Communication Synology - Synolocker

[azeus]

Moi aussi j'ai posté plus haut ce que les hackeurs disent faire. C'est vrai qu'on ne peut pas leur faire confiance mais s'ils disent faire comme cela je ne vois pas de raison "technique" qui les en empècheraient, surtout que generer puis envoyer la clé est plus difficile a implémenter que juste aller chercher la clé sur le serveur (et moins sûr)

Je suis d'accord, je ne vois pas non plus de raison... Si le but est simplement de détruire, alors peut etre que ça permet au synolocker de devenir autonome générant sa propre clé privée et publique (donc plus besoin de connexion ou autre une fois infecté)... Si le but et de récolter de l'argent des rançons alors je vois pas d'interet, il faut de toute manière de connecter au serveur pour envoyer la clé privée générée au niveau du Syno... Et surtout ça donne plus de chances aux victimes de la récupérer pour décrypter leurs fichiers..

[Foxdream94]

Bon en gros on est vraiment dans la merde si on a choper cette saloperie de Synolocker.

Je vais comme même teste des que possible de passer mon nas en mode décryptage comme vue avec Einsteinium avec qui ont fait les recherches.

J'y crois moyens que cela va lancer le décryptage des données. Je pense que cela va juste me rendre la main sur l'interface, le SSH et telnet.

Pour info la clé publique est stocké dans le même dossier que le programme de cryptage (/etc/synolock). Mais la clé privée reste introuvable.

Même avec Foremost sur la partition system pas moyen de mettre la main dessus. Serait-elle générée en RAM puis envoyée sur les serveurs pirates ?

Si on essaye de lancer le programme sur un system sain ? Il devrait regénérer cette clé privée non ?

Je vais aussi tenter avec PhotoRec de voir s'il est possible de retrouver quelques photos cryptées (qui tente a rien n'as rien).

Sinon je commence a accepter le faite que ce qui a été cryptés est perdu.

[azeus]

Si on essaye de lancer le programme sur un system sain ? Il devrait regénérer cette clé privée non ?

Non, chaque clé est unique. Elle est gérée en se basant sur énormement d'evenements alétoirs (position de souris, données présents en ram, heures/date, données internes CPU...etc)... Même si je doute très fort que la clé privée soit générée sur le syno.

[Fravadona]

Bon, je vais traduire les infos techniques fournies par les pirates pour ceux qui ne semblent pas avoir saisi le fonctionnement de Synolocker :

- Une paire de clés RSA-2048 unique est générée sur un serveur distant et attribuée à ce NAS.
- La clé publique RSA-2048 est envoyée au NAS tandis que la clé privée reste dans la base de données du serveur distant. 
- Une clé de 256-bits est générée aléatoirement sur le NAS à chaque fois qu'un nouveau fichier doit d'être chiffré.  
- Cette clé de 256-bits est alors utilisée pour chiffrer le fichier avec l'algorithme symétrique AES-CBC.
- Cette clé de 256-bits est alors elle-même chiffrée avec la clé publique RSA-2048.
- Le résultat du chiffrement de la clé de 256-bits est alors enregistré dans le fichier chiffré et effacé de la mémoire du NAS.
- Le fichier original non-chiffré est écrasé avec des bits aléatoires avant d'être effacé du disque dur.
- Le fichier chiffré est renommé avec le nom du fichier original.
- Pour déchiffrer le fichier, le logiciel a besoin de la clé privée RSA-2048 attribuée à ce NAS et qui se trouve sur le serveur distant. 
- Une fois que la bonne clé lui est donnée, le logiciel recherche dans chaque fichier une chaine de caractères qui a été placée dans tous les fichiers chiffrés.  
- Quand cette chaine de caractères est trouvée, le logiciel extrait de ce fichier et déchiffre la clé AES-256 bits unique nécessaire pour restaurer le fichier original.

Tenter de récupérer les données par d'autres moyens que la rançon est normal, je dis juste qu'a priori les pirates ont fait en sorte que ce ne soit pas possible ... (De mon avis, la recuperation avec Photorec est tout de meme a tenter).

Bon en gros on est vraiment dans la merde si on a choper cette saloperie de Synolocker. Oui ...

Je vais comme même teste des que possible de passer mon nas en mode décryptage comme vue avec Einsteinium avec qui ont fait les recherches.

J'y crois moyens que cela va lancer le décryptage des données. Je pense que cela va juste me rendre la main sur l'interface, le SSH et telnet.

Pour info la clé publique est stocké dans le même dossier que le programme de cryptage (/etc/synolock). Mais la clé privée reste introuvable. A priori c'est normal vu que cette clé n'a jamais été présente sur le NAS

Même avec Foremost sur la partition system pas moyen de mettre la main dessus. Serait-elle générée en RAM puis envoyée sur les serveurs pirates ? Non, le serveur pirate a lui-meme généré les clé publiques/privées et puis envoyé la clé publique au NAS

Si on essaye de lancer le programme sur un system sain ? Il devrait regénérer cette clé privée non ? Non plus ...

Je vais aussi tenter avec PhotoRec de voir s'il est possible de retrouver quelques photos cryptées (qui tente a rien n'as rien). Tu trouveras certainement les fichiers mais leur contenu a été méticuleusement effacé ...

Sinon je commence a accepter le faite que ce qui a été cryptés est perdu. Si ces données comptes vraiment pour toi alors tu peux payer la rançon, a priori ca fonctionne ...

Il y a aussi ce complement d'informations chez Synmantec http://www.symantec.com/security_response/writeup.jsp?docid=2014-080708-1950-99&tabid=2

Modifié le 13 août 2014 par Fravadona

[Foksadure]

Aux dernières nouvelles, les arnaqueurs sont sur le point de disparaître dans la nature, non sans monnayer la base contenant les clés non encore réclamées :

http://www.theregister.co.uk/2014/08/14/synolocker_trojan_closing_down_sale/

http://www.f-secure.com/weblog/archives/00002733.html

Notons l'existence d'un service support (sic) et de la possibilité contre paiement de récupérer les fichiers même après mise à jour du DSM (custom decryption tool).

On peut cependant raisonnablement supposer que Synology a porté plainte, et que des investigations sont en cours.