Trojaner verschlüsselt Synology-NAS-Systeme

Update 2 4.8.2014 16:24 Uhr

Kriminelle haben neben der Geiselnahme von Daten auf PCs ein neues Betätigungsfeld gefunden: Mehrere Benutzer von NAS-Systemen von Synology berichten, dass der auf ihrem System befindliche Speicherinhalt von Unbekannten verschlüsselt wurde und der Zugriff erst nach Zahlung eines „Lösegelds“ wieder gewährt wird.

Diversen Foreneinträgen nach zu urteilen, sollen lediglich Benutzer betroffen sein, die einen Zugriff von außen auf ihr NAS zulassen. Wie die Erpresser die Systeme kompromittieren konnten, ist derzeit noch nicht bekannt. Der Zugriff könnte neben einer Schwachstelle in der Firmware, die vom Nutzer möglicherweise noch nicht aktualisiert wurde und deshalb weiterhin den Heartbleed-Bug aufweisen könnte, auch über gestohlene oder erratene Zugangsdaten erfolgt sein.

Die restliche Vorgehensweise erinnert stark an die bereits seit einiger Zeit im Umlauf befindliche Malware „CryptoLocker“. Der auf den Namen „SynoLocker“ getaufte Ableger verschlüsselt ebenfalls alle auf dem Gerät gespeicherten Daten, womit der Nutzer nicht mehr auf diese zugreifen kann. Über die Administrationsseite wird auf die Kaperung durch die Information aufmerksam gemacht, dass durch eine Zahlung von 0,6 BitCoins, aktuell rund 270 Euro, die Verschlüsselung seitens der Erpresser wieder aufgehoben würde. Dies gilt jedoch nur innerhalb der ersten sieben Tage, nach diesem Zeitraum wird die doppelte Summe fällig.

Aktuell ist es daher ratsam, den externen Zugriff auf das NAS-System zu unterbinden sowie auf hohe Prozessorlast im Ressourcen-Monitor zu achten. Darüber hinaus sollten Nutzer sicherstellen, dass die neueste Firmware installiert ist. Auf Anfrage von ComputerBase teilte Synology mit, dass das Problem bekannt sei und mit Hochdruck an einer Klärung gearbeitet wird, nähere Auskünfte könne das Unternehmen zum jetzigen Zeitpunkt jedoch nicht geben.

Update 05.08.2014 11:13 Uhr

Synology hat sich soeben in einem ersten Statement zu den Angriffen auf Synology-NAS geäußert. Darin werden betroffene Kunden gebeten, sich mit Synology in Verbindung zu setzen. Synology arbeitet nach eigenen Angaben weiterhin mit Hochdruck an der Klärung der Problematik. Derzeit ist weiterhin nicht bestätigt, welche DSM-Versionen betroffen sind und ob nur Kunden, die nach dem Heartbleed-Bug kein Update eingespielt haben, betroffen sind.

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter security~~synology.com zu kontaktieren.

Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team
Synology

Update 05.08.2014 16:29 Uhr

Wie Synology in einer erneuten Stellungnahme gegenüber ComputerBase bekannt gibt, sind nach aktuellen Informationen lediglich Synology-NAS-Server betroffen, die mit älteren DSM-Versionen (DSM 4.3-3810 oder älter) betrieben werden. Bei den betroffenen Versionen wird eine Sicherheitslücke ausgenutzt, welche von Synology bereits im Dezember 2013 behoben wurde. Derzeit sind keine Fälle mit dem aktuellen DSM 5.0 bekannt.

Für NAS-Server mit DSM 4.3-3810 oder älter und für Anwender, die eine der unten genannten Symptome bemerken, empfiehlt Synology, das NAS-System herunterzufahren und sich an den technischen Support zu wenden:

Beim Versuch auf das DSM-Interface zu zugreifen, wird eine Information gezeigt, dass alle wichtigen Dateien auf diesem NAS verschlüsselt wurden und eine Gebühr erforderlich ist, um die Daten wieder zu entsperren.
Ein Prozess namens "synosync" wird im Ressourcenmonitor ausgeführt.
DSM 4.3-3810 oder älter ist installiert, aber das System zeigt unter Systemsteuerung > DSM-Update an, dass die neueste Version installiert ist.

Abseits dieser Symptome empfiehlt Synology DSM 5.0 oder nachfolgende Firmwares zu installieren, um das System besser zu schützen:

Für DSM 4.3: DSM 4.3-3827 oder neuer installieren.
Für DSM 4.1 oder DSM 4.2: DSM 4.2-3243 oder neuer installieren.
Für DSM 4.0: DSM 4.0-2259 oder neuer installieren.

Der DiskStation Manager (DSM) kann über den Menüpunkt „Systemsteuerung > DSM-Update“ aktualisiert werden. Betroffene Anwender oder solche, die vermuten, dass ihr System betroffen ist, sollen sich weiterhin an security~~synology.com wenden, um Hilfe zu erhalten.