Foxdream94

Bon en gros on est vraiment dans la merde si on a choper cette saloperie de Synolocker. Je vais comme même teste des que possible de passer mon nas en mode décryptage comme vue avec Einsteinium avec qui ont fait les recherches. J'y crois moyens que cela va lancer le décryptage des données. Je pense que cela va juste me rendre la main sur l'interface, le SSH et telnet. Pour info la clé publique est stocké dans le même dossier que le programme de cryptage (/etc/synolock). Mais la clé privée reste introuvable. Même avec Foremost sur la partition system pas moyen de mettre la main dessus. Serait-elle générée en RAM puis envoyée sur les serveurs pirates ? Si on essaye de lancer le programme sur un system sain ? Il devrait regénérer cette clé privée non ? Je vais aussi tenter avec PhotoRec de voir s'il est possible de retrouver quelques photos cryptées (qui tente a rien n'as rien). Sinon je commence a accepter le faite que ce qui a été cryptés est perdu.

Oui et non ! Si cette attaque avait pour cible la toute dernière version du DSM beaucoup plus de personnes serait dans le petrin actuellement. Alors faut faire les mises à jours, mais c'est pas non plus un cage de sécurité ! Demain DSM peut être la cible d'une saloperie d'en le même genre que ce Synolocker.

Merci J'ai réussi a monter la partition System et dumper le dossier /etc/synolock. Avec Einsteinium nous sommes entrain de l'analyser et voir comment ca marche. Pour le décryptage c'est pas gagné mais on y croit !

Bon j'ai réussi a dumper le fameux Dossier /etc/Synolock. Comment le partager maintenant ? Mail en pv ?

error mount point /media/sda1 does not exit ?

Toujours pas de risque sur le RAID ?

Laquelle ? et je la monte comment sur depuis le live-CD sans casser le raid biensur

Quand j'ouvre Gparted je vois bien ma partition de 2,5To ou son mes données. Si je regarde un DD en particulier je vois ça (disque de 1To) : Partition File Sytem Label Size Used Unused Flags - /dev/sda1 EXT3 1.41.3-0965 2.37Gib 577.01Mb 1.81Gib RAID - /dev/sda2 linux-swap 2.00Gib 68.00kib 2.00Gib RAID - unalocated 128.00Mib - /dev/sda3 linux-raid 927.01Gib RAID - unalocated 2.49Mib Ou est la partition system et comment la montée ?

Bon J'ai réussi a lire mes DD en RAID depuis un Live CD linux ! Je recupère ce qui n'est pas cryptés. Mais pas de dossier system disponible pour récupérer le dossier /etc/synolock ! Il se trouve ou ? Je ne vois que les données pas le système. Comment outre passer la redirection de l'interface web sur le NAS pour accéder a l'interface ? Sinon pour ce qui sont dans la même misère, je vous confirme que payer est bien l'unique solution pour le moment. Un de nous a payé pour récupérer ses données qui sont actuellement en cours de décryptage.

Ok bah je vais tenter l'opération tant que cela ne case pas le RAID une fois remis sur le NAS pas de souci ! Merci pour ton aide en espérant que cela fonctionne. Si je dump le dossier, je le ferais tourner pour que d'autres puisses l'analyser. Je vous tiens au jus. Je ferais la manip au calme ce weekend.

Cryptlocker et Synolocker sont différent donc tous les portails web pour le Synolocker sont Inutiles.

Tu peux me confirmer que cela est une solution sans risque ? Le processus de cryptage ne s'exécutera pas ?

Bon pour les personnes infectés comme moi j'ai poser la question suivante au Support Synology : - Si je fais la methode de RESET (procédure qui permet de supprimer l'OS DSM 4.3 et de le réinstaller en 5.0) afin de remettre le NAS en fonction est ce que je perds la possibilité dans le futur de décrypter mes données ? La reponse du support est la suivante : - OUI, les fichiers cryptés ne sont plus récupérables dans le futur Pourquoi ? Car le système infecté comprend le dossier /etc/synolock ou est stocké le virus : Il contient l'algorithme pour le cryptage des données avec ta clés public. Réinstaller le système supprimera donc ce dossier et la possibilité futur du décryptage.

Alors j'ai mis le RAID 5 je crois donc je n'ai peut être pas pris le bon disque (même si le RAID 5 ecrit partout) Quand j'ai tenté le coup avec le live CD, je ne voyais pas le DD. J'ai ouvert un GPARTED, la j'ai vu le disque dur de mon NAS mais sans la possibilité de mon NAS. Et j'ai peur de peter le RAID sur une fausse manipulation d'autant plus que Linux et moi ca fait deux. Je suis comme même dans le monde de l'informatique mais côté Windows. Si on m'aide, je peux essayer de dumper la partition system pour partager le fameux dossier /etc/synolock Autre solution, trouver un moyen de reprendre la main sur l'interface web du NAS afin de me connecter, killer le processus et dumper le dossier. Mais je sais pas comment y parvenir. Une idée pour remettre la page par defaut et non celle du Synolocker ? La solution via Putty en SSH est KO pour moi quar le SSH est désactivé sur le NAS ..... Merci de votre aide