ComputerBase Menü
Aktuelles

News Trojaner verschlüsselt Synology-NAS-Systeme

Naja man muss aber ganz klar sagen, dass Synology relativ kurzfristig auf Bedrohungen reagiert hatte. Heartbleed wurde innerhalb von einer Woche gefixt. Sicher kann es für viele zu lange sein, aber die haben sich sofort dem Problem angenommen. Bei anderen NAS Herstellern wars nicht so schnell.
Zum Vergrößern anklicken....

Heartbleed war über ein Jahr bekannt bis es mal in der Presse aufschlug und dann die ersten Firmen reagierten!
 
Naja wer bereit ist für die Daten einer NAS Lösegeld zu zahlen hat doch irgendwie das Prinzip Backup nicht ganz verstanden.
Wenn mir das passiert dann werden die Platten formatiert, das was relevant war vom Backup zurück gespielt und die Sache ist erledigt.
 
Ich hab keinen DDNS Eintrag in meiner DS, sondern eine Portweiterleitung in der Fritzbox.

DS vom Internet trennen, heißt in dem Fall doch nur die Portweiterleitung rausnehmen oder sehe ich das falsch?

Backup habe ich natürlich. Dennoch möchte ich mir das ganze ersparen ;-)

Danke für die Hilfe.
 
Hab jetzt auch mal den "Externen Zugriff" deaktiviert. Sollte passen oder? Hab da halt die "Haken" bei den Ports rausgenommen.
Backup hab ich zwar aber wie der User über mir erspar ich mir das gerne.

Falls das nicht reicht kann mir jemand sagen was ich einstellen muss um sicher zu sein?
 
computerblicker schrieb:
Hab jetzt auch mal den "Externen Zugriff" deaktiviert. Sollte passen oder? Hab da halt die "Haken" bei den Ports rausgenommen.
Backup hab ich zwar aber wie der User über mir erspar ich mir das gerne.

Falls das nicht reicht kann mir jemand sagen was ich einstellen muss um sicher zu sein?
Zum Vergrößern anklicken....

hab das selbe gemacht, hoffe das reicht :D
quickconnect kannst noch deaktivieren falls du das hast
 
Sea-Kay schrieb:
Ich hab keinen DDNS Eintrag in meiner DS, sondern eine Portweiterleitung in der Fritzbox.

DS vom Internet trennen, heißt in dem Fall doch nur die Portweiterleitung rausnehmen oder sehe ich das falsch?

Backup habe ich natürlich. Dennoch möchte ich mir das ganze ersparen ;-)

Danke für die Hilfe.
Zum Vergrößern anklicken....

Portweiterleitung rausnehmen entspricht quasi einem trennen vom Internet. (Gibt ausnahmen, zum Beispiel wenn jemand deinen VPN Zugang knackt etc.)

Aber der Angriff scheint ja direkt über das WebDAV gekommen zu sein...
 
Kingfisher OK schrieb:
Portweiterleitung rausnehmen entspricht quasi einem trennen vom Internet. (Gibt ausnahmen, zum Beispiel wenn jemand deinen VPN Zugang knackt etc.)

Aber der Angriff scheint ja direkt über das WebDAV gekommen zu sein...
Zum Vergrößern anklicken....

Das bedeutet das ich die DS über VPN weiterhin von "Aussen" betreiben kann?
 
Gegenwärtig geht Synology davon aus, dass nur DSM 4,x vom Befall der Ransomware betroffen ist. Der Trojaner nutzt dabei wohl eine Sicherheitslücke aus, die Synology bereits im Februar 2014 behoben hatte. Auf einer entsprechend datierten Webseite stehen die Versionsnummern der Updates, die im Download-Center erhältlich sind. DSM 5.0 sei nicht betroffen, so das Unternehmen, und verlinkt auf eine weitere Webseite, in der die sichere Abschottung eines Systems beschrieben wird.
Zum Vergrößern anklicken....

Quelle: Golem
 
Das ist nicht korrekt. Im Synology Forum existiert z.B. ein Screenshot einer betroffenen DiskStation bei der deutlich das DSM 5.0 Userinterface zu erkennen ist.
 
Eggcake schrieb:
Das ist nicht korrekt. Im Synology Forum existiert z.B. ein Screenshot einer betroffenen DiskStation bei der deutlich das DSM 5.0 Userinterface zu erkennen ist.
Zum Vergrößern anklicken....

Die sollen aber angeblich Fake sein, da mit der Ransomware drauf, keine zugriff mehr auf die DS möglich ist.
 
Zuletzt bearbeitet:
Eggcake schrieb:
Das ist nicht korrekt. Im Synology Forum existiert z.B. ein Screenshot einer betroffenen DiskStation bei der deutlich das DSM 5.0 Userinterface zu erkennen ist.
Zum Vergrößern anklicken....

Bei allen Screenshots "infizierter" Diskstations war das einloggen gar nicht möglich, weil gleich der Hinweisbildschirm angezeigt wurde. Bei dem Screenshot ist der Benutzer eingeloggt, daher halte ich diesen Screenshot für ein Fake.

Edit: Wieder zu langsam.:heul:
 
Zuletzt bearbeitet: (zu langsam)
Synology® repariert Schwachstelle in Diskstation Manager

Düsseldorf, Deutschland— 18. Februar 2014—Synology® bestätigt die bereits bekannte Sicherheitslücke, gemeldet als CVE-2013-6955 und CVE-2013-6987. Diese kann dazu führen, dass der Zugriff auf DSM kompromittiert wird. Eine aktualisierte Version von DSM, die das Problem behebt, wurde bereits kurz nach Bekanntwerden des Problems zur Verfügung gestellt.

Folgende Symptome können auf betroffenen DiskStations/RackStations auftreten:

Außergewöhnlich hohe CPU-Auslastung im Ressourcenmonitor:
CPU-Ressourcen werden durch Prozesse, wie dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm oder jegliche Prozesse mit PWNED im Namen, besetzt.
Auftauchen von Nicht-Synology-Ordnern:
Es erscheint ein automatisch erstellter freigegebener Ordner mit dem Namen "startup" oder ein Nicht-Synology-Ordner unter dem Pfad "/root/PWNED".
Umleitung der Web Station:
"Index.php" wird auf eine unerwartete Seite umgeleitet
Auftauchen von Nicht-Synology-CGI-Programmen:
Dateien mit bedeutungslosen Namen existieren unter dem Pfad "/usr/syno/synoman"
Auftauchen von Nicht-Synology Skript-Dateien:
Nicht-Synology Skript-Dateien, wie zB "S99p.sh", unter dem Pfad "/usr/syno/etc / rc.d"

Sollten Nutzer eine der aufgeführten Symptome feststellen, wird dringend geraten, DSM neu zu installieren. Die jeweils neue DSM-Version finden Sie im Download Center und eine Anleitung zur Neu-Installation von DSM finden Sie hier.

Für DiskStations/.......mit DSM 4.3 installieren Sie DSM 4.3-3827 oder neuer.
Zum Vergrößern anklicken....


Dann bin ich mit meiner Version DSM 4.3-3827 Update 5 auf der sicheren Seite, Gott sei Dank.


Edit:
Bei Caschy gibts noch weitere Infos :

Synology SynoLocker: Diese Versionen des DiskStation Managers sind betroffen

http://stadt-bremerhaven.de/synology-synolocker-diese-versionen/#more-140985

;)

Edit2:
Bissi verwirrend ist das aber schon :D
Menschen, die DSM 4.3 einsetzen, sollen mindestens auf DSM 4.3-3827 aktualisieren, wer noch DSM 4.1 oder DSM 4.2 einsetzt, der soll auf DSM 4.2-3243 oder höher aktualisieren. Da es auch noch Nutzer von DSM 4.0 gibt, sollen diese zumindest auf DSM 4.0-2259 oder höher aktualisieren.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Auf unserer DS läuft nur die Cloudstation. Besteht trotzdem die Gefahr eines Angriffs?
 
jedes ungesicherte nas kann angegriffen werden. und auch über hardware/software-lücken und/oder unsachgemässer handhabung ist alles möglich.
 
Artikel-Update: Wie Synology in einer erneuten Stellungnahme gegenüber ComputerBase bekannt gibt, sind nach aktuellen Informationen lediglich Synology-NAS-Server betroffen, die mit älteren DSM-Versionen (DSM 4.3-3810 oder älter) betrieben werden. Bei den betroffenen Versionen wird eine Sicherheitslücke ausgenutzt, welche von Synology bereits im Dezember 2013 behoben wurde. Derzeit sind keine Fälle mit dem aktuellen DSM 5.0 bekannt.

Für NAS-Server mit DSM 4.3-3810 oder älter und für Anwender, die eine der unten genannten Symptome bemerken, empfiehlt Synology, das NAS-System herunterzufahren und sich an den technischen Support zu wenden:


  • Beim Versuch auf das DSM-Interface zu zugreifen, wird eine Information gezeigt, dass alle wichtigen Dateien auf diesem NAS verschlüsselt wurden und eine Gebühr erforderlich ist, um die Daten wieder zu entsperren.
  • Ein Prozess namens "synosync" wird im Ressourcenmonitor ausgeführt.
  • DSM 4.3-3810 oder älter ist installiert, aber das System zeigt unter Systemsteuerung > DSM-Update an, dass die neueste Version installiert ist.

Abseits dieser Symptome empfiehlt Synology DSM 5.0 oder nachfolgende Firmwares zu installieren, um das System besser zu schützen:

  • Für DSM 4.3: DSM 4.3-3827 oder neuer installieren.
  • Für DSM 4.1 oder DSM 4.2: DSM 4.2-3243 oder neuer installieren.
  • Für DSM 4.0: DSM 4.0-2259 oder neuer installieren.
Der DiskStation Manager (DSM) kann über den Menüpunkt „Systemsteuerung > DSM-Update“ aktualisiert werden. Betroffene Anwender oder solche, die vermuten, dass ihr System betroffen ist, sollen sich weiterhin an security@synology.com wenden, um Hilfe zu erhalten.
 
DMHas schrieb:
Bei allen Screenshots "infizierter" Diskstations war das einloggen gar nicht möglich, weil gleich der Hinweisbildschirm angezeigt wurde. Bei dem Screenshot ist der Benutzer eingeloggt, daher halte ich diesen Screenshot für ein Fake.

Edit: Wieder zu langsam.:heul:
Zum Vergrößern anklicken....

Dafür zitiere ich jetzt dich :D

Achso, danke. Das beruhigt mich aber...
 
Ein Offline Backup ist ein Offline Backup. Ein Netzwerspeicherservermitapps ist kein Offline Backup.
Daten sichert man aber via Offline Backup. Ein NAS ist keine Backuplösung.
Ein Backup ist offline und sollte mindestens doppelt vorliegen, am besten an getrennten Orten. Cloudspeicher, NAS und der ganze andere Firlefanz ist kein Backup. Ein Backup hat offline zu sein.

Alle, die jetzt jammern, dass ihre Daten weg sind, haben grundsätzlich was nicht verstanden.
 
Wie jetzt Daten können einen finanziellen Wert haben ? Cool das ich arm bin.
Mehr kann ich dazu nicht sagen aber wer ist den so doof und hängt so etwas ans Netz wenn es denn ein Wert hat. Selbst schuld ich hoffe alle Daten sind verloren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Synology HAT3300: Neue HDD-Plus-Serie für die kleineren NAS-Systeme
2
Antworten
37
Aufrufe
8.252
phanter
P
Frank
News Ransomware: DeadBolt verschlüsselt auch NAS-Systeme von Asustor
2 3
Antworten
46
Aufrufe
7.054
catch 22
catch 22
Frank
News DeadBolt: Neue Ransomware ver­schlüs­selt NAS-Systeme von QNAP
5 6 7
Antworten
122
Aufrufe
22.499
roket
roket
Daniel
News Stampado: Trojaner verschlüsselt verschlüsselte Dateien nochmal
2 3
Antworten
45
Aufrufe
8.676
M@rsupil@mi
M
Frank
News Neue NAS-Systeme der DS414- und DS214-Serie von Synology
2 3
Antworten
57
Aufrufe
13.431
X-Inferis
X-Inferis
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz