Foxdream94

Bon en gros on est vraiment dans la merde si on a choper cette saloperie de Synolocker. Je vais comme même teste des que possible de passer mon nas en mode décryptage comme vue avec Einsteinium avec qui ont fait les recherches. J'y crois moyens que cela va lancer le décryptage des données. Je pense que cela va juste me rendre la main sur l'interface, le SSH et telnet. Pour info la clé publique est stocké dans le même dossier que le programme de cryptage (/etc/synolock). Mais la clé privée reste introuvable. Même avec Foremost sur la partition system pas moyen de mettre la main dessus. Serait-elle générée en RAM puis envoyée sur les serveurs pirates ? Si on essaye de lancer le programme sur un system sain ? Il devrait regénérer cette clé privée non ? Je vais aussi tenter avec PhotoRec de voir s'il est possible de retrouver quelques photos cryptées (qui tente a rien n'as rien). Sinon je commence a accepter le faite que ce qui a été cryptés est perdu.

Oui et non ! Si cette attaque avait pour cible la toute dernière version du DSM beaucoup plus de personnes serait dans le petrin actuellement. Alors faut faire les mises à jours, mais c'est pas non plus un cage de sécurité ! Demain DSM peut être la cible d'une saloperie d'en le même genre que ce Synolocker.

Merci J'ai réussi a monter la partition System et dumper le dossier /etc/synolock. Avec Einsteinium nous sommes entrain de l'analyser et voir comment ca marche. Pour le décryptage c'est pas gagné mais on y croit !

Bon j'ai réussi a dumper le fameux Dossier /etc/Synolock. Comment le partager maintenant ? Mail en pv ?

error mount point /media/sda1 does not exit ?

Toujours pas de risque sur le RAID ?

Laquelle ? et je la monte comment sur depuis le live-CD sans casser le raid biensur

Quand j'ouvre Gparted je vois bien ma partition de 2,5To ou son mes données. Si je regarde un DD en particulier je vois ça (disque de 1To) : Partition File Sytem Label Size Used Unused Flags - /dev/sda1 EXT3 1.41.3-0965 2.37Gib 577.01Mb 1.81Gib RAID - /dev/sda2 linux-swap 2.00Gib 68.00kib 2.00Gib RAID - unalocated 128.00Mib - /dev/sda3 linux-raid 927.01Gib RAID - unalocated 2.49Mib Ou est la partition system et comment la montée ?

Bon J'ai réussi a lire mes DD en RAID depuis un Live CD linux ! Je recupère ce qui n'est pas cryptés. Mais pas de dossier system disponible pour récupérer le dossier /etc/synolock ! Il se trouve ou ? Je ne vois que les données pas le système. Comment outre passer la redirection de l'interface web sur le NAS pour accéder a l'interface ? Sinon pour ce qui sont dans la même misère, je vous confirme que payer est bien l'unique solution pour le moment. Un de nous a payé pour récupérer ses données qui sont actuellement en cours de décryptage.

Ok bah je vais tenter l'opération tant que cela ne case pas le RAID une fois remis sur le NAS pas de souci ! Merci pour ton aide en espérant que cela fonctionne. Si je dump le dossier, je le ferais tourner pour que d'autres puisses l'analyser. Je vous tiens au jus. Je ferais la manip au calme ce weekend.

Cryptlocker et Synolocker sont différent donc tous les portails web pour le Synolocker sont Inutiles.

Tu peux me confirmer que cela est une solution sans risque ? Le processus de cryptage ne s'exécutera pas ?

Bon pour les personnes infectés comme moi j'ai poser la question suivante au Support Synology : - Si je fais la methode de RESET (procédure qui permet de supprimer l'OS DSM 4.3 et de le réinstaller en 5.0) afin de remettre le NAS en fonction est ce que je perds la possibilité dans le futur de décrypter mes données ? La reponse du support est la suivante : - OUI, les fichiers cryptés ne sont plus récupérables dans le futur Pourquoi ? Car le système infecté comprend le dossier /etc/synolock ou est stocké le virus : Il contient l'algorithme pour le cryptage des données avec ta clés public. Réinstaller le système supprimera donc ce dossier et la possibilité futur du décryptage.

Alors j'ai mis le RAID 5 je crois donc je n'ai peut être pas pris le bon disque (même si le RAID 5 ecrit partout) Quand j'ai tenté le coup avec le live CD, je ne voyais pas le DD. J'ai ouvert un GPARTED, la j'ai vu le disque dur de mon NAS mais sans la possibilité de mon NAS. Et j'ai peur de peter le RAID sur une fausse manipulation d'autant plus que Linux et moi ca fait deux. Je suis comme même dans le monde de l'informatique mais côté Windows. Si on m'aide, je peux essayer de dumper la partition system pour partager le fameux dossier /etc/synolock Autre solution, trouver un moyen de reprendre la main sur l'interface web du NAS afin de me connecter, killer le processus et dumper le dossier. Mais je sais pas comment y parvenir. Une idée pour remettre la page par defaut et non celle du Synolocker ? La solution via Putty en SSH est KO pour moi quar le SSH est désactivé sur le NAS ..... Merci de votre aide

Bonjour, J'ai poser la question suivante au Support Synology : - Si je suis la methode de RESET (procédure qui permet de supprimer l'OS DSM 4.3 et de le réinstaller en 5.0) afin de remettre le NAS en fonction est ce que je perds la possibilité dans le futur de décrypter mes données ? La reponse du support est la suivante : - OUI, les fichiers cryptés ne sont plus récupérables Pourquoi ? Car ton système infecté comprend le dossier /etc/synolock ou est stocké le virus : Il contient l'algorithme pour le cryptage des données avec ta clés public. Réinstaller le système supprimera ce dossier. Question ton NAS est entièrement cryptés ou partiellement ? J'ai vue que tu as des soucis avec l'anglais et la procédure, tu connais personnes de ton entourage qui pourrait t'aider ? Y'a des forums et des tutos sur le net pour acheter des Bitcoin regarde. Perso, je pense pas payé au final, je vais estimer mes pertes en photos et surement considérer le reste comme perdues a jamais. Courage

J'ai reçu le même email que toi et je suis pas convaincu que Synology cherche a décrypter les données. Néanmoins, il te demande de données des infos pourqu'il les transmettent au FBI ! Une enquêtes est donc en cours, s'il mettent la main sur les serveurs les clés seront publié et donc on pourra déchiffrer ! J'ai peur dune chose, que l'attaque des mecs soit restreint dans le temps pour limiter leurs expositions et donc a se faire prendre, leur aide après avoir payé sera pas éternel ! Une partie de moi même veut payer mais je sais pas si cela en vaut vraiment la peine. J'ai perdu ma musique, certains docs dont je pense éventuellement pouvoir les refaire, quelques docs d'informatique ( je suis du métier), et surtout une bonne partie des photos ce qui me fait le plus chier dans l'histoire. Je vais attendre ce weekend voir si les choses bougent pour me décider surtout que le compteur temps tourne avant que la rançons double (vrai ou pas allez savoir). Je peux fournir une photo originale et la même cryptés si cela peut aider. Article intéressant d'un mec en suisse qui a payer, le plus fort c'est qu'il dit avoir reçus un bon support des hacker pour l'aider dans le décryptage, meilleur que celui de Syno ! En même temps aider les gens est facile pour eux car ils sont ceux qui ont mis au point cette merde ... http://www.tdg.ch/high-tech/hard-software/pirates-informatiques-guident-victimes-ligne/story/19256356

Parfaitement d'accord, on devrait plus se serrez les coudes nous possesseurs de NAS Synology plutôt que de dire moi je fais tout bien et pas les autres ... Ça n'aide personnes surtout pas les mecs infectés par cette merde.

J'ai essayé mais pas réussi mon RAID empêche le DD de monter même en live-cd linux. Et je peux pas accéder a la partion system via un pc Windows ni a l'interface graphique web, mon SSH est désactivé et je sais pas comment le remettre. SI je passe mon NAS en DSM 5.0 par le processus de RESET je perds la partition system donc le répertoire /etc/symlock. Si quelqu'un a une idée

Bon d'après le mail recu par Synologu après a avoir ouvert un ticket de support (mail posté plus haut) il me prospose la solution suivante : - Faire un RESET de l'OS pour crasher le DSM 4.3-3810 et installer via le Synology Assistant la version 5 du DSM afin de remettre en Etat le NAS qui est victime du Synolocker. - Cela n'entraine aucune perte de donnée, juste une perte de config Mais cela ne va-t-il pas entrainer la perte du dossier /etc/synolock qui se trouve sur la partition système, dossier ou semble etre le "virus" donc l'algorithme de cryptage et de décryptage (si vous avez la clé privé biensur). Faire cette migration me fait donc perdre l'espoir de décryptés plus tard mes données ou pas ? Ou la clé publique est dans sur fichier crypté ? Perso j'ai tenter par un live-Cd de copier le dossier mais impossible avce le RAID sur le NAS, le live-CD peut pas monter le DD. Que faire selon vous ?

Bon d'après le mail recu par Synologu après a avoir ouvert un ticket de support (mail posté plus haut) il me prospose la solution suivante : - Faire un RESET de l'OS pour crasher le DSM 4.3-3810 et installer via le Synology Assistant la version 5 du DSM afin de remettre en Etat le NAS qui est victime du Synolocker. - Cela n'entraine aucune perte de donnée, juste une perte de config Mais cela ne va-t-il pas entrainer la perte du dossier /etc/synolock qui se trouve sur la partition système, dossier ou semble etre le "virus" donc l'algorithme de cryptage et de décryptage (si vous avez la clé privé biensur). Faire cette migration me fait donc perdre l'espoir de décryptés plus tard mes données ou pas ? Ou la clé publique est dans sur fichier crypté ? Perso j'ai tenter par un live-Cd de copier le dossier mais impossible avce le RAID sur le NAS, le live-CD peut pas monter le DD. QUe faire selon vous ?

Message de Synology reçu ce matin suite au remplissage du formualire pour remonter l'incident ! -> Désolé jai du supprimer les liens Web fournit dans le mail Thank you for contacting us. We appreciate your continued patience and support during this time. According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed. #1 Reset your DiskStation and restore backup data If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM: 1. Follow the steps in this tutorial to reset your DiskStation: 2. The latest version of DSM can be downloaded from our Download Center here: 3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume. 4. Restore your backup data to the new volume. #2 Reset your DiskStation, but preserve encryption information According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself. Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it. If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation: 1. Power off DS and take out all hard drive. 2. Power on DS without hard drives. 3. Run Synology Assistant and perform the installation using the following DSM patch below: 4. Using this method, the installation will appear to fail, but Telnet service shall be open. 5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet. 6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information: ＊Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application: ＊The WAN IP address of your DiskStation (Please go to to find your IP address and check whether or not port 23 is open) According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews. We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you. To assist FBI (Federal Bureau of Investigation, USA) with the investigation, please provide the following information if you are a victim of the SynoLocker ransom software. Has Paid ransom? First Name Last Name Organization Email Address Support Ticket # Inquiry Ticket# Security Ticket # Model Number Serial Number DSM Version x x Building Number Street Address Unit Number City Province Postal Code Country Phone Number Synology Inc. will use the same level of due care to keep your contact information confidential as it protects its own confidential information and will not use it for other purposes. Thank you. Sincerely,

Message de Synology reçu ce matin suite au remplissage du formualire pour remonter l'incident ! -> Désolé jai du supprimer les liens Web fournit dans le mail Thank you for contacting us. We appreciate your continued patience and support during this time. According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed. #1 Reset your DiskStation and restore backup data If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM: 1. Follow the steps in this tutorial to reset your DiskStation: 2. The latest version of DSM can be downloaded from our Download Center here: 3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume. 4. Restore your backup data to the new volume. #2 Reset your DiskStation, but preserve encryption information According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself. Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it. If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation: 1. Power off DS and take out all hard drive. 2. Power on DS without hard drives. 3. Run Synology Assistant and perform the installation using the following DSM patch below: 4. Using this method, the installation will appear to fail, but Telnet service shall be open. 5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet. 6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information: ＊Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application: ＊The WAN IP address of your DiskStation (Please go to to find your IP address and check whether or not port 23 is open) According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews. We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you. To assist FBI (Federal Bureau of Investigation, USA) with the investigation, please provide the following information if you are a victim of the SynoLocker ransom software. Has Paid ransom? First Name Last Name Organization Email Address Support Ticket # Inquiry Ticket# Security Ticket # Model Number Serial Number DSM Version x x Building Number Street Address Unit Number City Province Postal Code Country Phone Number Synology Inc. will use the same level of due care to keep your contact information confidential as it protects its own confidential information and will not use it for other purposes. Thank you. Sincerely,

Bonjour, Je viens te t'envoyer sur ton compte hotmail une photo crypté et l'originale, en espérant que tu trouve le truc pour décrypter. Merci pour ton aide

Ok donc je l'ai dans le baba Pas sûre que les mecs qui ont créer cette merde donne les clés facilement et j'espère que les autorités type FBI and Co, sont déjà sur le coup pour reprendre ses fameuses clés privés. Et payer la rançon me fait vraiment vraiment vraiment ch... ! Bon j'ai pas réussi a dumper le dossier, le DD ne monte pas sur le Linux en live CD, j'ai mis du Raid 5, il doit pas savoir lire le DD. Je veux pas tout péter et risquer de perdre toutes les données désolé

C'est en cours ! Je poste des que possible