Achtung! SynoLocker verschlüsselt Daten auf Synology-NAS
von caschy | 57 Kommentare
Wie wichtig das regelmäßige Einspielen von Sicherheitsupdates sind, muss sicherlich nicht erneut aufgeschrieben werden. Fast täglich sind wir neuen Bedrohungen im Netz ausgesetzt – und eben jene machen nicht nur Jagd auf Sicherheitslücken in Desktop-Systemen oder Smartphones, sondern sie suchen auch andere Einfallstore.
Diese können zum Beispiel vorhanden sein, wenn man Geräte via Internet erreichbar macht. Mal die Thematik VPN außen vor gelassen: Ich persönlich bin da ja etwas abgeschotteter unterwegs, so hat mein Synology NAS derzeit nur Verbindung im heimischen Netzwerk, ist von draußen also nicht erreichbar. Ich vollziehe gerne eine Trennung zwischen Internet und LAN möchte auch Dienste trennen – und eben jenes gelingt mir nur, wenn ich das NAS, welches ich für wichtige Daten nutze, abschotte.
Hier verzichte ich dann zwar von extern auf die Bequemlichkeit, auf gewisse Daten zuzugreifen, allerdings fühle ich mich sicherer. Nun aber zum eigentlichen Thema: Es sind Fälle bekannt geworden, bei denen Synology NAS-Systeme angegriffen wurde. Irgendeiner der darauf laufenden Dienste hat eine Sicherheitslücke, die es Angreifern ermöglichten, in das NAS einzubrechen und dort einen Dienst zu starten, der sämtliche Daten verschlüsselt – den SynoLocker.
Den Benutzer erwartet eine Meldung, dass er sich via Tor Browser auf einer bestimmten Webseite einloggen soll. Hier wird dann eine Zahlung fällig, ansonsten sind die Daten unwiederbringlich stark verschlüsselt und damit verloren. Der Bruder unseres Lesers Marc ist ebenfalls ein Betroffener und kann nun nicht mehr auf seine Daten zugreifen – kein Einzelfall, wenn man NAS-Foren durchsucht.
Wir werden das Ganze im Auge behalten und gegebenenfalls später noch einmal darüber berichten. Bis Informationen darüber vorliegen, ob nur ältere DSM 4.x-Versionen betroffen sind, oder aber auch neuere, solltet ihr vielleicht euer Synology NAS von der Außenwelt abschotten (alle Infos, die ich bislang fand, beziehen sich auf DSM 4.3). Also: Entweder Dienste auf dem NAS deaktivieren, oder die Erreichbarkeit von draußen beenden – vielleicht über etwaige Port-Weiterleitungen in eurem Router. Eine offizielle Stellungnahme steht noch aus. (Danke Marc und Christoph!)
Wird geladen ...
Wie sieht es aus wenn nur der VPN-Dienst nach außen aktief ist? Oder die MyDS Funktion? (Habe die Synology erst seit kürzen)
Oder soll man sicherheitshalber sämtliche Verbindungen kappen?
Panikmache? Hier kommen doch mehr Fragen auf als Antworten gegeben werden.
Syno kommt im Auslieferungszustand mit Port 5000 für HTTP und 5001 für HTTPS. Sind diese gändert worden? Es gibt schließlich 65535 Ports, von denen durchaus viele zur Verfügung stünden.
3rd Party Repos aktiviert? Und 3rd Party Apps installiert aber nicht auf dem aktuellen Patch-Level gehalten? (http://www.synology-wiki.de/index.php/Paketzentrum_Quellen)
Wie lange lief die Syno unter ein und dem selben DynDNS Account? Und den gleichen Ports? Und war dies irgendwo auf einer Webseite verlinkt?
Automatische Blockierung bei 2facher falscheingabe der Credentials aktiviert?
Ich nutze Synology seit 2 Jahren, dauerhaft im Netz. Nutze auch 3rd Party Repos. Bin umsichtig bei den Nutzern, die ich anlege. Habe weit ab von 5000/5001 Ports gewählt und in den ganzen zwei Jahren nie einen vermeidlichen merkwürdigen Login-Versuch mitbekommen, noch landen irgendwelche Menschen auf der Webstation (hier läuft Piwik auf totem HTML).
Aber natürlich stimmt es, offline ist immer sicherer.
@MArtin: hier steht drin, dass Dienste und etwaige Ports dichtgemacht werden sollten. Das beantwortet doch erst einmal alles, bis es eine Klärung offizieller Art gibt, oder? 🙂
Wird wohl ähnlich wie bei der Fritz!Box über eine präparierte externe Webseite über den Browser im eigenen Netzwerk passiert sein.
Ich will mal was generelles zu Meldungen dieser Art, nicht nur hier im Blog, loswerden.
Es wird von diffusen Bedrohungen berichtet, irgendeiner (angeblichen) Lücke, aber es wird so gut wie nie Roß und Reiter genannt. Man muss sich nur mal die Erläuterungen bei den Windowsupdates oder Flash Player lesen, dann versteht man, was ich meine.
Die verbreitete Unsicherheit – FUD – löst mittlerweile bei den Noobs einen ein „bloß nicht nutzen“, und bei den anderen „ach, egal, mal wieder ’ne Lücke“ aus.
Ich denke, das ist Absicht. Warum auch immer.
Danke für die Info, habe meine Synology jetzt auch erstmal aus dem Netz genommen. Eine Notwendigkeit für Zugriffe gab es in letzter Zeit auch kaum, dementsprechend derzeit auch nicht besonders schlimm. Trotzdem nervig – erst die Bitcoin-Geschichte, OpenSSL, dann irgendwelche Löcher im Linux-Kernel und jetzt wieder irgendeine Lücke. Ehrlich gesagt ist das ein bißchen viel für einen kurzen Zeitraum.
@Wolfgang: Ich habe vor dem Verfassen schon einiges dazu gelesen, zudem eine Anfrage eine Anfrage an Syno gestellt. In dem Fall ist es m.M. nach wichtig, schon vor einer offiziellen Info zu warnen – denn sonst geht es Nutzern vielleicht wie dem Bruder von Marc. So einfach ist das. Es handelt sich um keine angebliche, sondern eine konkrete Lücke, siehe auch hier. http://forum.synology.com/enu/viewtopic.php?f=3&t=88716 Nun kennst du meine Intention für diesen Beitrag.
Bringt aber auch nichts, wenn die Schadsoftware (z.B. CryptoLogger) auf dem PC landet und das NAS als Netzlaufwerk eingebunden ist. Dann wird trotzdem alles verschlüsselt 😉
Jaja, der Bruder vom Marc.. und dann ist da ja auch noch die Schwägerin der Freundin meines ältesten Sohnes!
Versteh‘ die Kritik an der Stelle nicht. Ich bin froh über den Hinweis von Caschy und werde an meinem NAS heute Abend nochmal prüfen, ob ich auch wirklich jede Verbindung zum Internet gekappt habe.
„Panikmache“ finde ich insofern etwas witzig, da man als Besitzer eines Synology NAS nun mal nicht ganz zu den allergrößten Voll-DAUs gehören wird. Da dürfte jeder für sich selbst entscheiden können, wie er mit der Info umgeht, oder?
@Oliver
Du liest ja jetzt schon nicht richtig.
Ja, und ich bin der Bruder von Marc. Syno ist vom Netz, ALLE Ports auf der Fritz deaktiviert. Ich habe gluecklicherweise noch einen aelteren Stand meiner Fotoalben. Trotzdem sehr aergerlich. Uebirgens, meine Syno habe ich in diesem Jahr patched, ich kann allerdings nicht sagen, welche Version genau. Ich habe den Prozess heute morgen zu spaet erkannt, ein paar Bilder sind wohl noch nicht verschluesselt, alle Dokumenbte aber wohl. Das Teil scheint sich erst die kleinen vorzunehmen, um entsprechend viel zu schaffen am Anfang. Kurzvideos, die gern mal ein parr MB haben koennen, sind noch nicht verschluesselt. Wie gesagt, SO EIN SCHEISS! Haende abhacken und Internetentzug, Autowaschen oder so fuer die Erfinder solcher dummen Spielchen. Ich habe den ganmzen Tag jedenfalls anderes zu zun, um meine Familie zu ernaehren,
gez. Bruder von Marc
@Wolfgang
Auf der deutschen und englischen Forumseite gibt es jeweils einen Thread zum Thema. Es ist also keine diffuse Bedrohung, sondern eine reale. Also bitte keine Verschwörungstheorie über gewollte Panikmache.
Du verlangst ausführlche Informationen, ich übrigens auch, bloß ist dies zu diesem Zeitpunkt nicht möglich. Betroffene melden derzeit in den Foren, Synology hat sich zum Thema noch nicht geäußert. Keiner weiß derzeit wo genau das Problem liegt, dementsprechend ist alles reine Spekulation, wie übrigens dein erster Satz auch.
Und nun die Hauptfrage an dich: Was soll man, außer über das Problem berichten, sondern derzeit machen? Erst darüber berichten, bis es eine Lösung seitens Synology gibt und es noch mehr Betroffene gbit? Vollständig aussitzen, in der Hoffnung Synology wird hoffentlich rechzeitig die Updates nachreichen? Oder vielleicht doch über die aktuelle Lage berichten und jeden selber entscheiden lassen?
@Timo Trotz allen Ärgers wäre ein paar Infos mehr schon hilfreich: Welches OS, welcher Browser (inkl. Version) auf dem PC/Mac? Welche Version des Synobetriebssystems? Welche FritzBox und welche Betriebssystemversion? Was gemacht bevor du den „Prozess erkannt“ hast und wie hast du ihn erkannt (ich gucke zB nicht gerade regelmäßig in die Prozessliste meiner Syno … vielleicht sollte ich das tun und das Loglevel heraufsetzen).
Ich bin dankbar für den Tipp, allerdings stellen mich (und vermutlich nicht nur mich) diese ständigen Patches/ Updates vor eine ganz schöne Herausforderung. Ich würde ja gerne jeden Tag meine Patches/Updates einspielen und noch besser wäre es, wenn ich das automatisch machen könnte… und jetzt kommt das Aber!
Das geht nicht, da ich bei jedem Update die komplette Konfiguration von Zarafa nachziehen muss, was einige Stunden! (man macht das auch nicht täglich) nach sich zieht.
Wenn ich das nicht immer im Hinterkopf haben müsste, zig unterschiedliche Konfig Files, die sich an ständig (je nach Version) unterschiedlichen Orten finden… Das wäre mal ein riesen Fortschritt, wenn diese Konfigurationen nicht ständig überschrieben würden.
Kleines Update: Ich habe es gerade inoffiziell munkeln hören, dass das Problem nun bekannt ist – und dass fieberhaft einer Lösung gearbeitet wird. Ich bin am Thema dran und gebe Bescheid, wenn ich mehr erfahre.
@caschy: Danke übrigens für die schnellen, aktuellen Hinweise hier und die nachgereichte URL! (Man bedankt sich ja zu selten für eine gute und interessante Seite!)
Eine Nachfrage noch: Warum eigentlich diese generelle Linksparsamkeit bei vielen Artikeln? Warum also zB der nachgereichte Link zum engl. Syno-Forum nicht gleich in den Haupttext? Besser als diese für mich sinnlosen Google-Eigenlinks wär’s ja … aber vermutlich hat das SEO- oder ökonomische Gründe (ich kann’s verstehen, du verdienst damit ja dein Geld, aber ob man damit mehr Leute dazu bringt ihren AdBlocker bewusst auszuschalten hier? Aber solange ich nach jedem interessanten Artikel die Quelle selbst googeln muss, bleibt mein AdBlock leider an, sorry.)
Interessantes aus dem deutschen Syno-Forum hier: http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker
@Jan: Schliesse mich an.
@paradoxus: In der Reihenfolge – Win7, Firefox 31.0, Die Syno sollte eine Version 5 aus diesem Jahr haben, sorry, kann ich wegen der Dummbeutel nicht pruefen bzw. schreibe ich mir das nicht auf einen Zettel, FritzBox Cable 6360 06.04, ich habe den Prozess heute morgen erkannt, da 1. die NAS ziemlich stark roedelte und 2.bei der Oeffnung einer PDF der Reader die Datei nicht erkennen konnte. Ansonsten ist meine NAS nicht wirklich beschaeftigt, sie hat es gut bei mir 😉
Wie gesagt, der Prozess ist gestoppt, anhand der externen Platte, auf die ich regelmaessig ein Backup ziehe kann ich kein einziges Dokument mehr lesen (nicht so schlimm, nur zig Stunden Arbeit, wieder alles einzuscannen). DIe Bilder meiner Alben sind vom Hinschauen 90-95% verschluesselt, allerdings keine Videos. Support Anfrag ist heute morgen ca. 8:30 raus.
So, nun muss ich wieder zum Schwager der Freundin meines Bruders Marc.
TTYS (talk to you soon)
Ist es denn möglich, dass man den Zugriff auf die Admin-Oberfläche der NAS über das Internet (dyndns) verbietet aber trotzdem noch per ftp auf die Daten zugreifen kann?
Denn eigentlich möchte keinen Internetzugriff auf meine NAS. Dennoch share ich mit einigen Freunden ein FTP-Verzeichnis, was über’s Internet auch zugreifbar bleiben soll (ist ja nur lesend).
@paradoxus: Ich bin der letzte, der sparsam mit Links umgeht – um SEO mache ich mir keine Gedanken, das dürfen andere tun. Im konkreten Fall hatte ich vier verschiedene Dinger selbst gesucht, die allesamt bis dato keinen Mehrwert brachten, als das mir bekannte und beschriebene. Wenn sich was ergibt – was ich auch schrieb – dann lege ich dementsprechend nach 🙂 Danke fürs Lesen – wenn auch mit AdBlock.
@Timo: Habe eben ein Workaround im Netz gefunden (zweite Seite, derzeit letzter Post): http://xpenology.com/forum/viewtopic.php?f=2&t=3575&sid=d7f30b5c2df6183b4860c97722142c15&start=10
Vielleicht hilft es ja und viel Erfolg!