Firmenlink

 

Synology: Entwarnung zum Verschlüsselungs-Trojaner

Schon seit Anfang August kursieren Meldungen über einen Synology-Trojaner. Synology nimmt erstmals Stellung und gibt teilweise Entwarnung: vor allem ältere NAS-Systeme sind anfällig.

von Simon Gröflin 06.08.2014

Huawei-Phones gewinnen

Machen Sie mit an der PCtipp-Trendumfrage und sichern Sie sich die Chance auf eines von zwei Huawei-Smartphones. Die Umfrage dauert rund 10 Minuten.

An der Umfrage teilnehmen

Achtung bei Firmware-Version 4.3-3810 oder älter, erst recht bei aktiviertem Fernzugriff - sonst begrüsst Sie vielleicht demnächst eine solche Nachricht auf der Admin-Oberfläche Achtung bei Firmware-Version 4.3-3810 oder älter, erst recht bei aktiviertem Fernzugriff - sonst begrüsst Sie vielleicht demnächst eine solche Nachricht auf der Admin-Oberfläche Zoom Fiese Malware-Schreiber versuchen derzeit, vorwiegend auf älteren Synology-NAS-Systemen einen Verschlüsselungs-Trojaner einzuschleusen. Opfer, die es erwischt hat, berichten im Synology-Forum von einem verwehrten Zugriff auf die Benutzeroberfläche und einem Erpressungsverbruch, eine Zahlung von 0,6 Bitcoins (etwa 320 Franken) zur Entschlüsselung zu leisten.

Das Problem betrifft Synology zufolge jedoch lediglich DiskStations, die noch auf älteren DSM-Versionen (wie DSM 4.3-3810 oder älter) laufen. Von Grund auf nicht betroffen sind NAS-Systeme, die nur im heimischen Netzwerk eingesetzt werden. Schon nach dem Heartbleed-Bug und der kürzlichen Dodge-Coin-Attacke hat Synology immer wieder schnell reagiert und nicht nur Patches für neuste Synology-Modelle nachgeliefert. Es werde angeblich eine Sicherheitslücke ausgenutzt, welche schon seit Dezember 2013 behoben wurde, gab Synology uns auf Anfrage zu verstehen.

Sofortmassnahmen

Folgende Symptome könnten laut Synology darauf hindeuten, dass Ihre DiskStation von dem Verschlüsselungs-Trojaner befallen sein könnte:

  • Ein Prozess namens «synosync» wird im Ressourcenmonitor ausgeführt.
  • DSM 4.3-3810 oder älter ist installiert, aber das System zeigt unter DSM-Update an, dass schon die neuste Version installiert ist.
  • Akutes Symptom: Nach dem Einloggen auf die Benutzeroberfläche wird eine Information gezeigt, dass alle wichtigen Dateien auf Ihrem NAS verschlüsselt wurden und eine Gebühr erforderlich ist, um die Daten wieder zu entsperren.

Wer eines oder mehrere dieser Symptome bemerkt, sollte das NAS-System sofort herunterfahren und sich an Synologys technischen Support wenden.

Präventivmassnahmen

Allen anderen Anwendern, die keine solchen Symptome bemerken, sollten präventionshalber Ihre Firmware-Versionen überprüfen und diese gegebenfalls um folgende Sicherheitspakete aktualisieren:

  • Bei DSM 4.3 sollten Sie DSM 4.3-3827 (oder höher) installiert haben.
  • Bei DSM 4.1 oder DSM 4.2 sollten Sie auf DSM 4.2-3243 (oder höher) aktualisieren.
  • Für DSM 4.0 installieren Sie mindestens das Paket DSM 4.0-2259.

Das alles geht am einfachsten über die Systemsteuerung via DSM-Update. Wer lieber manuell eine DSM-Version aktualisieren will, kann sich diese auch direkt von Synology über die URL http://www.synology.com/de-de/support/download herunterladen.

Tipp: Vielleicht trivial, doch das vergisst man hie und da: Wer häufig übers Internet auf seine Synology zugreift, sollte von Zeit zu Zeit seine aktivierten Netzwerkdienste und die im NAT-Interface vom Router vorgenommenen Portweiterleitungen überprüfen. Auch wenn von betroffenen Modellen wichtige Portbereiche ausgemacht werden konnten, über welche der Trojaner eingeschleust wurde: Es müssen ja nicht ständig Netzwerkdienste aktiv sein, die man nicht so oft benötigt.


    Kommentare

    • PC-John 06.08.2014, 13.52 Uhr

      Wer hat denn noch die ganz alten DSM's am laufen? DSM = DiskStationManager = Betriebssystem einer Synology, basiert auf Linux. Synology fertigt seit ca. 10 Jahren eine ganze Reihe an NAS. Und es ist klar, dass ganz alte Synology's aufgrund der Hardware nicht mehr auf das neueste DSM aufgerüstet werden können. Da aber auch ganz alte Synology's ihren Dienst noch klaglos versehen können, bis auf die Performance natürlich, ist hier schon eine gewisse Vorsicht geboten. Das heisst also ganz k[...]

    • dst 06.08.2014, 14.38 Uhr

      1. Zitat: "Synology: Entwarnung zum Verschlüsselungs-Trojaner" ist irreführend. Richtig wäre: Synology: Ältere NAS-System anfällig für SynoLock. Ältere DSM, d.h. Firmware sind immer noch betroffen und gefärdet. 2. Zitat: Seit gestern kursieren Meldungen über einen Synology-Trojaner. Falsch: Der Tread im Synology-Forum (Englisch/Deutsch) ist vom 3.8. Bei Twitter ist der begriff SynoLock am 4.8. aufgetaucht und @SynologyUK hat dies am 4.8. auch via Twitter bestätigt: "If you have been affec[...]

    • Simon Gröflin 06.08.2014, 15.18 Uhr

      Wer hat denn noch die ganz alten DSM's am laufen? Sehe ich ähnlich. Es dürften wohl eher solche sein, die nicht zwischendurch die Updates prüfen. 1. Zitat: "Synology: Entwarnung zum Verschlüsselungs-Trojaner" ist irreführend. Richtig wäre: Synology: Ältere NAS-System anfällig für SynoLock. Ältere DSM, d.h. Firmware sind immer noch betroffen und gefärdet. 2. Zitat: Seit gestern kursieren Meldungen über einen Synology-Trojaner. Falsch: Der Tread im Synology-Forum (Englisch/Deutsch) ist [...]

    weitere Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.