SynoLocker maakt NAS bestanden onleesbeer

© CIDimport

SynoLocker maakt NAS bestanden onleesbeer

Geplaatst: 6 augustus 2014 - 07:49

Aangepast: 27 augustus 2022 - 00:58

Redactie ID.nl

Sinds eergisteren komen de eerste meldingen van gebruikers die als ze naar de beheerpagina van hun Synology NAS gaan, niets meer zien dan dat alle gegevens versleuteld zijn. Pas als er via Bitcoin een betaling is gedaan, krijgen gebruikers een sleutel waarmee de gegevens weer 'vrij' komen. Hier de tips om schade te voorkomen!

Met een toenemend aantal meldingen van gebruikers via Twitter en de Synology forums, lijk Synology NAS'en voor de tweede keer het mikpunt van criminelen. Deze keer is er via een gat in een van de Synology-toepassingen (mogelijk de VPN server) een opening gevonden. Die opening is gebruikt om software te installeren die (in de achtergrond) alle bestanden op de NAS versleutelt. Als dat klaar is, verschijnt in beeld dat je wat geld te betalen hebt voordat je je bestanden weer in bruikbare staat kan brengen. Deze 'dienst' wordt geleverd voor 0.6 Bitcoin, tegen de huidige koers is dat ongeveer €260.

Wanneer ben je kwetsbaar?
- Als je in december 2013 nog een niet-geupdate NAS had (alle DSM versies van voor 4.3-3810)
- Als je NAS bereikbaar was voor de buitenwereld via het internet

Hoe weet je of je slachtoffer bent?
- Als je bij het openen van de Resource Monitor een proces ziet draaien dat SynoSync heet. In bijgaand voorbeeld ontbreekt het proces:

SynoLocker maakt NAS bestanden onleesbeer-15987194

© CIDimport

- Als de 'gijzelpagina' verschijnt wanneer je naar de beheer-omgeving van de NAS gaat.

Wat moet je doen als je slachtoffer bent?
Er lijkt op dit moment niet veel te doen te zijn als je al slachtoffer bent, tenzij het encryptie-proces nog loopt. In dat geval wordt geadviseerd om het volgende te doen:

- Verwijder de schijven uit de NAS (en onthoud hun positie!!)
- Steek een lege (oude) schijf in de NAS en installeer deze als een nieuwe omgeving. Download de nieuwste versie van DSM hierop.
- Verwijder dan de schijf, en steek er weer de oude schijven (in de goede volgorde)
- DSM herkent dat deze al in gebruik zijn geweest en geeft de optie te migreren. Gebruik die
De kans op succes hierbij is overigens niet groot. Gebruikers melden dat met deze methode de bestanden wel weer te zien zijn, maar dat de bestanden (deels) nog steeds versleuteld en onbruikbaar zijn.

Wat moet je doen om geen slachtoffer te worden?
- Maak de NAS onbereikbaar voor buiten (set poort-doorverwijzing en zeker DMZ richting de NAS uit)
- Schakel Quickconnect op de NAS uit
- Schakel VPN server (waar het lek in wordt verondersteld) uit
- Upgrade de NAS naar de laatste versie (zie details hieronder)

Officieel bericht van Synology (Engels)

    Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

 

    For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php:

    • When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.

    • A process called “synosync” is running in Resource Monitor.

    • DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.

 

    For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:

    • For DSM 4.3, please install DSM 4.3-3827 or later

    • For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later

    • For DSM 4.0, please install DSM 4.0-2259 or later

Deel dit artikel
Voeg toe aan favorieten