Synology ransomware Synolocker

Ransomware op Synology NASsen

Sinds afgelopen zondag zijn een aantal Synology gebruikers slachtoffer geworden van “Synolocker”. De gebruiker krijgt i.p.v. het vertrouwde DSM scherm opeens onderstaande te zien:

Hierin wordt beschreven dat de data op de nas versleuteld is en dat deze versleuteling alleen ongedaan gemaakt kan worden door 0.6 Bitcoin (~350 euro) te betalen aan de maker(s). Of het betalen van het losgeld ook daadwerkelijk helpt is uiteraard de vraag.

Hoe deze ransomware op de bewuste Synology’s is terechtgekomen is nog niet bekend, en Synology heeft ook nog geen oplossing.

Wat moet u doen?

NAS is nog niet geïnfecteerd:

Omdat nu nog niet bekend is hoe de ransomware op de NAS terechtkomt raden wij aan om te zorgen dat de NAS op geen enkele manier via internet bereikt kan worden. Dit kunt u doen door bestaande portforwards te verwijderen, of door de NAS uit te zetten etc.
Wacht vervolgens op nieuws vanuit Synology over te verder te volgen stappen indien van toepassing.

NAS is geïnfecteerd:

Zet de NAS direct uit. Het versleutelen van de bestanden wordt dan onderbroken zodat misschien nog een deel van de data onversleuteld blijft.
Maak melding via de support site van Synology en wacht op verdere instructies.
Tijdens het wachten kunt u eventueel dit topic op synology-forum.nl of de facebook pagina van Synology in de gaten houden.

Share this post:

1 Comment

  1. Zie hieronder de update van Synology die wij zojuist ontvingen.:

    We’d like to provide a brief update regarding the recent ransomware called “SynoLocker,” which is currently affecting certain Synology NAS servers.
    We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. At present, we have not observed this vulnerability in DSM 5.0.
    For Synology NAS servers running DSM 4.3-3810 or earlier, and if users encounter any of the below symptoms, we recommend they shutdown their system and contact our technical support team here: https://myds.synology.com/support/support_form.php:
    • When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
    • A process called “synosync” is running in Resource Monitor.
    • DSM 4.3-3810 or earlier is installed, but the system says the latest version is installed at Control Panel > DSM Update.
    For users who have not encountered any of the symptoms stated above, we highly recommend downloading and installing DSM 5.0, or any version below:
    • For DSM 4.3, please install DSM 4.3-3827 or later
    • For DSM 4.1 or DSM 4.2, please install DSM 4.2-3243 or later
    • For DSM 4.0, please install DSM 4.0-2259 or later
    DSM can be updated by going to Control Panel > DSM Update. Users can also manually download and install the latest version from our Download Center here: http://www.synology.com/support/download.
    If users notice any strange behavior or suspect their Synology NAS server has been affected by the above issue, we encourage them to contact us at security@synology.com.
    We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we address this issue.

Comments are closed.