Synology- und QNAP-NAS-Ransomware: Wiederherstellung und Prävention 2026

Private und KMU-Synology- und QNAP-NAS-Geräte zählen seit 2019 zu den profitabelsten Zielen für Ransomware-Gruppen. Kompakte Bauformen, große Speicherkapazität, oft standardmäßige Konfigurationen und — entscheidend — direkte Internet-Exposition über UPnP oder Portweiterleitung, um Fernzugriff von zu Hause oder dem Büro zu ermöglichen. Das Ergebnis ist gut dokumentiert: Die Kampagnen DeadBolt, eCh0raix und Qlocker infizierten eine große Zahl von Geräten, mit einer deutlichen Beschleunigung zwischen 2022 und 2026.

Dieser Leitfaden erklärt, wie diese Angriffe funktionieren, wie man in den Minuten nach einer Infektion reagiert, wie man aus integrierten Snapshots wiederherstellt (Synology BTRFS, QNAP ZFS) und wie man einen NAS härtet, damit er aufhört, ein leichtes Ziel zu sein.

Warum private NAS-Geräte massiv ins Visier genommen werden

Drei Faktoren sind seit 2019 zusammengekommen:

1. Direkte Internet-Exposition. Das typische Nutzungsmuster für einen Familien- oder KMU-NAS ist, den Fernzugriff für Fotos oder Dokumente von außerhalb des Heimnetzwerks zu aktivieren. Router-UPnP öffnet automatisch die Ports 5000/5001 (Synology DSM) oder 8080/8443 (QNAP QTS) ohne jeden manuellen Schritt. Ransomware-Betreiber scannen diese Ports kontinuierlich — ein vollständiger IPv4-Durchlauf dauert mit einem Masscan-Cluster weniger als 30 Minuten.
2. Wiederkehrende Anwendungsschwachstellen. Photo Station, Hybrid Backup Sync, Container Station, Surveillance Station und Drittanbieter-Pakete führen regelmäßig kritische CVEs ein. Viele Nutzer verzögern automatische Updates aus Angst, eine funktionierende Konfiguration zu zerstören.
3. Schwache Standardkonfigurationen. Standard-Admin-Konto aktiviert, einfaches Passwort, 2FA deaktiviert, SSH offen, kein automatisches IP-Sperren — immer noch die Norm bei der Mehrheit der vor 2023 installierten privaten NAS-Geräte.

Das Ergebnis ist ein industrialisiertes Jagdrevier. Die Gruppen DeadBolt und eCh0raix arbeiten im automatisierten Modus: scannen, ausnutzen, verschlüsseln, Lösegeld fordern — ohne menschliches Eingreifen zwischen Scan und Verschlüsselung.

DeadBolt: die brutalste QNAP-Kampagne

DeadBolt tauchte im Januar 2022 auf. Sein Markenzeichen: Die Gruppe kapert direkt den QTS-Login-Bildschirm auf dem NAS, um die Lösegeldforderung anzuzeigen — der Nutzer kann nicht mehr auf seinen eigenen NAS zugreifen, und die Oberfläche, die er sieht, gehört den Angreifern.

Infektionsvektor: Ausnutzung von CVE-2022-27593 (Schwachstelle durch externe Dateireferenzen in Photo Station, die Remotecodeausführung ermöglicht). Eine Variante nutzte zudem eine Lücke im QNAP QTS selbst aus.

Mechanismus: AES-256-Verschlüsselung von Nutzerdateien, Anhängen der Erweiterung .deadbolt, selektives Löschen von über die Oberfläche zugänglichen Snapshots. Die Binärdatei berührt die QTS-Firmware selbst nicht.

Forderung: 0,03 BTC pro NAS (rund 1.200 USD 2022, bis zu 2.800 USD beim Bitcoin-Höchststand 2024). Ungewöhnliches Treuhandverfahren: Die Zahlung wird direkt an eine in der gekaperten QTS-Oberfläche angezeigte Bitcoin-Adresse gesendet, und der Entschlüsselungsschlüssel wird später über eine Bitcoin-Transaktion mit einem OP_RETURN zurückgegeben.

Dokumentierte Auswirkung: Eine große Zahl von QNAP-NAS wurde auf dem Höhepunkt von Januar bis März 2022 infiziert, weitere Geräte traf die Welle vom September 2022 und Restwellen bis 2023-2024. Die niederländische Polizei griff im Oktober 2022 ein und beschlagnahmte 155 DeadBolt-Schlüssel, indem sie Zahlungen simulierte und die Bitcoin-Transaktionen vor der angreiferseitigen Bestätigung stornierte — was eine Verfahrensschwäche der Gruppe offenlegte.

QNAP schob im Februar 2022 ein erzwungenes Sicherheits-QTS-Update an alle registrierten Geräte. Jeder NAS ohne Internetzugang oder nicht registriert blieb verwundbar.

eCh0raix / QNAPCrypt: der langlebige Synology- und QNAP-Stamm

eCh0raix (auch QNAPCrypt genannt) tauchte 2019 auf und ist 2026 weiterhin aktiv. Anders als DeadBolt zielt eCh0raix sowohl auf Synology als auch auf QNAP und nutzt mehrere Infektionsvektoren parallel.

Vektoren:

• SSH-Brute-Force auf Admin-Konten mit schwachen Passwörtern.
• Web-UI-Brute-Force (DSM, QTS) mit Wörterbüchern.
• Ausnutzung von Anwendungs-CVEs (HBS3 auf QNAP, Photo Station, ältere DSM-Versionen).
• Phishing gegen Administratoren mit Malware, die einen SSH-Schlüssel ablegt.

Mechanismus: AES-Verschlüsselung über die Go-Krypto-Bibliothek, Anhängen der Erweiterung .encrypt, Ablegen von README_FOR_DECRYPT.txt oder README_HOW_TO_DECRYPT.txt in jedem betroffenen Ordner. Dateien unter einem Kilobyte und Systemdateien werden übersprungen.

Forderung: je nach Stamm variabel, zwischen 0,024 und 0,06 BTC. Zahlungen laufen über die Tor-Infrastruktur.

Technische Besonderheit: Die Gruppe verwendete lange einen einzigen Master-Schlüssel über mehrere Opfer hinweg, was Emsisoft 2019 erlaubte, einen kostenlosen Decryptor für die frühesten Varianten zu veröffentlichen. Versionen ab Mitte 2020 verwenden eindeutig generierte Schlüssel — für moderne Stämme existiert kein kostenloser Decryptor.

Qlocker: der Blitzangriff vom April 2021

Qlocker schlug im April 2021 ein und wurde für seine brutale Einfachheit berüchtigt. Die Ransomware hatte keinen eigenen Verschlüsselungsmechanismus: Sie nutzte schlicht 7-Zip (die standardmäßig auf QNAP installierte 7z-Binärdatei), um Nutzerdateien in passwortgeschützte .7z-Archive zu packen.

Vektor: Ausnutzung von CVE-2021-28799 in Hybrid Backup Sync (HBS3), die nicht authentifizierten Administratorzugriff ermöglicht.

Mechanismus: Ein Skript führte für jeden Nutzerordner 7z a -p<password> -mx1 archive.7z files/ aus, löschte die Originale und legte !!!READ_ME.txt ab. Sehr schnell (Kompressionsstufe 1), sehr effektiv, vollständig umkehrbar, wenn das Passwort wiederhergestellt werden kann.

Forderung: 0,01 BTC pro NAS (~500 USD im April 2021). Ausführungsgeschwindigkeit und das bescheidene Lösegeld verleiteten viele Opfer zur Zahlung — Emsisoft dokumentierte Hunderte Zahlungen innerhalb einer Woche.

Schwäche der Gruppe: Die Kampagne war kurzlebig — eine Lücke erlaubte einigen Opfern kurzzeitig, ihr Passwort ohne Zahlung wiederzuerlangen, und die Betreiber legten ihre Tor-Seite etwa eine Woche nach Beginn still.

Cl0p-Synology-Varianten und Kampagnen 2023-2025

Zwischen 2023 und 2025 zielten mehrere Kampagnen gezielt auf exponierte Synology-DSM-Geräte:

• Cl0p Synology (Linux-Variante der Cl0p-Ransomware): Synology-DSM-Anvisierung über exponierte SMB-Dienste im Q4 2023.
• Cheers / Cheerscrypt: Linux-/QNAP-Anpassungen von Stämmen, die ursprünglich auf VMware ESXi abzielten.
• eCh0raix-Neuauflagen: periodische Kampagnen 2024-2025, die CVE-2023-39296 auf DSM 7.2 ausnutzten.

Der rote Faden: Jede Kampagne nutzte entweder eine ungepatchte Anwendungs-CVE oder ein schwach geschütztes Admin-Konto aus. Keine Kampagne nutzte einen Zero-Day im DSM- oder QTS-Kernel selbst aus — die Verteidigung wird fast immer auf der Konfigurations- und Paketebene gewonnen.

Wichtige zu verfolgende CVEs

Die folgenden CVEs wurden in jüngsten NAS-Ransomware-Kampagnen aktiv ausgenutzt:

• CVE-2024-32962: QNAP QTS und QuTS hero, Rechteausweitung durch eine Lücke im Modul zur Verwaltung von Netzwerkfreigaben. Im Mai 2024 gepatcht.
• CVE-2023-39296: Synology DSM 7.2, Authentifizierungsumgehung durch eine Lücke in der Web-Station-Komponente. Im September 2023 gepatcht.
• CVE-2022-27593: QNAP Photo Station, Remotecodeausführung über extern referenzierte Datei (nicht authentifizierte RCE). Hauptvektor der ersten DeadBolt-Welle.
• CVE-2021-28799: QNAP Hybrid Backup Sync (HBS3), defekte Authentifizierung, die Admin-Zugriff ohne Zugangsdaten erlaubt. Hauptvektor von Qlocker.

Wenn Sie einen NAS betreiben, der die zugehörigen Patches nicht erhalten hat, betrachten Sie das Gerät als kompromittiert oder vorkompromittiert.

Vergleich der drei Hauptfamilien

Notfallprozedur: die ersten 30 Minuten

Schritt 1 — Internet kappen, ohne den NAS anzufassen

Melden Sie sich an Ihrem Internet-Router an. Deaktivieren Sie:

• Alle Portweiterleitungsregeln, die auf die lokale NAS-IP zeigen.
• Automatisches UPnP.
• DMZ-Expositionsregeln, falls vorhanden.

Die aktive Verschlüsselung stoppt, weil die meisten modernen Stämme mit einem C2-Server kommunizieren, um Schlüssel zu beziehen oder zu speichern. Trennen Sie den NAS nicht vom Strom: Das RAM kann noch Klartext-Verschlüsselungsschlüssel enthalten, die ein Forensiker mit einem Speicherabbild wiederherstellen kann.

Schritt 2 — Lokaler SSH-Zugriff zur Diagnose

Öffnen Sie von einem PC im LAN (niemals aus dem Internet) ein Terminal:

# Verbindung zum NAS im lokalen Netzwerk
ssh admin@192.168.1.100

# Volumes auflisten, um die Ransomware-Erweiterung zu identifizieren
ls -la /volume1/
ls -la /share/

# Zählen, wie viele Dateien verschlüsselt sind (Erweiterung anpassen)
find /volume1 -name "*.deadbolt" | wc -l
find /volume1 -name "*.encrypt" | wc -l
find /volume1 -name "*.7z" -newer /etc/hostname | wc -l

# Lösegeldforderung lesen
find /volume1 -name "README_FOR_DECRYPT*" -exec cat {} \;
find /volume1 -name "!!!READ_ME*" -exec cat {} \;

# Verdächtige laufende Prozesse auflisten
ps -ef | grep -iE "encrypt|7z|deadbolt"

# Vorhandene Snapshots prüfen (QNAP QuTS hero)
zfs list -t snapshot

# Synology-Snapshots prüfen (BTRFS)
sudo btrfs subvolume list /volume1

Das Ziel ist nicht zu reparieren, sondern zu dokumentieren: die Erweiterung, die Familie, das Verschlüsselungsmuster, den Umfang identifizieren (wie viele Dateien, wie viele Freigaben betroffen).

Schritt 3 — Präzise Identifikation über ID Ransomware

Laden Sie eine verschlüsselte Datei (geringe Größe) und die Lösegeldforderung auf einen sauberen PC. Laden Sie beides zu ID Ransomware hoch — das Tool von MalwareHunterTeam deckt jeden bekannten NAS-Stamm ab. Unser ID-Ransomware-Leitfaden beschreibt die Prozedur im Detail.

Eine präzise Identifikation verrät Ihnen, ob ein kostenloser Decryptor existiert (DeadBolt mit den 155 beschlagnahmten Schlüsseln, ältere eCh0raix-Stämme).

Schritt 4 — Snapshot-Status prüfen

Auf Synology DSM:

1. DSM → Snapshot Replication → Reiter Snapshots.
2. Vorhandene Snapshots pro Freigabe auflisten.
3. Den jüngsten Snapshot identifizieren, der vor dem Auftauchen der verschlüsselten Dateien datiert ist.

Auf QNAP QTS / QuTS hero:

1. QTS → Storage & Snapshots → Snapshot Manager.
2. Snapshots pro Volume auflisten.
3. Auf QuTS hero (ZFS) widerstehen Snapshots im Allgemeinen einem Angreifer, der nicht über die dedizierte Rolle verfügt.

Existieren saubere Snapshots, ist der Wiederherstellungsweg klar. Andernfalls siehe den DFIR-Abschnitt weiter unten.

Wiederherstellung auf Snapshot-Basis

Synology Snapshot Replication (BTRFS)

Synology-Snapshots beruhen auf BTRFS-Copy-on-Write und sind auf EXT4-Volumes standardmäßig deaktiviert. Prüfen Sie zuerst Ihr Volume-Format:

• DSM → Storage Manager → Reiter Volume → angezeigtes Format.
• Falls EXT4: Snapshots sind nicht verfügbar. Siehe den Hyper-Backup-Abschnitt.
• Falls BTRFS: Snapshots können aktiviert werden und sind wahrscheinlich bereits vorhanden, wenn Sie den Synology-Empfehlungen gefolgt sind.

Wiederherstellungsprozedur:

1. DSM → Snapshot Replication → Reiter Recovery.
2. Die betroffene Freigabe auswählen.
3. Den vor dem Angriff datierten Snapshot auswählen.
4. Restore wählen → bestätigen.

Die Wiederherstellung läuft auf Freigabeebene. Vor der Wiederherstellung wird ein Rollback-Punkt erstellt, was den Vorgang nicht-destruktiv macht.

Um Snapshots gegen einen Angreifer mit DSM-Admin widerstandsfähig zu machen:

• Aktivieren Sie den unveränderlichen / schreibgeschützten Modus für Snapshots (DSM 7.2+).
• Konfigurieren Sie eine lange Aufbewahrung (mindestens 30 Tage) mit automatischer Planung.
• Beschränken Sie, welche Admin-Konten Snapshots manipulieren dürfen.

QNAP-Snapshots (ZFS auf QuTS hero, EXT4 auf QTS)

Auf QuTS hero bietet das ZFS-Dateisystem konstruktionsbedingt robuste Snapshots:

1. QTS → Storage & Snapshots → Snapshot Manager.
2. Das Volume auswählen.
3. Snapshot-Liste → Rechtsklick auf den Snapshot von vor dem Angriff → Revert.

Auf klassischem QTS mit EXT4 werden Snapshots von einem dedizierten Modul verwaltet und sind weniger robust als ZFS-Snapshots. Die Wiederherstellungsprozedur ist ähnlich, aber die Isolierung gegen einen Angreifer auf Admin-Ebene ist schwächer.

Konfigurieren Sie Block-Based Snapshot mit mindestens 30 Tagen Aufbewahrung und aktivieren Sie die Snapshot-Replikation auf einen zweiten NAS oder eine unveränderliche Cloud über HBS3.

Hyper Backup Synology und HBS3 QNAP: die Schicht über den Snapshots

Snapshots bleiben lokal. Für Verteidigung in der Tiefe fügen Sie ein versioniertes Off-Site-Backup hinzu:

Synology Hyper Backup:

• Backup zu Synology C2, Backblaze B2, Wasabi, Amazon S3, OneDrive, Google Drive.
• Clientseitige AES-256-Verschlüsselung.
• Konfigurierbare Versionierung (bis zu 256 Versionen).
• Unveränderlicher Modus verfügbar auf C2 und B2 über Object Lock — ein Angreifer, der DSM kontrolliert, kann gesperrte Versionen nicht löschen.

QNAP HBS3 (Hybrid Backup Sync):

• Dieselben Ziele.
• Hinweis: Dies ist das Paket mit der Qlocker-CVE (CVE-2021-28799). Halten Sie es strikt aktuell.
• Unveränderliche Konfiguration auf S3-kompatiblen Zielen unterstützt.

Für ein KMU bildet die Kombination aus lokalem Snapshot + Hyper Backup oder HBS3 in eine unveränderliche Cloud + einer Kaltkopie auf einer rotierenden externen Festplatte eine robuste 3-2-1-Strategie.

Was tun ohne Snapshot oder Backup

Der schwierigste Fall: ein NAS auf EXT4 ohne Snapshots und ohne Hyper Backup. Zwei verbleibende Wege.

Forensische Wiederherstellung aus Disk-Image

Entfernen Sie die Platten aus dem NAS und schließen Sie sie an einen Linux- oder Windows-PC an:

• DiskInternals Linux Reader (Windows) liest Synology-EXT4- und -BTRFS-Volumes im schreibgeschützten Modus.
• R-Studio NAS erkennt Synology Hybrid RAID (SHR) und QNAP-Volume-Konfigurationen.
• EaseUS Data Recovery hängt Images ein und scannt nach Signatur: kann unverschlüsselte Fragmente von Dateien abrufen (Ransomware schreibt die verschlüsselte Datei oft in einen neuen Inode und markiert den vorherigen als frei — der vorherige Inhalt bleibt lesbar, bis er überschrieben wird).

Die vollständige Methode wird in unserem Leitfaden zur Wiederherstellung nach Ransomware beschrieben.

Kostenlose Decryptoren

Ist der Stamm DeadBolt, versuchen Sie zuerst die 155 von der niederländischen Polizei beschlagnahmten und über No More Ransom verteilten Schlüssel. Für eCh0raix-Stämme von 2019 bis Mitte 2020 ist das Emsisoft-Tool kostenlos. Für moderne Stämme existiert zum Zeitpunkt dieses Textes kein öffentlicher Decryptor.

Härtung nach dem Vorfall

Sobald der NAS wiederhergestellt ist, stellen Sie ihn niemals in derselben Konfiguration zurück ins Internet. Minimale Härtungsliste:

1. UPnP deaktivieren am Internet-Router und am NAS.
2. Keine direkte Portweiterleitung zum NAS. Ist Fernzugriff erforderlich: VPN (WireGuard, OpenVPN oder der in DSM integrierte VPN-Server / QNAP QVPN).
3. Reverse Proxy mit IP-Allowlist, falls eine Exposition für einen Geschäftsdienst strikt nötig ist.
4. Verpflichtende 2FA auf allen Admin-Konten (TOTP mindestens, idealerweise FIDO2-Schlüssel, unterstützt von DSM 7.2+ und QuTS hero).
5. Standard-Admin-Konto deaktivieren, ein persönliches Admin-Konto mit einem anderen Namen erstellen.
6. Automatisches IP-Sperren nach 3 Fehlversuchen an Web-UI und SSH.
7. SSH standardmäßig deaktiviert oder ausschließlich Schlüsselauthentifizierung (kein Passwort).
8. DSM- / QTS-Auto-Update aktiviert, exponierte Pakete (Photo Station, HBS3, Container Station) strikt aktuell gehalten.
9. Unveränderliche Snapshots mit mindestens 30 Tagen Aufbewahrung.
10. Externes 3-2-1-Backup: 3 Kopien der Daten, auf 2 verschiedenen Medien, mit 1 off-site und unveränderlich. Für einen Familien-NAS: lokaler Snapshot + Hyper Backup zu C2 oder Backblaze B2 + rotierende externe Festplatte.

Das entscheidende Detail: hören Sie auf, den NAS auszusetzen

Die immer wieder bestätigte Lektion aus jeder NAS-Ransomware-Kampagne seit 2019 ist dieselbe: NAS-Geräte, die nicht direkt dem Internet ausgesetzt waren, wurden nicht getroffen. Kein dokumentierter Fall einer eCh0raix-, DeadBolt- oder Qlocker-Infektion auf einem NAS, der nur über VPN erreichbar war.

Wenn Sie einen Familien- oder KMU-NAS betreiben und der Fernzugriff eine echte Anforderung ist, investieren Sie 30 Minuten, um ein VPN einzurichten — WireGuard ist trivial, funktioniert auf Smartphones und bietet radikalen Schutz. Der ergonomische Kompromiss (eine VPN-App starten, bevor man auf Dateien zugreift) ist vernachlässigbar im Vergleich zum Szenario einer vollständigen Verschlüsselung eines Familien-NAS mit 8 TB Fotos.

Für einen tieferen Einblick in die Ransomware-Verteidigungsstrategie in Unternehmensumgebungen siehe unseren Leitfaden Ransomware-Schutz für Unternehmen 2026 und den Benchmark beste Anti-Ransomware-Software 2026. Wenn Sie eine aktive Kompromittierung vermuten, aber unsicher sind, wie Sie vorgehen sollen, beginnen Sie mit unserem Diagnose-Tool, um die nächsten Schritte abzustecken.

Offizielle Ressourcen

• CISA StopRansomware
• No More Ransom — Decryptor-Katalog
• Synology Security Advisories
• QNAP Security Advisories
• ID Ransomware (MalwareHunterTeam)
• NCSC UK — Ransomware-Leitfaden