Synology

Hacker erpressen Nutzer mit verschlüsselten Daten (Update)

Bereits seit einigen Tagen sind Nutzer eines Synology-NAS Angriffen einer anonymen Hacker-Gruppe ausgesetzt. Diese setzen eine abgewandelte Form des CryptoLocker namens SynoLocker ein. Die Software greift NAS-Systeme durch eine bisher unbekannten Sicherheitslücke an, wenn diese den Zugriff auf dem Netzwerk erlauben. Dabei werden die kompletten Daten, die auf dem NAS liegen, verschlüsselt und sind somit für den Besitzer nicht mehr zugänglich. Wer auf seine Daten zugreifen möchte, bekommt einen Hinweis von SynoLocker angezeigt, der darauf hinweist, dass man die Daten für einen Preis von 0,6 Bitcoin (rund 260 Euro) wieder zugänglich macht. Nach einer Frist von sieben Tagen verdoppelt sich der Betrag.

Derzeit sucht Synology noch nach dem genauen Angriffsvektor, der genutzt wird, um in den Disc Station Manager (DSM, das Betriebssystem der NAS-Systeme von Synology) einzudringen. Offenbar sind nicht alle Systeme betroffen und ein Großteil der angegriffenen Speicher lief noch auf DSM 4.3. Synology kann derzeit aber noch nicht ausschließen, dass auch andere DSM-Versionen betroffen sind und untersucht besonders die aktuelle Version 5.0.

Um Angriffen komplett aus dem Weg zu gehen empfiehlt Synology derzeit den Remote-Zugriff zu deaktivieren. Zudem sollten alle Nutzer auf die aktuelle DSM-Version updaten. Wer bereits vom Angriff betroffen ist, soll das NAS komplett abschalten und nicht weiter verwenden. Danach ist der Synology-Support zu kontaktieren, auch wenn es derzeit noch keine Lösung für die Verschlüsselung gibt.

Folgende Meldung wird von SynoLocker an betroffene Nutzer angezeigt:

SynoLocker™
Automated Decryption Service

All important files on this NAS have been encrypted using strong cryptography.

List of encrypted files available here.

Follow these simple steps if files recovery is needed:

• Download and install Tor Browser.
• Open Tor Browser and visit http://cypherxffttr7hho.onion. This link works only with the Tor Browser.
• Login with your identification code to get further instructions on how to get a decryption key.
• Your identification code is - (also visible here).
• Follow the instructions on the decryption page once a valid decryption key has been acquired.

Technical details about the encryption process:

• A unique RSA-2048 keypair is generated on a remote server and linked to this system.
• The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
• A random 256-bit key is generated on this system when a new file needs to be encrypted.
• This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
• The 256-bit key is then encrypted with the RSA-2048 public key.
• The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
• The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
• The encrypted file is renamed to the original filename.
• To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
• Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
• When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.

Note: Without the decryption key, all encrypted files will be lost forever.
Copyright © 2014 SynoLocker™ All Rights Reserved.

Unklar ist, wie sicher das von SynoLocker gewählte Verschlüsselungs-Verfahren ist und ob Synology eine Möglichkeit findet diese Verschlüsselung zu brechen. Im schlimmsten Fall müssen Nutzer ohne Backup ihrer Daten einen Tolaverlusst in Kauf nehmen. Synology äußert sich über sein Support-Forum wie folgt:

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

1. Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
2. Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. zu kontaktieren.

Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team

Synology

Update:

Inzwischen hat Synology eine weitere Mitteilung herausgegeben, in der nur noch einmal vor den Symptomen gewarnt und darauf hingewiesen wird, die neueste Version des Disk Station Manager zu verwenden. Wer nun bereits betroffen ist und dessen Daten verschlüsselt sind, für den hat Synology keine Neuigkeiten und verweist nur auf die Tatsache, dass "Synology jedoch nicht in der Lage ist, bereits verschlu?sselte Daten wieder zu entschlu?sseln."