Aller au contenu

Communication Synology - Synolocker


rodo37

Messages recommandés

@gchabi: mouai enfin bon ...quand on a des données sensible et que l'on a pas forcément les moyens de les sauvegarder correctement, on essaye de ne pas les exposer à internet, dans tous les cas, bon courage si tu es dans ce cas en espérant que SYnology comble la faille et donne la procédure à suivre pour decrypter les fichiers....tu ne dois pas être le seul dans ce cas la ...

Lien vers le commentaire
Partager sur d’autres sites

@gchabi: mouai enfin bon ...quand on a des données sensible et que l'on a pas forcément les moyens de les sauvegarder correctement, on essaye de ne pas les exposer à internet, dans tous les cas, bon courage si tu es dans ce cas en espérant que SYnology comble la faille et donne la procédure à suivre pour decrypter les fichiers....tu ne dois pas être le seul dans ce cas la ...

Bon je ne vais pas me justifier pendant des jours mais il y avait une bonne raison à ce que certaines photos et données (partagées) soient accessibles via Internet. Il y avait une vraie utilité sinon je n'aurais pas acheté de NAS mais seulement un DD USB externe. Mon erreur a été de ne pas avoir une sauvegarde supplémentaire ailleurs mais quand le mal est fait ce qui m'intéresse c'est l’éventuelle solution, la connerie, je l'ai comprise tout seul depuis.

Désormais j'attends la suite de Synology ou sinon je n'ai que mes yeux pour pleurer. En attendant, je remercie Fravadona et un autre membre qui se reconnaitra de m'avoir proposé leur aide.

cdt,

Lien vers le commentaire
Partager sur d’autres sites

Donc pour apporter mon grain de sel au truc (et pour faire avancer la résolution) :

Le cryptage ressemble fortement à la solution donné par panda security (http://www.pandasecurity.com/france/homeusers/support/card?id=1675/card?id=1675)

En téléchargeant l'outil pandaunransom sur pandasecurity et en renommant le fichier crypté en "unlock-lenomdufichier.ext.xyz, il arrive a décrypter les 4096 Premiers octets correctement (bon point donc le cryptage est simple ou au moins connu)
La différence de taille entre le fichier crypté et celui non crypté est de 365 Octets

Il doit y avoir un bout d'entête qq part dans le fichier qui empêche le decryptage complet par l'outil

Je pense donc qu'il y a bon espoir pour trouver la suite ;)

Seb@stien

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Et pour les anciens NAS en 3.1 (un 207+ par exemple) que faire ? Sont-ils aussi vulnérables ? Si oui et comme ils ne sont plus maintenus c'est direct à la poubelle ? :(

Cordialement

Question posée à Synology par mail, j'attends leur réponse.

Dès que j'ai la réponse, je viendrais la poster ici

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je suis une malheureuse victime du Synolocker, j'ai un DSJ410j en version DSM 4.3-3810 la version impacté forcement -_-

J'ai chopé cette m.... le 4/08/2014 et me suis rendu compte que ce matin du problème. J'ai de suite vue p l'interface web me NAS avait été hacker.

J'ai copier sur mon pc les donnée non touchées par le "cryptage". Mais une bonne partie de mes "15ans de photos" sont touchées, comme ma musique et autres données.

J'ai remarqué que le cryptage touche pas tous les types de fichiers, les vidéos dans les dossiers de photos sont pas cryptés, comme les gros fichiers ISO.

Cela semble montré que le cryptage est "faible" (du moins je l'espère).

J'ai couper le nas (courant et net) et fais le mail + formulaire officiel de Synology.

De ce que j'ai pu lire plus haut, certains semble confiant pour le décryptage, c'est de l'optimiste ou une réel conviction que Synology sera faire "marche arrière" pour nos données cryptées ??

Cela ressemble au virus CryptoDefense, mais les données cryptées par ce virus on pu étre décryptées ou pas ?

.

Lien vers le commentaire
Partager sur d’autres sites

oui foxdream, les fichiers ne sont pas cryptés dans leur intégralité. seul les premiers et derniers bits le sont. C'est comme cryptolocker sur pc.

Par contre je vous assure qu'il n'y a aucun moyen de récupérer ses fichiers sans payer.

Nous avons eu des attaques chez des clients avec cryptolocker et nous n'avons trouvé aucune solution que de restaurer des sauvegardes ou alors de tout formater quand il n'y a vait pas de sauvegarde.

Sinon on transpire un peu là! On a au moins 20 Nas Syno chez nos clients.

mais pour le coup là au moins ils sont tous à jour

Lien vers le commentaire
Partager sur d’autres sites

Dadoudidon !

Tu me rassures pas du tout !

Vous avez payé et vous avez vraiment eu la clé et la méthode pour décrypté les données ?

Perso 0.6bit coin ça fait mal au porte monnaie et pas sur d'avoir le retour arrière possible ou de pas perdre plus d'argent derrière.

J'ai vu que le retour arrière sur CryptoDefense est d'utiliser la restauration des données a une date de sauvegarde précédente.

Mais sur les données crytprées récupérées de mon Nas on a aucune version précedente de dispo, sur le fichier ou dossier.

Vraiment horrible ce truc.

Lien vers le commentaire
Partager sur d’autres sites

Synology a recommander d'éteindre les NAS infectés et d'ignorer les demandes de rançons.

Biensur que payer semble être une bonne idée, mais qui l'as fait, est ce que ça fonctionne réellement ?

J'ai un doute car mon mon routage myds ne fonctionne plus, a moins que les pirates est routée le NAS pour l'atteindre a coup sûre, je vois pas comment il pourrait déchiffrer les données a distance.

Sauf si le processus est local comme le cryptage et qu'il attend juste la commande d’exécution avec la clé de déchiffrage.

Et moi je sens bien le truc que Synology travail sur le moyen de bloquer ou de ne pas être la cible de cette attaque mais pas pour déchiffrer les données cryptées et donc perdues.

Lien vers le commentaire
Partager sur d’autres sites

Egalement la bonne surprise du retour de vacance :(

2*4to en raid crypté jusqu'au dernier fichier !

Egalement testé le site pour le cryptolocker sans succès...

Y'a plus cas patienter sagement je suppose que quelqu'un trouvera une solution de décryptage.

Lien vers le commentaire
Partager sur d’autres sites

Egalement la bonne surprise du retour de vacance :(

2*4to en raid crypté jusqu'au dernier fichier !

Egalement testé le site pour le cryptolocker sans succès...

Y'a plus cas patienter sagement je suppose que quelqu'un trouvera une solution de décryptage.

Quelle version du DSM ?

Lien vers le commentaire
Partager sur d’autres sites

Message de Synology reçu ce matin suite au remplissage du formualire pour remonter l'incident !

-> Désolé jai du supprimer les liens Web fournit dans le mail

Thank you for contacting us. We appreciate your continued patience and support during this time.
According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:
1. Follow the steps in this tutorial to reset your DiskStation:
2. The latest version of DSM can be downloaded from our Download Center here:
3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume.
4. Restore your backup data to the new volume.
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it.
If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
1. Power off DS and take out all hard drive.
2. Power on DS without hard drives.
3. Run Synology Assistant and perform the installation using the following DSM patch below:
4. Using this method, the installation will appear to fail, but Telnet service shall be open.
5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information:
*Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application:
*The WAN IP address of your DiskStation (Please go to to find your IP address and check whether or not port 23 is open)
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.
To assist FBI (Federal Bureau of Investigation, USA) with the investigation, please provide the following information if you are a victim of the SynoLocker ransom software.

Has Paid ransom?
First Name
Last Name
Organization
Email Address
Support Ticket #
Inquiry Ticket#
Security Ticket #
Model Number
Serial Number
DSM Version x x
Building Number
Street Address
Unit Number
City
Province
Postal Code
Country
Phone Number

Synology Inc. will use the same level of due care to keep your contact information confidential as it protects its own confidential information and will not use it for other purposes. Thank you.
Sincerely,
Modifié par Foxdream94
Lien vers le commentaire
Partager sur d’autres sites

C'est plus ou moins un scoop car certains ont déjà testé sans succès.

Jusqu'à maintenant je ne 'ai vu personne réussir à récupérer une clé de cryptage.

Ah ok alors, si il y a déjà des témoignages négatifs évidemment.

Je croyais que c'était un nouveau service vu que la news venait juste d'être postée peu avant midi sur pcworld, ce qui m'a induit en erreur.

**EDIT**

En fait ca ne concerne meme pas le ransomware Syno, me suis fourvoyé!

explications ici:

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

Bon d'après le mail recu par Synologu après a avoir ouvert un ticket de support (mail posté plus haut) il me prospose la solution suivante :

- Faire un RESET de l'OS pour crasher le DSM 4.3-3810 et installer via le Synology Assistant la version 5 du DSM afin de remettre en Etat le NAS qui est victime du Synolocker.

- Cela n'entraine aucune perte de donnée, juste une perte de config

Mais cela ne va-t-il pas entrainer la perte du dossier /etc/synolock qui se trouve sur la partition système, dossier ou semble etre le "virus" donc l'algorithme de cryptage et de décryptage (si vous avez la clé privé biensur).

Faire cette migration me fait donc perdre l'espoir de décryptés plus tard mes données ou pas ?

Ou la clé publique est dans sur fichier crypté ?

Perso j'ai tenter par un live-Cd de copier le dossier mais impossible avce le RAID sur le NAS, le live-CD peut pas monter le DD.

Que faire selon vous ?

Lien vers le commentaire
Partager sur d’autres sites

Logiquement dans le fonctionnement de cryptolocker, la clé de cryptage est supprimée à la fin de l'opération de cryptage, tout comme lexécutable.

Par contre pour ceux qui ont un nas partiellement crypté, il y a fort à parier que lexécutable ainsi que la clé publique de cryptage soit encore présents.

pour info voici le fonctionnement de cryptolocker sur PC:

Si un utilisateur clique sur un lien malveillant présent dans les spams envoyés par les auteurs de la menace, plusieurs logiciels malveillants sinstallent en utilisant des exploits du système.

Le ransomware va tenter détablir la communication avec le serveur de contrôle par plusieurs moyens. Il va notamment essayer de se connecter au serveur dont ladresse IP est 184.164.136.134.

Une fois la connexion établie, il va générer localement une clé aléatoire de chiffrement en utilisant un algorithme symétrique AES 256. Cette clé va alors être transmise au serveur de contrôle des pirates. Pour éviter de faire transiter cette clé en clair, cette dernière est chiffrée avec une clé publique RSA de 2048 bits, présente dans le logiciel malveillant, en sappuyant sur un algorithme asymétrique pour générer la paire de clés privée/publique.

Le logiciel va ensuite identifier les fichiers en fonction de leurs types (Microsoft office, OpenOffice, images jpeg, etc.) et les chiffrer à laide de la clé AES. Cette dernière est ensuite supprimée du poste de lutilisateur.

A ce stade, la clé AES permettant de déchiffrer le contenu infecté est présente uniquement sur le serveur de contrôle des pirates, cette même clé na pu être interceptée lors de lenvoi au serveur C&C à cause dune surcouche de chiffrement en utilisant un algorithme asymétrique (clé publique).

Modifié par dadoudidon
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.