> > > > Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Synology: Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Veröffentlicht am: von

synologyBereits seit einigen Tagen sind Nutzer eines Synology-NAS Angriffen einer anonymen Hacker-Gruppe ausgesetzt. Diese setzen eine abgewandelte Form des CryptoLocker namens SynoLocker ein. Die Software greift NAS-Systeme durch eine bisher unbekannten Sicherheitslücke an, wenn diese den Zugriff auf dem Netzwerk erlauben. Dabei werden die kompletten Daten, die auf dem NAS liegen, verschlüsselt und sind somit für den Besitzer nicht mehr zugänglich. Wer auf seine Daten zugreifen möchte, bekommt einen Hinweis von SynoLocker angezeigt, der darauf hinweist, dass man die Daten für einen Preis von 0,6 Bitcoin (rund 260 Euro) wieder zugänglich macht. Nach einer Frist von sieben Tagen verdoppelt sich der Betrag.

Derzeit sucht Synology noch nach dem genauen Angriffsvektor, der genutzt wird, um in den Disc Station Manager (DSM, das Betriebssystem der NAS-Systeme von Synology) einzudringen. Offenbar sind nicht alle Systeme betroffen und ein Großteil der angegriffenen Speicher lief noch auf DSM 4.3. Synology kann derzeit aber noch nicht ausschließen, dass auch andere DSM-Versionen betroffen sind und untersucht besonders die aktuelle Version 5.0.

Um Angriffen komplett aus dem Weg zu gehen empfiehlt Synology derzeit den Remote-Zugriff zu deaktivieren. Zudem sollten alle Nutzer auf die aktuelle DSM-Version updaten. Wer bereits vom Angriff betroffen ist, soll das NAS komplett abschalten und nicht weiter verwenden. Danach ist der Synology-Support zu kontaktieren, auch wenn es derzeit noch keine Lösung für die Verschlüsselung gibt.

Folgende Meldung wird von SynoLocker an betroffene Nutzer angezeigt:

SynoLocker™
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography.

List of encrypted files available here.

Follow these simple steps if files recovery is needed:

  • Download and install Tor Browser.
  • Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
  • Login with your identification code to get further instructions on how to get a decryption key.
  • Your identification code is - (also visible here).
  • Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:

  • A unique RSA-2048 keypair is generated on a remote server and linked to this system.
  • The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
  • A random 256-bit key is generated on this system when a new file needs to be encrypted.
  • This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
  • The 256-bit key is then encrypted with the RSA-2048 public key.
  • The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
  • The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
  • The encrypted file is renamed to the original filename.
  • To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
  • Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
  • When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.

Unklar ist, wie sicher das von SynoLocker gewählte Verschlüsselungs-Verfahren ist und ob Synology eine Möglichkeit findet diese Verschlüsselung zu brechen. Im schlimmsten Fall müssen Nutzer ohne Backup ihrer Daten einen Tolaverlusst in Kauf nehmen. Synology äußert sich über sein Support-Forum wie folgt:

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

  1. Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
  2. Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! zu kontaktieren.

Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team

Synology

Update:

Inzwischen hat Synology eine weitere Mitteilung herausgegeben, in der nur noch einmal vor den Symptomen gewarnt und darauf hingewiesen wird, die neueste Version des Disk Station Manager zu verwenden. Wer nun bereits betroffen ist und dessen Daten verschlüsselt sind, für den hat Synology keine Neuigkeiten und verweist nur auf die Tatsache, dass "Synology jedoch nicht in der Lage ist, bereits verschlu?sselte Daten wieder zu entschlu?sseln."

Social Links

Ihre Bewertung

Ø Bewertungen: 0

Tags

Kommentare (13)

#4
customavatars/avatar202850_1.gif
Registriert seit: 06.02.2014
Im sonnigen Süden
Admiral
Beiträge: 12300
Das ist wohl der Grund wieso man von allem ein Backup im Haus haben muss...
Oder auf ner Cloud-Lösung zurückgreifen - dann muss man sich um sowas nicht selber kümmern.
#5
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1661
Meine DS steht noch. 5.0 Update 3 ist drauf, Gast+Stan-Admin Konto ist deaktiviert und alles was nur ein mal falsch anklopft wird direkt geblockt...wollen wir mal hoffen das es so bleibt.

Wenn ich wirklich Support brauche, dann bin ich doch ganz froh, auf Synology gesetzt zu haben!

Zitat Snake7;22493319
...nicht von dieser Firma sein.


...joa, dann eben nicht...ne :bigok:
#6
Registriert seit: 20.11.2013

Hauptgefreiter
Beiträge: 148
Zitat monosurround;22494467
...joa, dann eben nicht...ne :bigok:


So isses, dann eben nicht!

Meine alte DS210j (5.0-4493u2) und meine VM mit (5.0-4458) sind nicht betroffen.
Klar sollte man immer ein Backup haben, aber oft hat man dies eben nicht :stupid:
#7
customavatars/avatar127622_1.gif
Registriert seit: 21.01.2010
Hamburg
Kapitänleutnant
Beiträge: 1661
Naja, wenn ich mich auf das besinne, was wirklich wichtig und unersetzlich ist, dann sind dies bei mir von einigen TB an Daten nur ein paar wenige GB(dem letzten Totalverlust sei dank)an Dokumenten und Fotos. Die sind einfach zu verwalten, liegen mehrfach redundant daheim und in der Cloud. Man muss ja nicht jeden Mist sichern...aber ärgerlich wäre so ein Ausfall schon!
#8
customavatars/avatar92992_1.gif
Registriert seit: 10.06.2008
zuhause
Admiral
Beiträge: 11109
"Oh Kripo-Virus.. ich kaufe nie wieder was mit Windows"

"Oh Android Virus... ich kauf mir ein iPhone"

"Oh Scamming... ich bezahle nur noch bar"

... merkste was?
#9
customavatars/avatar3377_1.gif
Registriert seit: 15.11.2002
www.twitter.com/aschilling
[printed]-Redakteur
Tweety
Beiträge: 30375
Update - Für die meisten entscheidend ist wohl folgender Satz:

Zitat
Leider ist Synology jedoch nicht in der Lage bereits verschlüsselte Daten wieder zu entschlüsseln.
#10
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 4035
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
#11
Registriert seit: 05.07.2006
Surfers Paradise, Queensland, Australia | Wien
Oberleutnant zur See
Beiträge: 1308
soweit ich das verstehe, kann das nur zum Problem werden, wenn der Zugriff von Außen (WAN) erlaubt ist - nicht wenn die Station als reines LAN-Datenlager betrieben wird?
#12
Registriert seit: 05.07.2010

Admiral
Beiträge: 15676
Zitat Fischje;22500577
jetzt dumme frage kurz von mir, warum steht das hier unter netzteile?
Das ist doch nun ganz logisch: Wenn das Netzteil des NAS nicht eingesteckt ist, dann hat man mit Virus auch keinen Ärger
#13
customavatars/avatar198273_1.gif
Registriert seit: 04.11.2013
M'Gladbach
Moderator
Beiträge: 4035
:)
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Western Digital Black SSD mit 512 GB und NVMe im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/WD-BLACK-SSD-NVME/TEASER

Die auf Farben bezogene Namensgebung von Western Digital unterscheidet im Wesentlichen zwischen drei Varianten: Grün für besonders sparsame, günstige und meistens auch etwas langsamere Laufwerke, blau für den Mainstream-Markt und schwarz für die schnellsten Laufwerke, die Western Digital... [mehr]

Toshiba TR200 SSD mit 3D-BiCS-Speicher im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/TOSHIBA-OCZ-TR200/TEASER

Die Toshiba TR200 verzichtet erstmals auf den OCZ-Namenszusatz und soll ein attraktives Paket für den Einstiegsmarkt sein. Dazu setzt Toshiba auf den neusten 3D-TLC-Speicher, der den Namen "BiCS Flash" trägt. Als Produkt für den Einstiegsmarkt steht bei der Toshiba TR200 das... [mehr]

Seagate IronWolf Pro 12 TB im Test

Logo von IMAGES/STORIES/LOGOS-2017/SEAGATE_ST12000NE0007_02_F1222626A871414297BA0B028877CA71

Seagate hat kürzlich sein Festplattenportfolio im Consumerbereich um eine weitere Kapazitätstufe nach oben erweitert. Die Serien IronWolf, IronWolf Pro und BarraCuda Pro umfassen nun neue Modelle mit einem Fassungsvermögen von 12 TB. Die neuen 12-TB-Modelle kombinieren ebenso wie die letztes... [mehr]

Samsung SSD 970 PRO im Test: Hält länger und arbeitet schneller

Logo von IMAGES/STORIES/2017/SAMSUNG_970_PRO

Eineinhalb Jahre nach dem Start löst Samsung die SSD 960 PRO ab und schickt den Nachfolger ins Rennen. Der soll nicht nur ein noch höheres Tempo bieten, sondern auch langlebiger sein. Dabei halten sich die technischen Neuerungen in Grenzen, in den Mittelpunkt wird vor allem der neue... [mehr]

Samsung SSD 860 EVO und PRO mit 4 TB im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/SAMSUNG-860-EVO-PRO/TEASER

Die perfekte SSD ist groß, schnell und preisgünstig. Doch wie immer kann man nicht alles haben, zumindest nicht gleichzeitig: Für maximale Performance muss man zu einer PCI-Express-SSD greifen, die inzwischen zwar auch mit relativ großen Speicherkapazitäten verfügbar, jedoch nicht günstig... [mehr]

Intel Optane SSD 900P 280 GB mit 3D-XPoint-Speicher im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/INTEL-OPTANE-SSD-900P/TEASER

Bei Halbleiterlaufwerken, kurz SSDs, war in den vergangenen Jahren eine konstante Evolution zu beobachten – im Wesentlichen wurde die Speicherdichte erhöht, wozu 3D-NAND einen zentralen Beitrag geleistet hat. Auch die Geschwindigkeit hat mit der breiten Verfügbarkeit von PCI-Express-SSDs und... [mehr]