In https://www.security.nl/posting/397796/Onderzoekers+verslaan+encryptie+CryptoLocker-ransomware#posting397806 vroeg ik mij hetzelfde af, dus heb ik maar eens wat onderzoek gedaan.

Advies vooraf: bij schade aan bestanden en filesystems is het beste wat je kunt doen zorgen dat er niets meer met de schijf of schijven gebeurt (zet de NAS/PC uit) voordat je (1) ze gekloond hebt op een systeem dat niet naar de originele schijven schrijft, en (2) hebt gecontroleerd dat het kopiëren is gelukt. Gaat er iets mis bij pogingen de boel te herstellen dan kun je altijd terug naar de uitgangspositie.

Om te beginnen is het zinvol om te onderzoeken of de encryptie "kraakbaar" is. In http://www.f-secure.com/weblog/archives/00002733.html beschrijft F-Secure o.a. de wijze waarop de Synolocker malware bestanden op de NAS versleutelt. Helaas: tenzij de aanvallers bijv. van een slechte random number generator gebruik maken, acht ik de kans klein dat je versleutelde bestanden kunt decrypten zonder in het bezit te zijn van de private key. Uit bijdragen op het Synology forum maak ik op dat de aanvallers voor elke "klant" een uniek sleutelpaar hebben gemaakt (er is dus geen sprake van een "loper").

In het F-Secure plaatje rechtsboven zie je nergens de "RSA Private Key" genoemd worden, die is namelijk niet nodig bij het versleutelen. Echter, zonder de "RSA Private Key" kun je niet ontsleutelen, dus daar moet je losgeld voor betalen. Of je dat doet is een ethisch vraagstuk; je maakt criminaliteit lonend. Of jouw bestanden dat waard zijn moet je zelf maar uitmaken.

Op het Synology forum zijn er meldingen (zie verderop) van mensen die met succes gewiste files terughalen, de betrouwbaarheid hiervan vind ik lastig in te schatten. Kloon je schijven voordat je aan zo'n avontuur begint!

F-Secure beschijft ook de bestandstypes (op basis van extensie) die worden versleuteld, en benoemt de bij Synolocker horende bestanden. Daarbij noemen ze ook "/etc/synolock/RSA_PRIVATE_KEY". Dat bestand verwacht ik niet (totdat je ervoor betaald hebt). Uit de discussie op het Synology forum maak ik op dat genoemd bestand inderdaad niet op je NAS staat (ook niet leeg of met andere inhoud) TOTDAT je betaalt en dat bestand hebt ingelezen. Sterker, als de malware dat bestand ziet verschijnen, start (als het goed is) de decryptie. Let op: ga niet lukraak een RSA_PRIVATE_KEY bestand met willekeurige inhoud in /etc/synolock/ terugzetten, de kans bestaat dat je je bestanden dan "ontsleutelt" naar een andere versleuteling en ze nooit meer terugkrijgt.

Op het Synology forum heb ik van zeker 6 personen gezien dat ze betaald hebben en de private key hebben ontvangen. Ik geef steeds het nummer van de post zoals &start=690#p335664, dat moet je achter de URL: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 plakken om de betreffende post te vinden (in dit geval dus http://forum.synology.com/enu/viewtopic.php?f=108&t=88770&start=690#p335664).

(1) "dd36": had in eerste instantie ca. 62% van de versleutelde files teruggehaald (zie &start=690#p335664). Daarna bleek de file /etc/synolock/RSA_PUBLIC_KEY te zijn verdwenen, na terugzetten ging decryptie verder (zie &start=705#p335703). Kennelijk is het niet met alles gelukt. Maar als de beschrijving van F-Secure klopt komt er vast wel iemand met een tooltje op de proppen om dit te doen. In &start=720#p335712 vemeldt dd36 zijn/haar private key en public key.

(2) "nielsvo" heeft alle bestanden, op 1 na, teruggekregen (zie &start=720#p335731).

(3) "AngeloMarc" meldt (in &start=750#p335907) dat zijn NAS aan het decrypten is.

(4) "Will Crook" meldt (in &start=735#p335789) dat hij de sleutel ontvangen heeft, maar het decrypten lukt hem niet.

(5) "shanesr" idem (in &start=765#p335974)

(6) "JB_W`lton" heeft eerst een Synology update gedraaid, heeft daarna betaald en de sleutel ontvangen, maar decrypten lukt niet (zie &start=750#p335922).

"KingKitega" heeft betaald maar geen key ontvangen (zie &start=690#p335651)

Zowel "lijia1" als "babu" claimen succes met het gebruik van PhotoRec (niet betalen, maar herstellen van gewiste bestanden). "lijia1" heeft daar een nieuwe thread voor gestart: http://forum.synology.com/enu/viewtopic.php?f=108&t=89121.

"kageurufu" heeft een tool (website) ontwikkeld waarmee je, als je de private key hebt maar de public key is gewist (en je geen backup hebt), de public key kunt genereren, zie http://forum.synology.com/enu/viewtopic.php?f=108&t=89185. Dit is geen sprookje; een private key bevat zoveel informatie dat je daaruit de bijbehorende public key kunt afleiden (andersom kan niet). Overigens kan dit ook op de commandline met openssl, maar niet iedereen is daar even handig mee.

Conclusie: het lijkt erop dat de cybercriminelen woord houden; als je betaalt krijg je, in veel gevallen, een private key waarmee je kunt decrypten. Dat proces is echter niet erg betrouwbaar, veel mensen melden problemen. Proberen gewiste bestanden te herstellen kan een alternatieve oplossing zijn, maar bijv. PhotoRec herstelt (meen ik) alleen foto's en geen andere bestanden. Het kan de moeite waard zijn om geld uit te geven voor betere "unerase" software; soms zijn daar trial versies van beschikbaar waar je enkele bestanden mee kunt recoveren.