Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Synolocker losgeld betalen?

14-08-2014, 23:40 door Erik van Straten, 12 reacties
Laatst bijgewerkt: 14-08-2014, 23:42
Door Anoniem in https://www.security.nl/posting/398629/SynoLocker-ransomware+geeft+5500+slachtoffers+deadline#posting398634: Ik mis belangrijke bestanden en zou graag betalen maar ben bang dat ik ze dan nog steeds niet terugkrijg. Zijn er mensen die betaald hebben en daadwerkelijk ook hun bestanden terug hebben?
In https://www.security.nl/posting/397796/Onderzoekers+verslaan+encryptie+CryptoLocker-ransomware#posting397806 vroeg ik mij hetzelfde af, dus heb ik maar eens wat onderzoek gedaan.

Advies vooraf: bij schade aan bestanden en filesystems is het beste wat je kunt doen zorgen dat er niets meer met de schijf of schijven gebeurt (zet de NAS/PC uit) voordat je (1) ze gekloond hebt op een systeem dat niet naar de originele schijven schrijft, en (2) hebt gecontroleerd dat het kopiëren is gelukt. Gaat er iets mis bij pogingen de boel te herstellen dan kun je altijd terug naar de uitgangspositie.

Om te beginnen is het zinvol om te onderzoeken of de encryptie "kraakbaar" is. In http://www.f-secure.com/weblog/archives/00002733.html beschrijft F-Secure o.a. de wijze waarop de Synolocker malware bestanden op de NAS versleutelt. Helaas: tenzij de aanvallers bijv. van een slechte random number generator gebruik maken, acht ik de kans klein dat je versleutelde bestanden kunt decrypten zonder in het bezit te zijn van de private key. Uit bijdragen op het Synology forum maak ik op dat de aanvallers voor elke "klant" een uniek sleutelpaar hebben gemaakt (er is dus geen sprake van een "loper").

In het F-Secure plaatje rechtsboven zie je nergens de "RSA Private Key" genoemd worden, die is namelijk niet nodig bij het versleutelen. Echter, zonder de "RSA Private Key" kun je niet ontsleutelen, dus daar moet je losgeld voor betalen. Of je dat doet is een ethisch vraagstuk; je maakt criminaliteit lonend. Of jouw bestanden dat waard zijn moet je zelf maar uitmaken.

F-Secure schrijft over de malware: Only once everything is done, will SynoLocker replace the original file with the new one. Finally, it will also attempt to overwrite the original file with random data to make recovery more difficult.
Op het Synology forum zijn er meldingen (zie verderop) van mensen die met succes gewiste files terughalen, de betrouwbaarheid hiervan vind ik lastig in te schatten. Kloon je schijven voordat je aan zo'n avontuur begint!

F-Secure beschijft ook de bestandstypes (op basis van extensie) die worden versleuteld, en benoemt de bij Synolocker horende bestanden. Daarbij noemen ze ook "/etc/synolock/RSA_PRIVATE_KEY". Dat bestand verwacht ik niet (totdat je ervoor betaald hebt). Uit de discussie op het Synology forum maak ik op dat genoemd bestand inderdaad niet op je NAS staat (ook niet leeg of met andere inhoud) TOTDAT je betaalt en dat bestand hebt ingelezen. Sterker, als de malware dat bestand ziet verschijnen, start (als het goed is) de decryptie. Let op: ga niet lukraak een RSA_PRIVATE_KEY bestand met willekeurige inhoud in /etc/synolock/ terugzetten, de kans bestaat dat je je bestanden dan "ontsleutelt" naar een andere versleuteling en ze nooit meer terugkrijgt.

Op het Synology forum heb ik van zeker 6 personen gezien dat ze betaald hebben en de private key hebben ontvangen. Ik geef steeds het nummer van de post zoals &start=690#p335664, dat moet je achter de URL: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 plakken om de betreffende post te vinden (in dit geval dus http://forum.synology.com/enu/viewtopic.php?f=108&t=88770&start=690#p335664).

(1) "dd36": had in eerste instantie ca. 62% van de versleutelde files teruggehaald (zie &start=690#p335664). Daarna bleek de file /etc/synolock/RSA_PUBLIC_KEY te zijn verdwenen, na terugzetten ging decryptie verder (zie &start=705#p335703). Kennelijk is het niet met alles gelukt. Maar als de beschrijving van F-Secure klopt komt er vast wel iemand met een tooltje op de proppen om dit te doen. In &start=720#p335712 vemeldt dd36 zijn/haar private key en public key.

(2) "nielsvo" heeft alle bestanden, op 1 na, teruggekregen (zie &start=720#p335731).

(3) "AngeloMarc" meldt (in &start=750#p335907) dat zijn NAS aan het decrypten is.

(4) "Will Crook" meldt (in &start=735#p335789) dat hij de sleutel ontvangen heeft, maar het decrypten lukt hem niet.

(5) "shanesr" idem (in &start=765#p335974)

(6) "JB_W`lton" heeft eerst een Synology update gedraaid, heeft daarna betaald en de sleutel ontvangen, maar decrypten lukt niet (zie &start=750#p335922).

"KingKitega" heeft betaald maar geen key ontvangen (zie &start=690#p335651)

Zowel "lijia1" als "babu" claimen succes met het gebruik van PhotoRec (niet betalen, maar herstellen van gewiste bestanden). "lijia1" heeft daar een nieuwe thread voor gestart: http://forum.synology.com/enu/viewtopic.php?f=108&t=89121.

"kageurufu" heeft een tool (website) ontwikkeld waarmee je, als je de private key hebt maar de public key is gewist (en je geen backup hebt), de public key kunt genereren, zie http://forum.synology.com/enu/viewtopic.php?f=108&t=89185. Dit is geen sprookje; een private key bevat zoveel informatie dat je daaruit de bijbehorende public key kunt afleiden (andersom kan niet). Overigens kan dit ook op de commandline met openssl, maar niet iedereen is daar even handig mee.

Conclusie: het lijkt erop dat de cybercriminelen woord houden; als je betaalt krijg je, in veel gevallen, een private key waarmee je kunt decrypten. Dat proces is echter niet erg betrouwbaar, veel mensen melden problemen. Proberen gewiste bestanden te herstellen kan een alternatieve oplossing zijn, maar bijv. PhotoRec herstelt (meen ik) alleen foto's en geen andere bestanden. Het kan de moeite waard zijn om geld uit te geven voor betere "unerase" software; soms zijn daar trial versies van beschikbaar waar je enkele bestanden mee kunt recoveren.
Reacties (12)
15-08-2014, 09:21 door Briolet - Bijgewerkt: 15-08-2014, 09:22
Door Erik van Straten: [Op het Synology forum heb ik van zeker 6 personen gezien dat ze betaald hebben en de private key hebben ontvangen.

Jij citeert het Engelstalige Synology forum. Ook op het Nederlandstalige forum staan vele meldingen van mensen die betaald hebben en de files terug gekregen hebben. Dat is ook belangrijk voor de malware makers, omdat de success verhalen de rest over de streep moet trekken.

De verhalen van mislukking komen vooral van hen die het systeem opnieuw geïnstalleerd hebben na een besmetting. De malware was toen wel weg, maar na betalen kunnen ze niets meer met de private key omdat ze nu ook de decryptie software missen. Balen voor hen, maar met de key zal het ooit wel mogelijk zijn de files te decrypten.
15-08-2014, 11:42 door Vandy
Door Erik van Straten:
Als het kon, gaf ik je een up-vote!
15-08-2014, 13:59 door Anoniem
@ Erik

3x(+3)!

Denk dat er voortaan bij sommige 'diensten' maar wat budget vrij gemaakt moet worden voor mensen die nota bene gratis en wel, wel in staat zijn nuttige informatie te vergaren en deze te voorzien van goede uitleg.

Op naar van 'closed source' naar 'open source' informatie voorziening, van een 'gesloten advies en (geen) discussie' naar een 'open advies en publieke (mogelijkheid tot) discussie'.

Daar heb je namelijk wel wat aan bij het oplossen van een probleem en bij het maken van eigen afwegingen.

Complimenten voor de gedane moeite!

Groet
07-08-2014, 17:59 door Anoniem
https://www.security.nl/posting/397796#posting397992
18-08-2014, 10:14 door Profeet
Voor recovery software heb ik zelf erg goede ervaring met Getdataback (FAT & NTFS). Die staan vaak op de oude hirens boot cd's, tot versie 11 geloof ik.
18-08-2014, 10:44 door Mysterio
Het doel is natuurlijk om zo veel mogelijk geld binnen te harken. Als het betalen geen oplossing zou bieden dan zou het snel afgelopen zijn. Juist omdat betalen in de meeste gevallen 'de' oplossing is blijft dit een succesvolle manier om mensen af te persen.
19-08-2014, 17:55 door Anoniem
WAT ik altijd doe:

1 stekker internet uit de PC trekken.

2 de aan/uit knop van de PC 10sec indrukken.

3 PC aanzetten zonder internet ,Ccleaner draaien alle geschiedenis verwijderen.

4 opnieuw opstarten PC.

5 Draait weer als vanouds. (evt. virus scan doen)
19-08-2014, 23:33 door Vicktor
Door Anoniem: WAT ik altijd doe:

1 stekker internet uit de PC trekken.

2 de aan/uit knop van de PC 10sec indrukken.

3 PC aanzetten zonder internet ,Ccleaner draaien alle geschiedenis verwijderen.

4 opnieuw opstarten PC.

5 Draait weer als vanouds. (evt. virus scan doen)

Jij doet dit altijd? Hoe vaak raakt je systeem besmet dan? 1 x per week?
20-08-2014, 09:00 door Anoniem
Ik snap nog steeds niet waarom het betaalde geld niet gevolgd kan worden.
20-08-2014, 09:04 door Briolet
Door Vicktor:
Door Anoniem: WAT ik altijd doe:…

Jij doet dit altijd? Hoe vaak raakt je systeem besmet dan? 1 x per week?

Dat vraag ik me ook af. Bovendien helpt het drinken van een groot glas jus d'orange net zo goed tegen de Synolocker besmetting als aangehaalde methode. Als je als kip zonder kop rondrent en onzin-handelingen verricht zonder het probleem te kennen, snap ik wel dat je zo'n procedure weer elke week moet herhalen.
20-08-2014, 12:00 door Anoniem
@ 09:04 & 23:33

Af en toe moet het kennelijk even herhaald worden.

Het lezerspubliek op security.nl is er één van jong tot oud en van ervaren tot beginner.
Hou daar vriendelijk en beleefd rekening mee.

Maak er geen makkelijke sport van als oudere of meer ervaren deelnemer de minder ervaren of naar ik vermoed jongere deelnemers zo 'af te branden' (09:04).
Neem eens de beleefde moeite netjes antwoord te geven op de stelling, die best voor een aantal zaken een oplossing kan bieden maar niet in deze en leg geduldig uit waarom dat zo is.

Je toont daarmee respect voor anderen en je geeft mensen de kans om te leren en nieuwe inzichten op te doen.

Met makkelijk staarttrappen alleen komen we hier niet verder.
Iedereen maakt wel eens minder accurate opmerkingen.
Wat dat betreft mag één van de twee @'ts zich zeker op dat punt zeer zeker aangesproken voelen (er wordt nogal eens een verbazende reactie stilletjes achteraf aangepast).
20-08-2014, 15:58 door Anoniem
NOG nooit besmet geraakt door te doen wat ik beschreef... (19/8/14 17:55)

3 keer per jaar ongeveer gebeurt het.

PC verliest alles wat je niet opgeslagen hebt als je hem plotseling uitzet.

Dan cache wissen.
21-08-2014, 16:47 door Anoniem
Altijd van je af de cache wissen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.