Synology NAS gebruikers krijgen momenteel de schrik van hun leven. De webinterface toont een bericht dat alle bestanden versleuteld zijn. Er dient 0,6 bitcoin als losgeld betaald te worden om de vele gigabytes weer toegankelijk te maken.

Ransomware is een programma die bestanden op de computer in gijzeling neemt. Vroeger was dat behoorlijk primitief en stond de gebruikte sleutel ergens op de harddisk. Of nog simpeler: er werd alleen maar gedreigd met versleuteling. Tegenwoordig is dat anders en wordt er een sleutelpaar ergens op een server ver weg aangemaakt. De ransomware gebruikt dan het publieke deel om de bestanden te versleutelen. En zonder het geheime deel dat op de server is achtergebleven, gaat het vele duizenden jaren duren om alles weer te ontcijferen. Niet voor niets probeert de NSA op andere manieren bij onze informatie te komen...

Op een Duits forum is de Engelstalige beschrijving te lezen die SynoLocker toont. Als het programma inderdaad doet wat deze criminelen beschrijven, gaat het inderdaad om zware versleuteling. De enige hoop is dat men na betaling het geheime deel van de sleutel opstuurt. De 0,6 bitcoin komt met de huidige koers neer op zo’n 260 euro.

Voorkomen Op dit moment is niet duidelijk op welke manier de NAS wordt geïnfecteerd. Het lijkt erop dat de meeste slachtoffers het geheel over het internet toegankelijk hadden gemaakt. In de meest recente update van 25 juni wordt onder andere de beruchte Heartbleed-bug opgelost. Met deze en andere opgeloste bugs is het mogelijk om een niet up-to-date systeem via het internet van de SynoLocker te voorzien. Wie nog geen tijd heeft gevonden voor het doorvoeren van de update kan het beste de Synology NAS loskoppelen van het internet.

Update 7 augustus Ondertussen is meer bekend over hoe de infectie plaatsvind. Het probleem zit niet in de Heartbleed bug, maar in een bug die al in december 2013 zijn gepatcht. De bug zit in versie 4.3-3810 en eerder. De DSM 5.0 is niet gevoelig.

Op een geïnfecteerd systeem dat de genoemde losgeld melding toont, zal een controle of het systeem up-to-date is een volmondig ja geven. Dat is dus misleidend! Via de Resource Monitor zal een proces met de naam ‘synosync’ te vinden zijn. Eigenaren van een getroffen systeem kunnen het beste de Synology uitzetten en contact opnemen met de helpdesk.

Wie op dit moment geen problemen ondervind, kan het beste upgraden naar de laatste versie. Waar mogelijk is dat DSM 5.0 of anders:

* voor DSM 4.3 installeer DSM 4.3-3827 of hoger

* voor DSM 4.1 of DSM 4.2 installeer DSM 4.2-3243 of hoger

* voor DSM 4.0 installeer DSM 4.0-2259 of hoger

Uiteraard biedt Synology excuses aan voor de overlast. Maar wie getroffen wordt door SynoLocker moet bij zichzelf afvragen waarom meerdere updates niet geïnstalleerd waren. Een server die dag en nacht met het internet is verbonden, moet altijd de laatste patches geïnstalleerd hebben.