> > > > Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

DruckenE-Mail
Erstellt am: von

synologyBereits seit einigen Tagen sind Nutzer eines Synology-NAS Angriffen einer anonymen Hacker-Gruppe ausgesetzt. Diese setzen eine abgewandelte Form des CryptoLocker namens SynoLocker ein. Die Software greift NAS-Systeme durch eine bisher unbekannten Sicherheitslücke an, wenn diese den Zugriff auf dem Netzwerk erlauben. Dabei werden die kompletten Daten, die auf dem NAS liegen, verschlüsselt und sind somit für den Besitzer nicht mehr zugänglich. Wer auf seine Daten zugreifen möchte, bekommt einen Hinweis von SynoLocker angezeigt, der darauf hinweist, dass man die Daten für einen Preis von 0,6 Bitcoin (rund 260 Euro) wieder zugänglich macht. Nach einer Frist von sieben Tagen verdoppelt sich der Betrag.

Derzeit sucht Synology noch nach dem genauen Angriffsvektor, der genutzt wird, um in den Disc Station Manager (DSM, das Betriebssystem der NAS-Systeme von Synology) einzudringen. Offenbar sind nicht alle Systeme betroffen und ein Großteil der angegriffenen Speicher lief noch auf DSM 4.3. Synology kann derzeit aber noch nicht ausschließen, dass auch andere DSM-Versionen betroffen sind und untersucht besonders die aktuelle Version 5.0.

Um Angriffen komplett aus dem Weg zu gehen empfiehlt Synology derzeit den Remote-Zugriff zu deaktivieren. Zudem sollten alle Nutzer auf die aktuelle DSM-Version updaten. Wer bereits vom Angriff betroffen ist, soll das NAS komplett abschalten und nicht weiter verwenden. Danach ist der Synology-Support zu kontaktieren, auch wenn es derzeit noch keine Lösung für die Verschlüsselung gibt.

Folgende Meldung wird von SynoLocker an betroffene Nutzer angezeigt:

SynoLocker™
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography.

List of encrypted files available here.

Follow these simple steps if files recovery is needed:

  • Download and install Tor Browser.
  • Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
  • Login with your identification code to get further instructions on how to get a decryption key.
  • Your identification code is - (also visible here).
  • Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:

  • A unique RSA-2048 keypair is generated on a remote server and linked to this system.
  • The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
  • A random 256-bit key is generated on this system when a new file needs to be encrypted.
  • This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
  • The 256-bit key is then encrypted with the RSA-2048 public key.
  • The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
  • The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
  • The encrypted file is renamed to the original filename.
  • To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
  • Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
  • When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.

Unklar ist, wie sicher das von SynoLocker gewählte Verschlüsselungs-Verfahren ist und ob Synology eine Möglichkeit findet diese Verschlüsselung zu brechen. Im schlimmsten Fall müssen Nutzer ohne Backup ihrer Daten einen Tolaverlusst in Kauf nehmen. Synology äußert sich über sein Support-Forum wie folgt:

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

  1. Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
  2. Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu kontaktieren.

Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team

Synology

Update:

Inzwischen hat Synology eine weitere Mitteilung herausgegeben, in der nur noch einmal vor den Symptomen gewarnt und darauf hingewiesen wird, die neueste Version des Disk Station Manager zu verwenden. Wer nun bereits betroffen ist und dessen Daten verschlüsselt sind, für den hat Synology keine Neuigkeiten und verweist nur auf die Tatsache, dass "Synology jedoch nicht in der Lage ist, bereits verschlu?sselte Daten wieder zu entschlu?sseln."

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (13)

#4
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 9490
Das ist wohl der Grund wieso man von allem ein Backup im Haus haben muss...
Oder auf ner Cloud-Lösung zurückgreifen - dann muss man sich um sowas nicht selber kümmern.
#5
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1610
Meine DS steht noch. 5.0 Update 3 ist drauf, Gast+Stan-Admin Konto ist deaktiviert und alles was nur ein mal falsch anklopft wird direkt geblockt...wollen wir mal hoffen das es so bleibt.

Wenn ich wirklich Support brauche, dann bin ich doch ganz froh, auf Synology gesetzt zu haben!

Zitat Snake7;22493319
...nicht von dieser Firma sein.


...joa, dann eben nicht...ne :bigok:
#6
Registriert seit: 20.11.2013

Hauptgefreiter
Beiträge: 148
Zitat monosurround;22494467
...joa, dann eben nicht...ne :bigok:


So isses, dann eben nicht!

Meine alte DS210j (5.0-4493u2) und meine VM mit (5.0-4458) sind nicht betroffen.
Klar sollte man immer ein Backup haben, aber oft hat man dies eben nicht :stupid:
#7
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1610
Naja, wenn ich mich auf das besinne, was wirklich wichtig und unersetzlich ist, dann sind dies bei mir von einigen TB an Daten nur ein paar wenige GB(dem letzten Totalverlust sei dank)an Dokumenten und Fotos. Die sind einfach zu verwalten, liegen mehrfach redundant daheim und in der Cloud. Man muss ja nicht jeden Mist sichern...aber ärgerlich wäre so ein Ausfall schon!
#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 10409
"Oh Kripo-Virus.. ich kaufe nie wieder was mit Windows"

"Oh Android Virus... ich kauf mir ein iPhone"

"Oh Scamming... ich bezahle nur noch bar"

... merkste was?
#9
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29105
Update - Für die meisten entscheidend ist wohl folgender Satz:

Zitat
Leider ist Synology jedoch nicht in der Lage bereits verschlüsselte Daten wieder zu entschlüsseln.
#10
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 3697
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
#11
Registriert seit: 05.07.2006
Surfers Paradise, Queensland, Australia | Wien
Leutnant zur See
Beiträge: 1271
soweit ich das verstehe, kann das nur zum Problem werden, wenn der Zugriff von Außen (WAN) erlaubt ist - nicht wenn die Station als reines LAN-Datenlager betrieben wird?
#12
Registriert seit: 05.07.2010

Admiral
Beiträge: 12110
Zitat Fischje;22500577
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
Das ist doch nun ganz logisch: Wenn das Netzteil des NAS nicht eingesteckt ist, dann hat man mit Virus auch keinen Ärger
#13
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 3697
:)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Samsung SSD 750 EVO im Test - die neue Einsteiger-Klasse?

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-750-EVO/TEASER

Samsung gehört zu den Standardempfehlungen, wenn es um SSDs geht, sowohl im Highend-Bereich mit der Samsung SSD 950 PRO als auch im Mainstream-Bereich mit der 850 EVO. Letztere hat vor kurzem ein Upgrade erfahren, dabei wurde der 3D-Speicher durch eine neue Version mit nunmehr 48 statt 32... [mehr]

Crucial MX300 SSD mit 750 GB und 3D-NAND im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/CRUCIAL-MX300-750GB/TEASER

Crucial meldet sich zurück und packt mit der MX300 aktuelle Speichertechnologie in ein 2,5-Zoll-Laufwerk. Den Anfang macht dabei ein einziges Modell mit einer ungewöhnlichen Speicherkapazität von 750 GB, das gegen die Samsung SSD 850 EVO und andere Mainstream-Laufwerke bestehen soll. Die... [mehr]

Samsung SSD 850 EVO mit neuem 48 Layer 3D-NAND im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-850EVO-48/TEASER

Bereits vor einiger Zeit hat Samsung den nächsten Schritt in der Fertigung von NAND-Speicher angekündigt, nämlich die Produktion von 3D-NAND mit 48 Layern. Dieser soll jetzt in der Samsung SSD 850 EVO zum Einsatz kommen, wobei sich der Produktname nicht ändert, die Bestände werden also nach... [mehr]

OCZ Trion 150 SSD mit 240 GB im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/OCZ-TRION-150/TEASER

Letztes Jahr hat OCZ mit der Trion 100 eine SSD auf TLC-Basis für preisbewusste Käufer auf den Markt gebracht. Nach etwas über einem halben Jahr erfährt die Trion nun ein Update in Form der OCZ Trion 150, bei der weiterhin TLC-Speicher von Toshiba zum Einsatz kommt, der jetzt allerdings in 15... [mehr]

NVMe-SSD Samsung 960 PRO mit 512 GB und 2 TB im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-960-PRO/TEASER

Die Samsung SSD 950 PRO hat bis heute unsere Benchmark-Tabelle als schnellste SSD angeführt. Konkurrenz bekommt sie jetzt aus eigenem Haus in Form des Nachfolgers 960 PRO. Dabei handelt es sich um mehr als ein kosmetisches Update, denn Samsungs neuste M.2-SSD mit NVMe-Interface ist insbesondere... [mehr]

Toshiba OCZ RD400 SSD mit NVMe im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/TOSHIBA-OCZ-RD400/TEASER

Auch Toshiba steigt jetzt mit der OCZ RD400 SSD in die Königsklasse der schnellen Halbleiter-Laufwerke mit NVMe-Interface ein. Mit einem PCI-Express-Interface der dritten Generation und vier Lanes verspricht Toshiba eine Performance von bis zu 2.600 MB/s beim Lesen und 1.600 MB/s beim Schreiben,... [mehr]