Anzeige

Synology SynoLocker: Warnmeldung ausgegeben

Heute berichteten wir hier im Blog schon über eine neue Bedrohung namens SynoLocker. Ein Schädling, der es Angreifern ermöglicht, auf euer Synology NAS zuzugreifen und die gesamten Daten zu verschlüsseln. Nutzer haben keinen Zugriff mehr und werden auf eine externe Seite geleitet, über die sie ein Lösegeld bezahlen sollen, um wieder an ihre Daten zu kommen. Synology hat jetzt eine Warnmeldung herausgegeben. In dieser wird darauf hingewiesen, dass derzeit alle Nutzer, die nicht infiziert sind, externe Ports des NAS schließen, zudem auf die aktuellste DSM-Version aktualisieren und unbedingt ein Backup anfertigen sollen. Betroffene Nutzer sollen sich ebenfalls über das Formular melden.Synology_DS414slim

Die Meldung im Original:

SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable. If NAS is infected, first do not trust (and ignore) any unauthorized, non-Synology messages or emails. Hard shut down the DiskStation to prevent any further issues. Contact Synology support as soon as possible by submitting a form below or email us at security@synology.com. We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. http://owncloud.org ist eine alternativ, lauft tadellos

  2. DancingBallmer says:

    @Tom

    Die NAS geht über den Router ins Netz, dementpsrechend reicht es im Router Port-Forwarding zu deaktivieren. Bezüglich Sicherheit und NAS gibt es einige gute Videotutorials auf Youtube von iDomix.

    Persönlich hat sich das Thema NAS und Inernetzugriff erstmal erledigt, die NAS bleibt nur noch lokal erreichbar. Es war zwar ganz komfortabel für Projekte Dateien schnell austauschen zu können, für viele war aber das Einloggen (Stichwort sichere Passwörter) schon zu umständlich, weswegen es kaum genutzt und Mail/Dropbox/Google Drive bevorzugt wurden. Notfalls wird eben die NAS der FritzBox benutzt werden. Das ist für mich eine gute Lösung, für andere sicherlich nicht, weswegen ich den Frust vieler nur zu gut verstehen kann. Synology muß dringend an ihrem Sicherheitskonzept (Updates) und Informationspolitik arbeiten.

  3. ElvisOnStereoids says:

    Wie genau schliesse ich die Ports an der Synology?
    Diese Info kann ich leider nirgends finden. Ein Portscan zeigt nämlich reichlich offene Ports:
    Open TCP Port: 21 ftp
    Open TCP Port: 80 http
    Open TCP Port: 139 netbios-ssn
    Open TCP Port: 161 snmp
    Open TCP Port: 445 microsoft-ds
    Open TCP Port: 515 printer
    Open TCP Port: 548 afpovertcp
    Open TCP Port: 631 ipp
    Open TCP Port: 3689 daap
    Open TCP Port: 5000 commplex-main
    Open TCP Port: 5001 commplex-link
    Open TCP Port: 5005 avt-profile-2
    Open TCP Port: 5432 postgresql
    Open TCP Port: 49152
    Open TCP Port: 50001
    Open TCP Port: 50002
    Ich fürchte, diese Frage haben viele

  4. Tom, korrekt, falls du Ports im Router freigegeben hast, entferne diese im Moment. Falls du Quickconnect (auf dem Nas) eingerichtet hast, deaktiviere dies. Diese zwei Schritte schliessen die möglichen Zugänge von aussen.

    Für zusätzliche Sicherheit (abgesehen von der momentanen Problematik:
    Du kannst (zufinden unter Security in den Systemeinstellungen) den Autoblock einzuschalten. Somit werden erfolglose Versuche geblockt. Falls du bloss aus Deutschland (oder deinem Heimatsland) auf deine Nas zugreifen wirst kannst du als zusätzliche Hürde an gleicher Stelle unter Firewall den Zugriff für alle Länder ausser Deutschland sperren. Wenn du ein Smartphone besitzt kannst du, indem du oben rechts auf die Figur klickst, in deinen Profileinstellungen die 2-Schritt-Auth einschalten und konfigurieren.
    Falls du in Zukunft planst dein Nas von aussen erreichbar zu machen empfehle ich dir die Standartports der Synology zu ändern. (nimm eine hohe Nummer im 5stelligen Bereich, diese werden normalerweise nicht gescannt, hat keiner die Zeit für. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers hier findest du zusätzliche Infos)
    Last but not least, halte dein Nas aktuell, soweit ich es beurteilen kann sind bisher bloss Leute mit älteren Versionen und Standartports betroffen, dies ist aber nur eine persönliche Beobachtung und kein technisch verifizierter Fakt.

  5. Also gehe ich recht der annahme das der schädling über die Synology Firmware zugriff bekommen hat, nicht über einen Lokal im LAN laufenden PC ?

    Also wer dein NAS nur im Netz betreibt sollte sicher sein ?

  6. Ich bekomme heute im Laufe des Tages übrigens noch weiterführende Infos, melde mich

  7. freenas oder nas4free sind gute Alternativen für eine Selbstbau-NAS.

    http://www.freenas.org/
    http://www.nas4free.org/

    Die Ports schliesst du indem du die Dienste auf dem NAS abschaltest…
    Dann kommt aber niemand mehr ran.

  8. Slider, zur Zeit ist nicht bekannt wie der Schädling auf dem Nas landet. Die Meldungen sind teilweise sehr ungenau, da zur Zeit alles im Panikmodus ist, jedoch hatten die meisten (wenn nicht alle) gewisse Standartports gegen aussen offen. Du dürftest somit vermutlich sicher sein. (Ich habe bisher sowieso die Vermutung betrifft nur die ältere DSM versionen, hier auf Arbeit haben 5 Leute ein Nas zuhause, mit mir sind das ein Total von 8 Nas, alle mit der aktuellen DSM version, alle von aussen erreichbar, *aufholzklopf* bisher keiner von uns betroffen)

  9. @Caschy wirst du den Beitrag hier updaten, oder die Info in ein neuen packen? Tiny-RSS rennt auf der Synology, die Ports sind von aussen dicht, daher bin ich Rss technisch zur Zeit blind. 😀

  10. Namenlos, weil Cookies gelöscht... says:

    Schön ist auch, das Synology schreibt, man sollte auf die neuste Version der DS updaten….Wenn nun nur die neuste Version anfällig ist? 🙂
    (Gruselfilmmusik Einspielung)

  11. Erstelle ich am besten eine Geo IP regel, indem ich De aktiviere und das „zulassen“?
    Sind dann automatisch alle anderen geblockt?
    Und was ist A1 (anonymer proxy) das müsste doch auch geblockt werden?

  12. Vielen Dank mal an alle und an Caschy, bin jetzt etwas beruhigter 🙂

  13. Lt. einem Post im deutschen Syno-Forum (http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker&p=445656&viewfull=1#post445656) ist anscheinend nur

    DSM 4.3 vor Build 3827
    DSM 4.1/4.2 vor Build DSM 4.2-3243
    DSM 4.0 vor Build 2259

    betroffen. DSM 5.0 soll demnach nicht betroffen sein.

    —————————8<————————–
    Thank you for contacting Synology support.

    From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:

    http://www.synology.com/company/news/article/437

    As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:

    http://www.synology.com/en-global/support/tutorials/478

    Hope this helps.

    Best Regards,
    —————————8<————————–

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.