LET OP: NAS HACK: Synolocker actief.

[baco1963]

Je hebt wel alles volledig vanaf scratch geïnstalleerd (liefst extern formatteren HD's) zodat er niets achter is gebleven?

full reset alle 2 schijven extern geformateerd en al 2 dagen bezig geweest met het op nieuw instellen van backup en rechten. en begin nou niet van het enige gezeik komt van jou daar pas ik een beetje voor en ja ik heb een kort lontje en voor de rest heb ik de nas verkocht niet de schijven die gaan in een andere

[TonVH]

1.  Je hebt inderdaad een heel erg kort lontje.

2.  Je haalt wat antwoorden door elkaar. (Het 2e antwoord was aan iemand anders.)

3.  Denk aan je bloeddruk.

[ReneBel]

All, helaas ook ik de klos. Ben altijd van de updates, maar heb afgelopen half jaar kennelijk liggen slapen ofzo. Enfin, ik heb de route bewandeld via een schone disc DSM5 geïnstalleerd en vervolgens de oude discs er weer in (ik heb 212J). Die waren vervolgens via de assistent te migreren en muv enkele rechten op mappen (wat ik wel weer raar vind) was alles ogenschijnlijk weer in orde. Alles geüpdatet naar de laatste versies en het synolocker proces is niet actief. Klinkt hoopvol dus.

Nou merk ik wel wat issues (uiteraard), waarvan ik me afvraag hoe ik die het beste aan kan pakken. Sommigen zijn open deur, maar door de vele uren klooien wil ik het zekere voor het onzekere en gewoon even checken:

1- cloudstation. Lokaal een backup gemaakt voor de NAS opnieuw werd geïnstalleerd. Na installatie ging eea synchroniseren en inderdaad werken nu ook lokale bestanden niet meer. De encrypted files worden dus vrolijk lokaal overschreven want kennelijk ziet cloudstation ze wel als geüpdate. Het beste nu alles op de NAS deleten en vervolgens vanaf backup weer op de NAS zetten dus.
2 - remote backup. Ik heb van een groot deel van mijn foto's een remote backup. Hiervoor geldt ws hetzelfde als cloudstation? Helaas heb ik niet alles want ik ben vergeten de nieuwe map 2014 toe te voegen aan te backuppen folders... sukkel!!
3 - Hoe kan ik zien wat er wel/niet encrypted is? Moet ik echt duizenden foto's checken??? Ik zie dat in sommige folders de RAW bestanden nog te openen zijn maar de JPG bestanden niet. Herkent iemand dit?
4- Time Machine backup draait ook weer. Ik heb de oude overschreven (NAS heeft nieuwe naam dus plaats in laten nemen). Zijn hier issues mee bekend?
5 - nog verdere tips/hints? Sorry, ik zal een groot deel van de 35 pagina's forum gaan lezen, maar heb daar nu de puf niet meer voor.

Bedankt alvast!!!

gr
Rene

[Hofstede]

Mijn advies: Kopieer alle data van de NAS naar een backup en wis dan de schijven volledig en begin overnieuw. Dit om zeker te weten dat je van alle Synolocker zooi af bent.
Helaas weet ik geen methode om snel te zien welke files wel of niet geencrypt zijn.

[MilkoW]

Weet er iemand hoe decryptie werkt na het installeren van DSM na besmetting? Ik heb de sleutel ontvangen na het betalen maar mis een deel van Synolocker na update.

Ik heb nog 1 disk eruit gehaald waar DSM nog geen veranderingen op heeft aangebracht, dus daar zou alles nog op moeten staan van Synolock installatie files.

Gr,

Milko

[Briolet]

Ik zie dat in sommige folders de RAW bestanden nog te openen zijn maar de JPG bestanden niet. Herkent iemand dit?

Er staat eerder in dit topic een lijst met extensies die encrypted worden. Files met andere extensies blijven blijkbaar intact.

[Hofstede]

@MilkoW: wat ik gezien heb bij anderen is dat je dan contact opneemt met de hacker die dan voor jou een aparte tool moet maken om de data te decrypten. Op de "normale" manier gaat het niet meer.

[ReneBel]

Thanks Briolet! Die had ik nog niet gezien.

Ik ben nog naarstig op zoek naar twee dingen:
1 - is er een manier om te vinden welke files wel/niet encrypt zijn?
2 - wat doe ik met de folder synoloc:

drwxr-xr-x    2 root     root          4096 Aug  3 13:38 .
drwxr-xr-x   34 root     root          4096 Aug 15 10:33 ..
-rw-r--r--    1 root     root           451 Aug  2 13:38 RSA_PUBLIC_KEY
-rwxrwxr-x    1 root     root        529960 Aug  2 10:59 server
-rwxrwxr-x    1 root     root        808192 Aug  2 10:59 synosync
-rwxrwxr-x    1 root     root           128 Aug  2 10:59 watch.sh

Het synoloc proces draait niet meer, ik heb niet betaald (en ben het ook niet van plan ... volgens mij heb ik de meeste bestanden nog in tact, maar weet het pas zeker nadat ik punt 1 duidelijk heb)

Iemand suggesties? Ik kan helaas geen script schrijven -zonder nachten doortrekken- maar het zou toch mogelijk moeten zijn om dmv een script een dump te krijgen van alle encrypted files (met padnaam)?

[Briolet]

Kijk op de site van f-Secure. Daar staat precies hoe de encryptie werkt. De mallware laat bepaalde codes in de file achter zodat hij ook zelf kan zien welke hij gehad heeft. Ergens in het begin van elke file staat de string "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337". Dus een script dat alle files met die string oplist zou het moeten doen. Volgens mij moet dat zelfs met het 'grep' commando kunnen.

En onderaan die f-secure pagina staat een lijst met alle files die geïnstalleerd worden. Sommige pas ná decryptie.

[JB_Walton]

Hallo,

Wellicht staat dit al ergens maar ik wil mijn ervaring van de decryptie hier posten.
Wellicht hebben anderen daar ook iets aan.

Ik ben ondertussen met mijn decryptie bezig (ongeveer 12 uur verder, 36.000.000 files gehad (volgens het aantal regels in decrypted..log !).

Met de software die zij hadden geleverd is het mij niet gelukt dit uit te voeren.
Instructie gevolgd, maar geen succes.

De software die zij leveren is synosync (volgens de bitmessage: speciaal voor mijn machine / type synology gemaakt ??)

Er stond ook al een versie van synosync op de  DSM op /etc/synolock, echter een andere grootte (strange ?).
Oude synosync gekopieerd naar synosync-old.
Nieuwe synosync gekopieerd naar die map.

RSA_PUBLIC_KEY (stond er nog) en de RSA_PRIVATE_KEY ook in die map geplaatst.

Allereerst maar eens de nieuwe uitgeprobeerd in de expert mode (command line).
/etc/synolock/synosync "ENCRYPTED.FILE": error: invalid public key
Dus de public key past niet bij de synosync die ik heb gekregen?

Misschien toch maar gewoon de software draaien?
Gedaan volgens de instructie, maar na een uur wachten lijkt er niets te gebeuren.
Dus afgebroken.

Wel gek: Na het draaien van synosync lijkt de RSA_PUBLIC_KEY te worden verwijderd.
Dus voor de volgende test maar weer de Public Key in de etc/synolock gecopieerd en direct een .BAK versie aangemaakt.

Mijn gedachte: Blijkbaar is er iets met de synosync versie niet goed. Dus mijn eigen (old) synosync versie maar gestart.
Synosync copy naar -new.
Old naar synosync !

Command line regel gestart als eerder beschreven: EUREKA.
Vervolgens volgens de instructie het synosync opgestart en hij gaat volume1 langs.
Daar is hij nog steeds mee bezig.

Als ik al wat files controleer: allemaal weer goed !!
1 probleem: De grotere files (filmpjes boven 10 MB) worden niet ge-decrypt, terwijl tot een bepaalde grootte (? 100MB ?) wel ge-encrypt zijn.
Dus niet alles wordt ge-decrypt, maar dat zal ik straks nog wel proberen met de command line.

Tot zover.
Wellicht heeft iemand hier iets aan.

Gr.
Jan

[ReneBel]

Grep ... Hummm ... ik moet mijn hele oude unix boeken maar weer eens van stal halen   

Edit: boeken??? Dit is 2014 ... http://www.cyberciti.biz/faq/howto-search-find-file-for-text-string/

Moet lukken. Vanavond maar eens even stoeien 

[MilkoW]

Met een beetje hulp van Jan, en een beetje van mezelf is de decryptie ook hier in volle gang. Eerste controle van de files zien er goed uit...

[Michel5]

Helaas, ook de pineut.
Als ik via een browser mijn NAS probeer te benaderen, krijg ik de Synolocker pagina/messages.

Wat wel lijkt te lukken is dat ik via de mappenstructuur (Finder in mijn iMAC) de NAs server benader lijk ik gewoon bij veel files op de server terecht te kunnen.
Kan ik deze files probleemloos over zetten op een andere harde schijf zonder gevaar, of kopieer ik dan iets mee van de encryptor? Of zeg ik nu iets raars?
Zou dit graag eerst doen voordat ik boel op nieuw installer (en nee, ja dom, heb geen back up van NAS)


txs
Grt
M.

[ReneBel]

Ja je kunt bestanden kopiëren, volgens mij kun je dan niet 'het proces' verspreiden. Of bestanden al dan niet al geraakt zijn zul je naderhand vast moeten stellen. Same feeling here....

NB ik heb DSM opnieuw geïnstalleerd met behoud van alle data. Ik weet niet of iedereen dat zo ervaart.

[Michel5]

DSM op nieuw geinstalleerd met behoud van bestanden?
Mis ik iets? hoe dan? via synology assistent? (want ik kom niet by configcenter op server)

txs again
M.