Oceanwaves]

Liebe Synology Experten, ich habe noch eine letzte Frage betreffend ein infiziertes System wieder in Stand stellen. Hat das Nas selber irgendwelchen beschreibbaren Speicher (EEPROM, etc.) den man löschen/zurücksetzen kann/muss oder sind nur Daten auf der/den Festplatten sprich wenn ich meine beiden Festplatten (extern) komplett wipe mit einem entsprechende tool kann mir SynoLocker keine Sachen unterschieben auf dem Gertät oder?
Natürlich werde ich als erstes das Nas danach auf den top aktuellen Stand updaten. Ich frage weill ich analog einem verseuchten PC das NAS komplett platt machen will schlussendlich, um einen 100% sicheren Neustart zu gewährleisten.

Die Frage sollte Dir Synology am besten beantworten können. Nach meinem Verständnis nistet sich der SynoLocker nur auf den Platten des NAS ein.

Ich möchte Dich allerdings bitten, in diesem Forum keine Binaries oder sonstige Dateien des SynoLocker verfügbar zu machen. Ich denke, es reicht wenn Synology und anerkannte Virenspezialisten Zugriff auf diese Daten bekommen. Ich will niemandem hier Böses unterstellen, aber die Gefährlichkeit dieses Codes wurde in den letzten Tagen hinreichend unter Beweis gestellt und man sollte es vermeiden, diese Software öffentlich verfügbar zu machen.

 

[jony]

Ich plätte hier ertsmal gar nichts geht nur um die Frage wie ich denn reinen Tisch machen kann am schluss. Bin gerade die Daten am extrahieren allerdings läuft das Nas nachwievor mit angezogener Handbremse. Der rattert immer noch den Disk rauf und runter daher kann ich kaum die ganzen Daten ohne externen Zugang der Festplatte rausziehen.

Zu der Aussage, wir haben am 3.8. als erstes versucht das Nas runterzufahren, ging nicht, also hab ich den Stecker gezogen (power off) und eine der beiden Festplatten (No. 2) ausgebaut. Mit nur einer Festplatte (No. 1) im Nas habe ich das Ding am 3.8. wieder hochgefahren um zu sehen was Sache ist. Durch den Ausbau hatte ich mir ja den "ist" Stand so weit gesichert. Der Locker hat mir dann ein Text/Logfile angeboten zum anschauen was bereits verschlüsselt worden ist und da war klar dass alle wichtigen Daten bereits aufegelistet waren. Ab dem Zeitpunkt haben wir das angegriffene Nas getrennt vom restlichen Netzwerk und Internet laufen lassen um weitern Schaden zu verhindern sprich nicht noch den Ablauf der Hacker abzuschiessen. Natürlich kann ich nicht mit Sicherheit sagen wie die Priorität war beim verschlüsseln aber den Teil des Nas mit Bilder und Videos hat der Locker sich als letztes vorgenommen wobei er einzelne Bilder und Videos in den Arbeitsordner mit den dort gelagerten Daten verschlüsselt hat. Die fortlaufende Verschlüsselung konnte ich über das Logfile des Locker mitansehen.

 

[Frogman]

..Ich möchte Dich allerdings bitten, in diesem Forum keine Binaries oder sonstige Dateien des SynoLocker verfügbar zu machen.

Es versteht sich von selbst, dass hier nichts veröffentlicht werden soll (dafür gibt's PN und andere Kanäle). Wie Du selbst nachlesen kannst, hatte ein Moderator des Forums darum gebeten - und ich hoffe mal, Du glaubst nicht, dass er damit nun Schindluder treiben möchte...

 

[goetz]

Hallo,
laut den Angaben von Symantec sind keine Dateien dabei die in den Flash geschrieben werden. Bei einem Upgrade auf die aktuelle Version wird dann sowieso Kernel und initiale Ramdisk der aktuellen Version in den Flash geschrieben.
Mit frischen Platten bleibt also nichts zurück.

Gruß Götz

 

[F0x123]

Oje, ein paar Tage nicht in den Thread geschaut und wieder 20 neue Seiten.

Eine kurz Frage: Mein NAS ist glücklicherweise nicht betroffen. Ich habe DSM 4.3-3827 drauf. Muss/Sollte ich auch auf DSM 5 wechseln, da auf der Synology News Seite steht:

"Für Anwender, die keine der oben genannten Symptome bemerken, empfiehlt Synology DSM 5.0 herunterzuladen und zu installieren bzw. eine der folgenden Versionen zu installieren:

DSM 4.3-3827 oder neuer"

und die habe ich ja schon.

Und kann ich den Port 443 wieder nach außen öffnen? Ich habe owncloud laufen und brauche den Kalender und Kontakte-Sync über SSL auf meine Smartphones.

 

[dil88]

Du solltest 4.3 3827 Update 5 installieren, wenn Du bei DSM 4.3 bleiben willst. Ansonsten die neueste DSM 5.0