> > > > Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Veröffentlicht am: von

synologyBereits seit einigen Tagen sind Nutzer eines Synology-NAS Angriffen einer anonymen Hacker-Gruppe ausgesetzt. Diese setzen eine abgewandelte Form des CryptoLocker namens SynoLocker ein. Die Software greift NAS-Systeme durch eine bisher unbekannten Sicherheitslücke an, wenn diese den Zugriff auf dem Netzwerk erlauben. Dabei werden die kompletten Daten, die auf dem NAS liegen, verschlüsselt und sind somit für den Besitzer nicht mehr zugänglich. Wer auf seine Daten zugreifen möchte, bekommt einen Hinweis von SynoLocker angezeigt, der darauf hinweist, dass man die Daten für einen Preis von 0,6 Bitcoin (rund 260 Euro) wieder zugänglich macht. Nach einer Frist von sieben Tagen verdoppelt sich der Betrag.

Derzeit sucht Synology noch nach dem genauen Angriffsvektor, der genutzt wird, um in den Disc Station Manager (DSM, das Betriebssystem der NAS-Systeme von Synology) einzudringen. Offenbar sind nicht alle Systeme betroffen und ein Großteil der angegriffenen Speicher lief noch auf DSM 4.3. Synology kann derzeit aber noch nicht ausschließen, dass auch andere DSM-Versionen betroffen sind und untersucht besonders die aktuelle Version 5.0.

Um Angriffen komplett aus dem Weg zu gehen empfiehlt Synology derzeit den Remote-Zugriff zu deaktivieren. Zudem sollten alle Nutzer auf die aktuelle DSM-Version updaten. Wer bereits vom Angriff betroffen ist, soll das NAS komplett abschalten und nicht weiter verwenden. Danach ist der Synology-Support zu kontaktieren, auch wenn es derzeit noch keine Lösung für die Verschlüsselung gibt.

Folgende Meldung wird von SynoLocker an betroffene Nutzer angezeigt:

SynoLocker™
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography.

List of encrypted files available here.

Follow these simple steps if files recovery is needed:

  • Download and install Tor Browser.
  • Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
  • Login with your identification code to get further instructions on how to get a decryption key.
  • Your identification code is - (also visible here).
  • Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:

  • A unique RSA-2048 keypair is generated on a remote server and linked to this system.
  • The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
  • A random 256-bit key is generated on this system when a new file needs to be encrypted.
  • This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
  • The 256-bit key is then encrypted with the RSA-2048 public key.
  • The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
  • The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
  • The encrypted file is renamed to the original filename.
  • To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
  • Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
  • When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.

Unklar ist, wie sicher das von SynoLocker gewählte Verschlüsselungs-Verfahren ist und ob Synology eine Möglichkeit findet diese Verschlüsselung zu brechen. Im schlimmsten Fall müssen Nutzer ohne Backup ihrer Daten einen Tolaverlusst in Kauf nehmen. Synology äußert sich über sein Support-Forum wie folgt:

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

  1. Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
  2. Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu kontaktieren.

Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team

Synology

Update:

Inzwischen hat Synology eine weitere Mitteilung herausgegeben, in der nur noch einmal vor den Symptomen gewarnt und darauf hingewiesen wird, die neueste Version des Disk Station Manager zu verwenden. Wer nun bereits betroffen ist und dessen Daten verschlüsselt sind, für den hat Synology keine Neuigkeiten und verweist nur auf die Tatsache, dass "Synology jedoch nicht in der Lage ist, bereits verschlu?sselte Daten wieder zu entschlu?sseln."

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (13)

#4
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 11126
Das ist wohl der Grund wieso man von allem ein Backup im Haus haben muss...
Oder auf ner Cloud-Lösung zurückgreifen - dann muss man sich um sowas nicht selber kümmern.
#5
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1647
Meine DS steht noch. 5.0 Update 3 ist drauf, Gast+Stan-Admin Konto ist deaktiviert und alles was nur ein mal falsch anklopft wird direkt geblockt...wollen wir mal hoffen das es so bleibt.

Wenn ich wirklich Support brauche, dann bin ich doch ganz froh, auf Synology gesetzt zu haben!

Zitat Snake7;22493319
...nicht von dieser Firma sein.


...joa, dann eben nicht...ne :bigok:
#6
Registriert seit: 20.11.2013

Hauptgefreiter
Beiträge: 148
Zitat monosurround;22494467
...joa, dann eben nicht...ne :bigok:


So isses, dann eben nicht!

Meine alte DS210j (5.0-4493u2) und meine VM mit (5.0-4458) sind nicht betroffen.
Klar sollte man immer ein Backup haben, aber oft hat man dies eben nicht :stupid:
#7
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1647
Naja, wenn ich mich auf das besinne, was wirklich wichtig und unersetzlich ist, dann sind dies bei mir von einigen TB an Daten nur ein paar wenige GB(dem letzten Totalverlust sei dank)an Dokumenten und Fotos. Die sind einfach zu verwalten, liegen mehrfach redundant daheim und in der Cloud. Man muss ja nicht jeden Mist sichern...aber ärgerlich wäre so ein Ausfall schon!
#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
Emsland / Bochum
Admiral
Beiträge: 10722
"Oh Kripo-Virus.. ich kaufe nie wieder was mit Windows"

"Oh Android Virus... ich kauf mir ein iPhone"

"Oh Scamming... ich bezahle nur noch bar"

... merkste was?
#9
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 29566
Update - Für die meisten entscheidend ist wohl folgender Satz:

Zitat
Leider ist Synology jedoch nicht in der Lage bereits verschlüsselte Daten wieder zu entschlüsseln.
#10
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 3827
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
#11
Registriert seit: 05.07.2006
Surfers Paradise, Queensland, Australia | Wien
Oberleutnant zur See
Beiträge: 1301
soweit ich das verstehe, kann das nur zum Problem werden, wenn der Zugriff von Außen (WAN) erlaubt ist - nicht wenn die Station als reines LAN-Datenlager betrieben wird?
#12
Registriert seit: 05.07.2010

Admiral
Beiträge: 13728
Zitat Fischje;22500577
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
Das ist doch nun ganz logisch: Wenn das Netzteil des NAS nicht eingesteckt ist, dann hat man mit Virus auch keinen Ärger
#13
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 3827
:)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Seagate Ironwolf 8 TB, WD Red 8 TB und Toshiba Enterprise Cloud 6 TB im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/HDD_ROUNDUP_08-2016_TEASER

Auch wenn in den allermeisten Rechnern heutzutage statt einer Festplatte eine SSD als Systemlaufwerk zum Einsatz kommt, so sind die klassischen Magnetspeicher für das Speichern größerer Datenmengen weiterhin gefragt, zumal die beliebten NAS-Systeme als Cloud für Zuhause ein neues Absatzgebiet... [mehr]

Preiswerte M.2-SSD Intel 600p mit NVMe im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/INTEL-600P/TEASER

Mit der Intel X25-M war Intel einst eine feste Größe im Markt für Consumer-SSD, bis sich der Chipriese in den letzten Jahren fast ausschließlich auf den Enterprise-Markt konzentriert hat. Mit der SSD 750 hat Intel inzwischen zwar auch wieder ein Laufwerk für Heimanwender im Angebot, doch ist... [mehr]

NVMe-SSD Samsung 960 PRO mit 512 GB und 2 TB im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-960-PRO/TEASER

Die Samsung SSD 950 PRO hat bis heute unsere Benchmark-Tabelle als schnellste SSD angeführt. Konkurrenz bekommt sie jetzt aus eigenem Haus in Form des Nachfolgers 960 PRO. Dabei handelt es sich um mehr als ein kosmetisches Update, denn Samsungs neuste M.2-SSD mit NVMe-Interface ist insbesondere... [mehr]

Seagate IronWolf 10 TB und BarraCuda Pro 10 TB im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SEAGATE_10TB_TEASER

Auch wenn HGST vor kurzem noch größere Laufwerke vorgestellt hat, so hat Seagate mit seinen bereits seit einigen Monaten erhältlichen 10-TB-Modellen momentan die Nase vorn, wenn es um den größtmöglichen Speicherplatz bei 3,5-Zoll-Festplatten geht. Dabei hat es Seagate durch die Verwendung... [mehr]

Mittelklasse mit NVMe: Samsung SSD 960 EVO 1 TB im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-960EVO/TEASER

Mit der Samsung SSD 960 PRO hat der koreanische Hersteller die zurzeit schnellste Consumer-SSD mit NVMe-Interface im Angebot. Dies lässt man sich allerdings auch entsprechend bezahlen, sodass das hochpreisige Laufwerk nicht für alle Bedürfnisse die richtige Wahl ist. Etwas günstiger, dafür... [mehr]

Western Digital Blue SSD im 2,5-Zoll- und M.2-Format im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/WD-BLUE-SSD/TEASER

Ungefähr ein Jahr ist es her, dass Western Digital die Übernahme von SanDisk bestätigt hat. Die Früchte dieser Übernahme sind für Endverbraucher gedachte SATA-SSDs, die sich in das bekannte, farblich sortierte Namensschema von Western Digital einfügen. Den Anfang machen dabei eine Green-... [mehr]