News 06.08.2014, 08:02 Uhr

Synology: Entwarnung zum Verschlüsselungs-Trojaner

Schon seit Anfang August kursieren Meldungen über einen Synology-Trojaner. Synology nimmt erstmals Stellung und gibt teilweise Entwarnung: vor allem ältere NAS-Systeme sind anfällig.
Fiese Malware-Schreiber versuchen derzeit, vorwiegend auf älteren Synology-NAS-Systemen einen Verschlüsselungs-Trojaner einzuschleusen. Opfer, die es erwischt hat, berichten im Synology-Forum von einem verwehrten Zugriff auf die Benutzeroberfläche und einem Erpressungsverbruch, eine Zahlung von 0,6 Bitcoins (etwa 320 Franken) zur Entschlüsselung zu leisten.
Das Problem betrifft Synology zufolge jedoch lediglich DiskStations, die noch auf älteren DSM-Versionen (wie DSM 4.3-3810 oder älter) laufen. Von Grund auf nicht betroffen sind NAS-Systeme, die nur im heimischen Netzwerk eingesetzt werden. Schon nach dem Heartbleed-Bug und der kürzlichen Dodge-Coin-Attacke hat Synology immer wieder schnell reagiert und nicht nur Patches für neuste Synology-Modelle nachgeliefert. Es werde angeblich eine Sicherheitslücke ausgenutzt, welche schon seit Dezember 2013 behoben wurde, gab Synology uns auf Anfrage zu verstehen.

Sofortmassnahmen

Folgende Symptome könnten laut Synology darauf hindeuten, dass Ihre DiskStation von dem Verschlüsselungs-Trojaner befallen sein könnte:
  • Ein Prozess namens «synosync» wird im Ressourcenmonitor ausgeführt.
  • DSM 4.3-3810 oder älter ist installiert, aber das System zeigt unter DSM-Update an, dass schon die neuste Version installiert ist.
  • Akutes Symptom: Nach dem Einloggen auf die Benutzeroberfläche wird eine Information gezeigt, dass alle wichtigen Dateien auf Ihrem NAS verschlüsselt wurden und eine Gebühr erforderlich ist, um die Daten wieder zu entsperren.
Wer eines oder mehrere dieser Symptome bemerkt, sollte das NAS-System sofort herunterfahren und sich an Synologys technischen Support wenden.

Präventivmassnahmen

Allen anderen Anwendern, die keine solchen Symptome bemerken, sollten präventionshalber Ihre Firmware-Versionen überprüfen und diese gegebenfalls um folgende Sicherheitspakete aktualisieren:
  • Bei DSM 4.3 sollten Sie DSM 4.3-3827 (oder höher) installiert haben.
  • Bei DSM 4.1 oder DSM 4.2 sollten Sie auf DSM 4.2-3243 (oder höher) aktualisieren.
  • Für DSM 4.0 installieren Sie mindestens das Paket DSM 4.0-2259.
Das alles geht am einfachsten über die Systemsteuerung via DSM-Update. Wer lieber manuell eine DSM-Version aktualisieren will, kann sich diese auch direkt von Synology über die URL http://www.synology.com/de-de/support/download herunterladen.
Tipp: Vielleicht trivial, doch das vergisst man hie und da: Wer häufig übers Internet auf seine Synology zugreift, sollte von Zeit zu Zeit seine aktivierten Netzwerkdienste und die im NAT-Interface vom Router vorgenommenen Portweiterleitungen überprüfen. Auch wenn von betroffenen Modellen wichtige Portbereiche ausgemacht werden konnten, über welche der Trojaner eingeschleust wurde: Es müssen ja nicht ständig Netzwerkdienste aktiv sein, die man nicht so oft benötigt.

Autor(in) Simon Gröflin



Kommentare
Avatar
dst
06.08.2014
1. Zitat: "Synology: Entwarnung zum Verschlüsselungs-Trojaner" ist irreführend. Richtig wäre: Synology: Ältere NAS-System anfällig für SynoLock. Ältere DSM, d.h. Firmware sind immer noch betroffen und gefärdet. 2. Zitat: Seit gestern kursieren Meldungen über einen Synology-Trojaner. Falsch: Der Tread im Synology-Forum (Englisch/Deutsch) ist vom 3.8. Bei Twitter ist der begriff SynoLock am 4.8. aufgetaucht und @SynologyUK hat dies am 4.8. auch via Twitter bestätigt: "If you have been affected by the #Synolock issue please contact us via https://myds.synology.com/support/support_form.php?lang=uk … Our engineers are working to fix this asap!" 3. Wer eine NAS von welchem Anbieter auch immer ins Internet stellt sollte wissen was er tut. 4. Wenn ein NAS keine Updates bekommt, muss er damit rechnen das er irgendeinmal ein Problem hat. 5. Backup, backup, backup, backup, backup, backup, backup machen.... Gruss Dany

Avatar
Simon Gröflin
06.08.2014
Wer hat denn noch die ganz alten DSM's am laufen? Sehe ich ähnlich. Es dürften wohl eher solche sein, die nicht zwischendurch die Updates prüfen. 1. Zitat: "Synology: Entwarnung zum Verschlüsselungs-Trojaner" ist irreführend. Richtig wäre: Synology: Ältere NAS-System anfällig für SynoLock. Ältere DSM, d.h. Firmware sind immer noch betroffen und gefärdet. 2. Zitat: Seit gestern kursieren Meldungen über einen Synology-Trojaner. Falsch: Der Tread im Synology-Forum (Englisch/Deutsch) ist vom 3.8. Bei Twitter ist der begriff SynoLock am 4.8. aufgetaucht und @SynologyUK hat dies am 4.8. auch via Twitter bestätigt ... Der Titel an sich "stimmt" schon. Ich schiesse bei Security-Meldungen meistens nicht zu schnell drauf los und warte nebst Prüfung von Forenbeiträgen meistens noch auf erste Rückmeldungen des Herstellers. Mir kam das eben gestern ein bisschen so vor, als würden viele ein bisschen auf Panik machen mit dieser Meldung. Es sind ja wirklich nur alte Firmwares betroffen. Hab aber noch im Lead angepasst, dass, wie du sagst, vor allem ältere NAS-Systeme anfällig sind und "Meldungen" schon seit Anfang August die Runde machen - danke!

Avatar
dst
06.08.2014
Ja leider wurde hier auf Panik gemacht. Viele haben dann einfach die NAS heruntergefahren und sogar den Stecker gezogen aus Angst das sie ihre Daten verlieren könnten. Die Rückmeldung eines Betroffenen gab an, das einzig der Port 1723 (für PPTP VPN) offen war. Mit dem Untertitel ist das ganze mehr verständlich, den es ist nur eine Entwarnung für die neuere Firmware. Dany

Avatar
Geoffrey
07.08.2014
Ich bin auch einer, der ein aelteres Geraet besitzt. Es funktioniert einwandfrei und genuegt mir und deshalb werde ich es noch nicht ersetzen. Die neuste Firmware fuer mein Geraet ist DS107e_DSM 3.1-1637. Ueber die aeltere Version 3.1 steht im Artikel nichts. Daher werde ich mich wohl bei Synology selber einmal umsehen muessen ob ich mehr Informationen erhalte. In den "Release Notes" vom 27.11.2013 steht: Fixed Issues Enhanced the overall security of DSM. Das gibt ja eher ein gutes Gefuehl, passt allerdings doch nicht so ganz zum Zitat: Es werde angeblich eine Sicherheitslücke ausgenutzt, welche schon seit Dezember 2013 behoben wurde, gab Synology uns auf Anfrage zu verstehen. Geoffrey PS. ich finde den Artikel gut geschrieben und habe nichts daran auszusetzen. Andere schreiben halt anders als man das selber tun wuerde aber das heisst ja nicht, dass es dann falsch ist. Es ist eine moderne Unsitte geworden, an allem geschriebenem herum zu kritisieren.

Avatar
Simon Gröflin
07.08.2014
Die neuste Firmware fuer mein Geraet ist DS107e_DSM 3.1-1637. Ueber die aeltere Version 3.1 steht im Artikel nichts. Daher werde ich mich wohl bei Synology selber einmal umsehen muessen ob ich mehr Informationen erhalte. In den "Release Notes" vom 27.11.2013 steht: Fixed Issues Enhanced the overall security of DSM. Das gibt ja eher ein gutes Gefuehl, passt allerdings doch nicht so ganz zum Zitat: Es werde angeblich eine Sicherheitslücke ausgenutzt, welche schon seit Dezember 2013 behoben wurde, gab Synology uns auf Anfrage zu verstehen. Kann sonst mal kurz nachfragen für dich. Würde mich auch interessieren, was Synology dazu meint. Müsste allerdings schon ein recht altes Gerät sein, oder etwa nicht? Egal. lg Simon

Avatar
dst
07.08.2014
DS107e_DSM 3.1-1637. Es wurden seither einige Sicherheitspatches herausgegeben, da würde ich mir 2. überlegen so eine alte Version noch ins Netz zu stellen. Ich habe eine alte x07er NAS mit DSM 3.1-1638, diese ist nur noch mein Backup, mehr nicht. Grundsätzlich kommt es darauf an was du damit anstellst, d.h. welche Ports du freigibst, welche Dienste ins Internet stellst. Es ist eine moderne Unsitte geworden, an allem geschriebenem herum zu kritisieren. Ich habe nicht den ganzen Artikel kritisiert, nur den Titel, weil er irreführend ist. Es gibt nur eine Entwarnung ab einer neuen Version. Ältere Versionen (da schliesse ich 3.1 mit ein) sind immer noch davon betroffen und damit wäre es für dich keine Entwarnung. *Edit* Müsste allerdings schon ein recht altes Gerät sein, oder etwa nicht? Da es sich um ein x7 Gerät handelt kam es 2007 auf den Markt. Welche NAS noch Updates kriegt, kann auf folgender Seite schauen: http://www.synology.com/de-de/products/products_status @Simon, das wäre ja z.B. ein Beitrag wert was man tun kann wenn man ein älteres NAS hat. Worauf man achten muss usw. Gruss Dany

Avatar
Simon Gröflin
08.08.2014
Bis jetzt weiss ich von Synology nur, dass DSM 3.x nicht betroffen ist. Hab nochmals nachgefragt, was denn mit älteren Systemen ist. Hier die aktualisierte PR-Mitteilung: http://www.synology.com/de-de/company/news/article/472 BTW Melani hat gestern auch noch einen Bericht rausgelassen: http://www.melani.admin.ch/dienstleistungen/archiv/01583/index.html?lang=de Ich frag mich allerdings, ob diese Bruteforce-Decrypto-Tools im Ernstfall was bringen. Solche Tools gibts schon länger und sie fruchten nicht immer. Man kanns im Notfall probieren. lg Simon

Avatar
Geoffrey
10.08.2014
Bis jetzt weiss ich von Synology nur, dass DSM 3.x nicht betroffen ist. Hab nochmals nachgefragt, was denn mit älteren Systemen ist. Hier die aktualisierte PR-Mitteilung: http://www.synology.com/de-de/company/news/article/472 lg Simon Danke, das hilft mir sehr. Geoffrey