Synology gebruikers slachtoffer van ransomware Synolocker [UPDATE]

Sinds zondagavond zijn sommige Synology gebruikers slachtoffer van Synolocker ransomware. Dit is malware welke via een lek in oude versies van Synology DSM het systeem heeft weten binnen te komen en welke de bestanden op de NAS versleutelt en het inlogscherm van DSM vervangt voor onderstaande mededeling. Tegen betaling van 0.6 Bitcoin (~300 euro) krijgt de gebruiker een sleutel waarmee hij zijn data weer kan decrypten.

Schermafbeelding 2014-08-04 om 14.12.17

 

Gistermiddag heeft Synology het volgende medegedeeld:

Dear Synology users,

We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers. 

We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.

For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shut down their system and contact our technical support team here:https://myds.synology.com/support/support_form.php:
·  When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
·  A process called “synosync” is running in Resource Monitor.
·  DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
·  For DSM 4.3, please install DSM 4.3-3827 or later
·  For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
·  For DSM 4.0, please install DSM 4.0-2259 or later
DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.

If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com.

We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.
 
Thank you !
Synology Team

 

Er zijn gebruikers met DSM 5.0 die ook slachtoffer zijn, maar deze gebruikers lijken in bijna alle gevallen pas heel recent DSM te hebben bijgewerkt, dus Synolocker zal daar waarschijnlijk al slapend aanwezig zijn geweest voordat de update werd uitgevoerd. Sowieso is het erg waarschijnlijk dat de malware in de afgelopen weken of maanden is verspreid en op basis van een timer actief is geworden.

Inmiddels zijn er enkele gebruikers die (uiteraard met tegenzin) het ‘losgeld’ voor Synolocker betaald hebben. Deze melden dat ze wel daadwerkelijk een key krijgen en dat de decrypt procedure ook echt werkt. Onderstaande screenshots zijn door ondergetekende vanmiddag gemaakt van een NAS van een van onze klanten, dus ook wij kunnen dit bevestigen.

Schermafbeelding 2014-08-06 om 14.36.56 Schermafbeelding 2014-08-06 om 14.37.14

Dat dit wel echt werkt is wellicht goed nieuws voor degenen voor wie de data onmisbaar is en het losgeld van Synolocker te dragen is. Uiteraard is het de vraag of het wenselijk is om criminaliteit op deze wijze te belonen. Dat wel.

Volg ons op twitter, facebook, Google+ of via ons blog om op de hoogte te blijven.

 

 

2 gedachten over “Synology gebruikers slachtoffer van ransomware Synolocker [UPDATE]

  1. Op de site van FoxIT staat een oplossing voor getroffen Synology slachtoffers van de Synolo ck ransomware.

    https://www.fox-it.com/nl/nieuws/fireeye-en-fox-bieden-hulp-aan-slachtoffers-cryptolocker/

    FoxIT heeft in samenwerkinh met FireEye een site gemaakt waar je aan de hand van een van de encrypte bestanden een decrypt masterkey kunt krijgen. Geheel gratis dienst van FoxIT en FireEye.
    https://www.decryptcryptolocker.com

    Misschien de moeite om dit te proberen.
    Groeten, Bert
    Ps. Nee, ik werk daar niet en heb ook geen belangen 😉

  2. Helaas ie bovenstaande niet correct. Deze site biedt een oplossing voor slachtoffers van Cryptolocker en niet voor Synolocker. Daarnaast werkt dit alleen omdat zij de originele lijst met decrypt keys voor Cryptolocker gebruiken om op basis van een encrypted file de juiste key erbij te zoeken. Ook zij zijn dus niet in staat om een key te genereren op basis van een bestand, maar slechts om deze te selecteren uit een bestaande lijst. Deze lijst is er voor Synolocker (nog) niet, omdat daarvoor eerst de mensen achter Synolocker gepakt moeten worden.

Een reactie plaatsen