Synology SynoLocker: Warnmeldung ausgegeben

Heute berichteten wir hier im Blog schon über eine neue Bedrohung namens SynoLocker. Ein Schädling, der es Angreifern ermöglicht, auf euer Synology NAS zuzugreifen und die gesamten Daten zu verschlüsseln. Nutzer haben keinen Zugriff mehr und werden auf eine externe Seite geleitet, über die sie ein Lösegeld bezahlen sollen, um wieder an ihre Daten zu kommen. Synology hat jetzt eine Warnmeldung herausgegeben. In dieser wird darauf hingewiesen, dass derzeit alle Nutzer, die nicht infiziert sind, externe Ports des NAS schließen, zudem auf die aktuellste DSM-Version aktualisieren und unbedingt ein Backup anfertigen sollen. Betroffene Nutzer sollen sich ebenfalls über das Formular melden.Synology_DS414slim

Die Meldung im Original:

SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable. If NAS is infected, first do not trust (and ignore) any unauthorized, non-Synology messages or emails. Hard shut down the DiskStation to prevent any further issues. Contact Synology support as soon as possible by submitting a form below or email us at security@synology.com. We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. LinuxMcBook says:

    12 Terabyte backupen sich leider nicht so leicht, das RAID 5 sollte eigentlich „Backup“ genug sein…

  2. @LinuxMcBook Raid is not a backup ;D

  3. Ein weiterer Vorteil einer fertigen NAS Lösung 😉

  4. LinuxMcBook says:

    @tamcore
    Deswegen ja auch die Anführungszeichen

    Aber da ich bis jetzt nie Daten durch versehentliches löschen verloren habe, erschien mir das RAID die beste Möglichkeit um kostengünstig zumindest vor Hardwarefehlern geschützt zu sein.
    Die wichtigsten meiner Daten liegen eh in der Dropbox…

  5. Schmunzelnd… Da hat jemand 12 Terabyte Homestorage, über die er volle Kontrolle hätte, und schreibt dann „Die wichtigsten meiner Daten liegen eh in der Dropbox…“.

    Diese ganze Big Data / Public Cloud Shice hat uns echt weich gekocht… 😉

  6. „If NAS is not infected: First, close all open ports for external access for now“.

    Genau genommen müsste man sein Hausnetz vom Internet abklemmen, bis der Einfallsweg bekannt ist. Aber wer macht das schon?

  7. Welche Versionen sind betroffen? Das wäre interessant zu wissen.

    @Martin:
    Genau wie die Unfähigkeit sich in der eigenen Sprache ausdrücken zu können: 12 TB Speicher zuhause. Und shice bleibt Scheiß, das kann man auch schreiben.

  8. Danke!
    Gehe ich allerdings richtig in der Annahme, dass sich das NAS eher über einen Computer im LAN infiziert, als bei offenen Ports? Externe Ports sind keine offen.

  9. Kann es sein, dass Synology den Hauseigenen DynDNS-Dienst vorsorglich abgeschaltet hat?

  10. Dann fahre ich mein NAS mal lieber runter (WOL natürlich deaktiviert).

  11. Danke für die Meldung, habe meine beiden vorerst vom Netz genommen. Für ein Backup in der Größenordnung fehlen einfach die Nerven und die Zeit.

    Bin gespannt was als nächstes passiert…… Munter bleiben

  12. Echt häftig, mich würde mal interesieren wie der schädling auf das NAS kommt, via PC im LAN, oder via DynDNS?

    Wollte mir die Tage auch ein Synology kaufen 🙁

  13. Man könnte das ganze auch als „Ritterschlag“ sehen. Wenn sich die Virenschreiberlinge an eine bestimmte Marke/Modell heranmachen und einen Schädling programmieren, muss das Teil so gut sein weil es so viele Leute im Einsatz haben und sich der Aufwand überhaupt lohnt. Für eine andere NAS (DNS von DLink etc) würde der Aufwand in keiner Relation zum „Nutzen“ stehen. Von daher – an alle Synology User (ich bin übrigens seit drei Jahren auch begeisteter Anwender), Alles Richtig gemacht, das richtige Produkt ausgewählt und dank dieser Attacke freuen Sich die Hersteller externer USB Festplatten über reisenden Absatz weil vielleicht jetzt Doch der ein- oder andere auf die Idee kommt das ein Raid1 bzw. eine NAS kein Backup ist sondern explizit ein Backup verlangt.

    in diesem Sinne

  14. Hatte überlegt mir eine Synology zuzulegen.
    Überlege jetzt nicht mehr. Baue mir vermutlich was selbst. Nur leider ist das für Oma Erna keine Option.

  15. Wenn ihr eine Fritzbox habt macht die KIndersicherung an und auf Gesperrt stellen, sollte doch auch „sicher sein“ oder?

  16. Solange du keine Ports geforwarded hast sollte es eigentlich schon sicher sein.

  17. Ich bin als zwar schon versierter Nutzer, aber eben doch nicht IT-Profi ein wenig unsicher, was ich denn machen soll. „Ports schließen“ heißt für mich am Router schauen, dass es kein Port Forwarding gibt, oder?
    Oder muss ich am NAS selbst noch etwas einstellen, also z.B. dort in der Firewall was blocken?
    Aktuell kann man -soweit ich das beurteilen kann- nicht über das Internet auf meine Synology zugreifen. Anders herum kann mein NAS aber aufs Internet zugreifen, um z.B. Updates zu laden.

    Im Internet finde ich nur Tutorials, wie man das NAS ans Netz bekommt, nicht aber wie man es sichert. Kennt hier jemand vielleicht einen Tipp? Oder willst du Caschy mal was drüber schreiben, wie man sein NAS sicher macht? Ich glaube schon, das viele aktuell echt verunsichert sind, aber gleichzeitig nicht die Experten in Netzwerk-Konfoguration sind.

  18. @Tom: In der Standardausgabe ist dein NAS nicht im Netz, wenn du da nichts gemacht hast, solltest du sicher sein.

  19. http://owncloud.org ist eine alternativ, lauft tadellos

  20. DancingBallmer says:

    @Tom

    Die NAS geht über den Router ins Netz, dementpsrechend reicht es im Router Port-Forwarding zu deaktivieren. Bezüglich Sicherheit und NAS gibt es einige gute Videotutorials auf Youtube von iDomix.

    Persönlich hat sich das Thema NAS und Inernetzugriff erstmal erledigt, die NAS bleibt nur noch lokal erreichbar. Es war zwar ganz komfortabel für Projekte Dateien schnell austauschen zu können, für viele war aber das Einloggen (Stichwort sichere Passwörter) schon zu umständlich, weswegen es kaum genutzt und Mail/Dropbox/Google Drive bevorzugt wurden. Notfalls wird eben die NAS der FritzBox benutzt werden. Das ist für mich eine gute Lösung, für andere sicherlich nicht, weswegen ich den Frust vieler nur zu gut verstehen kann. Synology muß dringend an ihrem Sicherheitskonzept (Updates) und Informationspolitik arbeiten.

  21. ElvisOnStereoids says:

    Wie genau schliesse ich die Ports an der Synology?
    Diese Info kann ich leider nirgends finden. Ein Portscan zeigt nämlich reichlich offene Ports:
    Open TCP Port: 21 ftp
    Open TCP Port: 80 http
    Open TCP Port: 139 netbios-ssn
    Open TCP Port: 161 snmp
    Open TCP Port: 445 microsoft-ds
    Open TCP Port: 515 printer
    Open TCP Port: 548 afpovertcp
    Open TCP Port: 631 ipp
    Open TCP Port: 3689 daap
    Open TCP Port: 5000 commplex-main
    Open TCP Port: 5001 commplex-link
    Open TCP Port: 5005 avt-profile-2
    Open TCP Port: 5432 postgresql
    Open TCP Port: 49152
    Open TCP Port: 50001
    Open TCP Port: 50002
    Ich fürchte, diese Frage haben viele

  22. Tom, korrekt, falls du Ports im Router freigegeben hast, entferne diese im Moment. Falls du Quickconnect (auf dem Nas) eingerichtet hast, deaktiviere dies. Diese zwei Schritte schliessen die möglichen Zugänge von aussen.

    Für zusätzliche Sicherheit (abgesehen von der momentanen Problematik:
    Du kannst (zufinden unter Security in den Systemeinstellungen) den Autoblock einzuschalten. Somit werden erfolglose Versuche geblockt. Falls du bloss aus Deutschland (oder deinem Heimatsland) auf deine Nas zugreifen wirst kannst du als zusätzliche Hürde an gleicher Stelle unter Firewall den Zugriff für alle Länder ausser Deutschland sperren. Wenn du ein Smartphone besitzt kannst du, indem du oben rechts auf die Figur klickst, in deinen Profileinstellungen die 2-Schritt-Auth einschalten und konfigurieren.
    Falls du in Zukunft planst dein Nas von aussen erreichbar zu machen empfehle ich dir die Standartports der Synology zu ändern. (nimm eine hohe Nummer im 5stelligen Bereich, diese werden normalerweise nicht gescannt, hat keiner die Zeit für. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers hier findest du zusätzliche Infos)
    Last but not least, halte dein Nas aktuell, soweit ich es beurteilen kann sind bisher bloss Leute mit älteren Versionen und Standartports betroffen, dies ist aber nur eine persönliche Beobachtung und kein technisch verifizierter Fakt.

  23. Also gehe ich recht der annahme das der schädling über die Synology Firmware zugriff bekommen hat, nicht über einen Lokal im LAN laufenden PC ?

    Also wer dein NAS nur im Netz betreibt sollte sicher sein ?

  24. Ich bekomme heute im Laufe des Tages übrigens noch weiterführende Infos, melde mich

  25. freenas oder nas4free sind gute Alternativen für eine Selbstbau-NAS.

    http://www.freenas.org/
    http://www.nas4free.org/

    Die Ports schliesst du indem du die Dienste auf dem NAS abschaltest…
    Dann kommt aber niemand mehr ran.

  26. Slider, zur Zeit ist nicht bekannt wie der Schädling auf dem Nas landet. Die Meldungen sind teilweise sehr ungenau, da zur Zeit alles im Panikmodus ist, jedoch hatten die meisten (wenn nicht alle) gewisse Standartports gegen aussen offen. Du dürftest somit vermutlich sicher sein. (Ich habe bisher sowieso die Vermutung betrifft nur die ältere DSM versionen, hier auf Arbeit haben 5 Leute ein Nas zuhause, mit mir sind das ein Total von 8 Nas, alle mit der aktuellen DSM version, alle von aussen erreichbar, *aufholzklopf* bisher keiner von uns betroffen)

  27. @Caschy wirst du den Beitrag hier updaten, oder die Info in ein neuen packen? Tiny-RSS rennt auf der Synology, die Ports sind von aussen dicht, daher bin ich Rss technisch zur Zeit blind. 😀

  28. Namenlos, weil Cookies gelöscht... says:

    Schön ist auch, das Synology schreibt, man sollte auf die neuste Version der DS updaten….Wenn nun nur die neuste Version anfällig ist? 🙂
    (Gruselfilmmusik Einspielung)

  29. Erstelle ich am besten eine Geo IP regel, indem ich De aktiviere und das „zulassen“?
    Sind dann automatisch alle anderen geblockt?
    Und was ist A1 (anonymer proxy) das müsste doch auch geblockt werden?

  30. Vielen Dank mal an alle und an Caschy, bin jetzt etwas beruhigter 🙂

  31. Lt. einem Post im deutschen Syno-Forum (http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker&p=445656&viewfull=1#post445656) ist anscheinend nur

    DSM 4.3 vor Build 3827
    DSM 4.1/4.2 vor Build DSM 4.2-3243
    DSM 4.0 vor Build 2259

    betroffen. DSM 5.0 soll demnach nicht betroffen sein.

    —————————8<————————–
    Thank you for contacting Synology support.

    From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:

    http://www.synology.com/company/news/article/437

    As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:

    http://www.synology.com/en-global/support/tutorials/478

    Hope this helps.

    Best Regards,
    —————————8<————————–

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.