De zogeheten Synolocker-malware lijkt binnen te komen via de webinterface van de Synology NAS-apparaten (network attached storage). Het is nog niet duidelijk of het gaat om een gloednieuw gat in de webserver van het op Linux gebaseerde Synology-besturinggsyssteem (DSM). Mogelijk gaat het om een kwetsbaarheid waarvoor Synology al updates heeft uitgebracht, maar die gebruikers nog niet hadden geïnstalleerd.

Toegang vanaf internet

Op Twitter en op internetfora wordt melding gemaakt door getroffen Synology-klanten. Daarbij wordt langzaam in kaart gebracht wat de overeenkomsten zijn qua DSM-versie (vooralsnog 4.3) en de services op het gegijzelde NAS-apparaat die openstonden naar internet toe. Hierbij wordt ook de EZ-internetdient van Synology zelf aangewezen als verdachte. Die dienst maakt het makkelijker om de NAS-systemen van die fabrikant vanaf internet te benaderen.

 Als de malware eenmaal is binnengekomen, versleutelt het de data die staat opgeslagen op de NAS. Toegang tot die gegevens is dan niet meer mogelijk; noch via gedeelde mappen op het netwerk, noch via de beheerinterface. Vervolgens wordt de beheerpagina van het opslagapparaat vervangen door de gijzelingsmelding waarbij het losgeld wordt geëist. Momenteel eisen de datagijzelaars 0,6 Bitcoin (ongeveer 260 euro), wat betaald dient te worden via anonimiseringsnetwerk Tor. Fabrikant Synology is ingelicht en onderzoekt de zaak.

Data redden

Volgens securitynieuwssite CSO worden de bestanden stuk voor stuk versleuteld, dus zou snel uitschakelen van het NAS-apparaat de schade kunnen beperken. Synology-gebruikers moeten dat dan doen zodra ze ontdekken dat de malware bezig is, wat al zou kunnen doordat de gekaapte beheerpagina meldt dat Synolocker bezig is de opgeslagen data te versleutelen. Het geheel uitschakelen van de NAS ‘bevriest’ die operatie dan, waarna de nog niet gegijzelde gegevens nog zijn te redden middels herinstallatie van het Synology-OS zónder de geïnfecteerde harde schijven om die daarna dan toe te voegen zodat de data gekopieerd kan worden.