Es ist eine beliebte Masche im Windows-Universum: Über Sicherheitslücken verschaffen sich Dritte Zugriff auf einen Rechner und statten diesen mit einem sogenannten CryptoLocker aus. Dessen einzige Aufgabe: Den Zugriff auf das System so lange zu sperren, bis sich die Zielperson dazu bereit erklärt, eine Art Lösegeld zu überweisen - eine tatsächlich folgende Entsperrung natürlich nicht garantiert.

SynoLocker

Nun scheint sich die diese Form der Erpressung auch auf andere Systeme auzubreiten. So berichten mehrere Nutzer im Synology-Forum, dass ihr Netzwerkspeichersysem (NAS) gehackt und mit einer Malware namens SynoLocker versehen wurde. Diese verschlüsselt sämtliche Inhalte mit einem geheimen Passwort und informiert die Betroffenen auf der Admin-Seite über den erfolgreichen Angriff.

Lösegeld

Gleichzeitig fordern die Erpresser die Überweisung eines Lösegelds in der Höhe von 0,6 Bitcoins (derzeit ca. 263 Euro), um eine erneute Freigabe des Systems zu erreichen. Dabei setzt man eine Frist von wenigen Tagen, sonst verdopple sich dieser Beitrag. Auch sonst geben sich die Angreifer gesprächig. So versucht man mit technischen Erläuterungen die Betroffenen davon zu überzeugen, dass jeder Versuch den SynoLocker selbst zu entfernen sinnlos sei und den vollständigen Verlust aller Daten zur Folge habe.

Offene Fragen

Unklar ist noch, auf welchem Weg die Angreifer den Zugriff auf das NAS erhalten, also etwa ob dabei eine neue oder eine bereits bekannte Sicherheitslücke ausgenutzt wurde. Ebenfalls noch nicht geklärt ist, welche Geräte exakt gefährdet sind.

Fehlersuche

Unterdessen ist man bei Synology selbst offenbar noch auf der Fehlersuche, und rät zwischenzeitlich allen Nutzern zum Upgrade auf die aktuellste Softwareversion. Zudem sollte sichergestellt werden, dass keine Ports ins Internet offen sind, da nur über diese ein Einbruch in das NAS erfolgen kann. Weitere Informationen sollen folgen.

Update 21:00

Mittlerweile hat Synology das offizielle Statement aktualisiert. Demnach nutzt SynoLocker einer Sicherheitslücke, die bereits im Dezember 2013 entdeckt und geschlossen wurde. Insofern rät das Unternehmen dringend zu einem Update auf die aktuellste Softwareversion. So soll etwa DSM 5.0 prinzipiell nicht betroffen sein. Weitere Details liefert man in einem Blog-Eintrag. (apo, derStandard.at, 5.8.2014)