Malware krypterer Synology-diskstationer og kræver bitcoins i løsepenge

NAS'er fra Synology er under angreb fra et stykke malware, der har fået navnet Synolocker. Der er ingen patch endnu, men NAS-ejere kan beskytte sig på anden vis.

Har du en NAS fra Synology, og har du åbnet en eller begge af portene 5000 eller 5001 ud mod nettet, så stop med at læs nu og få portene lukket omgående. Nogenlunde sådan lyder rådet fra it-konsulent og skribent Trevor Pott ved det britiske teknologimedie The Register.

Advarslen kommer, efter at det er kommet frem, at et nyt stykke malware, der har fået navnet Synolocker, inficerer NAS'er fra Synology med disse porte åbne og krypterer indholdet på diskstationerne. Derefter bliver offeret afkrævet en løsesum for at få indholdet dekrypteret igen. Den form for malware kaldes også ransomware. I skrivende stund skulle der ikke være en patch til diskstationerne fra Synology.

Ud over at hoste webserveren på diskstationerne kører flere services også fra portene. Herunder DS Audio, DS Cam, DS file, DS finder, DS video, DS Download, Video Station, File station og Audiostation. Og hvis man har anvendt EZ-Internet-konfigurationsværktøjet fra Synology, så er der som standard også åbent for de to porte.

Ifølge Trevor Pott ser Synolocker ud til at udnytte hardcodede passwords i forbindelse med anbefalede indstillinger på diskstationernes administrationsside.

Australske CSO Online fortæller, at Synolocker afkræver sine ofre 0,6 bitcoin, svarende til 350 dollars. Beskeden om beløbet og det krypterede indhold dukker op, når brugeren tilgår webserver-siden på en inficeret diskstation.

Synology anbefaler omgående at slukke for diskstationen, hvis den er ramt, for at undgå, at yderligere filer bliver krypteret, og dernæst rette henvendelse til virksomhedens support-afdeling.

Opdatering: Synology har sendt en officiel melding ud til pressen. Her fremgår det, at det tilsyneladende kun er version 4.3-3810, der er ramt. Hullet, som malwaren udnytter til at overtage NAS'en, blev patchet i december 2013, skriver firmaet. Alle NAS-kunderne opfordres til at opdatere til nyeste version af softwaren fra Synology. Det kan man gøre via kontrolpanelet på NAS'en. Er man blevet ramt af hackernes kidnapning, kan man henvende sig til Synology.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Christensen

Det er også sket for nogle i den lokale andedam
http://forum.recordere.dk/forum_posts.asp?TID=133917

Der blev fundet fjendtlig hack i Feb 2014 på DMS 4.3-3810 og mindst en af foregående versioner (DSM 4.3-3776) lige efter årsskiftet... så Synology er noget sløv i sin udmelding.

Detaljer og uddybende info.. https://www.facebook.com/synology/posts/10152007533142897

  • 0
  • 0
Dennis B. Christensen

Jeg ville ikke være helt tilfreds hvis min NAS pludselig opdaterede sig selv. Ligesom mine pc'ere heller ikke skal gøre det af sig selv.


Alt efter hvor mange der er af den holdning, kunne auto-update så være deaktiveret by default. Personligt ville jeg sætte pris på at den selv kunne afvikle de små opdateringer om natten - især når man har 2 x NAS på forskellige fysiske lokaliteter.

Servere skal ikke opdatere sig selv. Punktum.


Nej, så hellere risikere ransomware og deslige på sin filserver.

  • 3
  • 5
Dennis B. Christensen

Det er givetvis et spørgsmål om hvor kritisk oppetid er for NAS'ens formål samt hvor risikoavers man er. Personligt sætter jeg gerne min lid til at Synology kan teste der opdateringer inden release - især når de er så flittige til at udfase deres "ældre" modeller. Det bør vel gøre den slags testarbejde nemmere.

Men som sagt: gør det valgfrit, og lad det være deaktiveret som standard. Det kunne meget vel løse flere problemer end det skaber.

  • 1
  • 3
Dennis B. Christensen

Du har vel backup af dine data, har du ikke?

Det er alt for ofte set at en automatisk opdatering er gået galt og har bricked et stykke hardware.
Du kan ikke rulle din backup tilbage på hardwaren, hvis hardwaren ikke længere fungerer som følge af en fejlslagen opdatering.


Ejer du selv en Synology NAS? det fremstår nemlig som nogle mere generelle erfaringer du trækker på her.

Oftest er et evt. problem med en Synology NAS aldrig større end en formatering og en genoprettelse, da softwaren ligger på diskene. Så begrebet "bricked" er vel her en anelse misvisende - på trods af man også ser brugerne af synology' forum kaste om sig med det, når de blot frygter datatab ifm. genoprettelse.

Og ja, jeg har naturligvis en backup, hvis en update skulle slå fejl. Og selvom det nok strider mod dit generelle kodeks, vil jeg gerne undgå at bruge energi på mine NAS'ers ugentlige opdateringer.

  • 2
  • 3
Jesper Lund Stocholm

Oftest er et evt. problem med en Synology NAS aldrig større end en formatering og en genoprettelse


Jeg sad i går og overvejede, hvad jeg skule gøre, hvis min DSM blev hacket.

Jeg bruger den indbyggede Glacier-funktionalitet til at lave off-site backup af de vigtigste ting (familiebilleder, familiefilm), men jeg tager fx ikke backup af musik, film etc. Så datatabet ville blive begrænset. Men det er jo ikke det samme som at det ville være en nem opgave. Min DSM er knudepunktet i vores netværk herhjemme, det er den vores mediecenter bruger, jeg har VPN-server på den, det er den FTP-server jeg anvender, det er det on-line billedgalleri jeg bruger etc. Jeg vil skyde på, at det mindst ville tage mig 2-3 dage at få DSM'en i luften igen - skulle den blive ødelagt af en fejlfyldt opdatering.

... og jeg synes ikke engang selv, at det er særligt kompliceret, det setup vi har herhjemme.

Når det så er sagt, så kan jeg jo ikke vurdere, om en opdatering er fejlfyldt eller ej - før jeg installerer den. Men jeg er en smule mere tryg ved at vide, at det er en manuel proces og at der fra frigivelse til jeg installerer, går tid nok til at jeg nok vil få at vide, at en opdatering ikke skulle smides på maskinen.

  • 1
  • 0
Jesper Lund Stocholm

Man kunne også forestille sig noget med en gylden mellemvej; den tjekkede for opdateringer, og sendte dig en mail når der var nogen tilgængelige, så du kunne tage stilling til om det var noget du ville installere.


Sådan virker min DSM. Jeg kan ikke umiddelbart se, hvordan jeg skulle kunne få den til at installere opdateringer automatisk - den henter dem kun til mig og sender en email.

  • 1
  • 0
Henrik Madsen

Jeg bruger den indbyggede Glacier-funktionalitet til at lave off-site backup af de vigtigste ting (familiebilleder, familiefilm)

Risikerer du så ikke bare at den spejler de krypterede filer, hvis malwaren krypterer på filniveau ?

Altså når Ransomwaren har krypteret din fil men bibeholdt navnet, så detectes det som en ændring som så automatisk spejles over på dit off-site backup sted.

  • 1
  • 0
Martin Kofoed

Problemet opstår vel i det øjeblik, man vælger at eksponere nogle services på nettet, som man ikke selv har fuld kontrol over. Det bedste (eller skulle man sige værste?) eksempel er fejlbehæftet og ikke-opdateret software i routere. Det kan være meget svært for den almindelige bruger at gøre noget ved det. Synology bug'en er også slem, men den kunne man bedre have undgået, eksempelvis ved kun at eksponere services via en seperat Linux-boks.

"Internet of Things", "Pervasive Computing" - eller hvad det ellers buzzer over af i disse år - bliver guf for typer med skumle hensigter. Jeg forventer en dag at skulle betale for at få låst mit Samsung-TV op igen ...

  • 0
  • 0
Jesper Lund Stocholm

Risikerer du så ikke bare at den spejler de krypterede filer, hvis malwaren krypterer på filniveau ?


Det gør jeg principielt set, men jeg har ikke sat den op til at spejle til Glacier i realtid - den gør det kun en gang om ugen. Så jeg har nogle dage at løbe på, hvis den skulle komprimitteres.

(og nu er min DSM ikke længere eksponeret til internettet (via port 5001))

Men nu var snakken jo ikke om ransom-waren men om, hvad der skete, hvis en automatisk opdatering smadrede min NAS. I det tilfælde vil jeg kunne bruge min backup i Glacier.

Jeg er faktisk ikke klar over, om Glacier giver mulighed for at hente data ned fra et givet tidspunkt, men hvis den gør det, så vil jeg jo kunne hente "tilbage i tid" fra før ransom-waren blev installeret.

Noget helt andet er, at min internetforbindelse ud af huset er så tilpas langsom, at de reelle konsekvenser ved spejling af krypterede filer i Glacier er ret små - med mindre der gik flere måneder inden jeg opdagede det.

  • 0
  • 0
Dennis Krøger

Nej, det er bestemt ikke en fejl. :)

Men det gør det også uegnet til backup, med mindre man kan overleve at vente nogle dage med at få sine ting igen.

Det er selvfølgelig oftest et mindre problem for hjemmebackup, især hvis man ikke henter det hele på en gang, men henter de ting man har mest brug for først.

  • 0
  • 0
Jesper Lund Stocholm

Det er selvfølgelig oftest et mindre problem for hjemmebackup, især hvis man ikke henter det hele på en gang, men henter de ting man har mest brug for først.


Glacier er jo en IT-ækvivalent til en bankboks. Formålet er at sikre sig, at ens data er et "sikkert sted" og kan gendannes, hvis man huset brænder ned. Glacier bør ikke bruges til storage af filer, som man jævnligt har brug for (det skriver Glacier eksplicit, når man går i gang med det).

  • 1
  • 0
Dennis Krøger

Jeg mener nu heller ikke at det er et problem med Glacier, man skal bare have sig det for øje inden man bruger det til backup: Selvom man (forhåbentlig) ikke har jævnligt brug for sin backup, kan man sagtens have brug for at få hurtigt fat i det der er i den når det går galt.

  • 0
  • 0
Torben Jensen

Jeg har igennem flere år haft en Synology, en nu ældre Disk Station 106e, med en 320GB disk, en model hvor blæser kun er aktiv når det er absolut nødvendigt, det virker alt sammen fint.

Ganske få dele af NAS kan ses fra Intranet, men det via ikke offentlige links gennem Apache SSL reverse proxy på min server, hvor Apache er beskyttet af modsecurity.

  • 0
  • 0
Brian Jakobsen

Jeg er Synology bruger igennem 8 år og vil gerne tage dem lidt i forsvar.
Den nævnte sårbarhed er sandsynligvis patchet i december 2013, så hvis man har holdt sin NAS opdateret burde man have været beskyttet. http://www.synology.com/en-us/company/news/article/470

Jeg har altid været glad for mine NAS, og bruger både backup, webserver, medieserver, FTP og meget andet. Det gør det for mig utrolig nemt at installere og vedligeholde en masse funktionalitet jeg måske kunne have klaret på en alm. server, men det vil kræve en langt stører indsats af mig og sandsynligvis sikkerheds risici. Derudover bruger den også meget mindre strøm.
Deres support har jeg haft meget konkret behov for da jeg på min 406e uden backup i 2007 crashede mit raid volume efter et strømsvigt. Deres support ssh'ede ind på NAS og bragte det op i en læsbar tilstand så jeg kunne rede mine filer. Senere sendt de mig desuden en ny 407 kvit og frit pga. problemer med strømforsyningen.

Jeg siger ikke at problemet ikke er alvorligt og at Synology ikke er fejlfri, jeg vil bare pointere at jeg faktisk syntes de leverer produkter af høj generel kvalitet med god support.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize