5分

樓主

個人積分：5分

文章編號：51468411

有關這次SynoLocker被加密的檔案，有辦法恢復正常開啟嗎?

小弟公司用的DS713+這次也中獎了
是使用DSM 4.3的版本
版本後四碼忘記了
不過不同的是尚未出現讀秒的畫面
猜測應該是所有檔案還沒加密完成

內部重要文件包含Excel、Word、pdf、autocad等
開啟後不是顯示亂碼就是無法開啟
估計被加密的檔案約有35萬筆

請問各位大大有方法能使檔案恢復正常開啟嗎?

另外因為照著群暉的步驟關閉DSM
重新開啟並安裝最新版本後便恢復DSM介面及功能
不過檔案依舊加密
請問真的只能付款解密的話
有方法能顯示付款方式及步驟的頁面嗎?

雖然很不想向駭客低頭
但處於公司營運考量不得不這麼做..

還請麻煩各位大大提供方法

萬分感謝!

2014-08-05 17:45 #1

文章關鍵字

恢復 SynoLocker 檔案辦法

ulimie

2137分

2樓

ulimie

個人積分：2137分

文章編號：51468604

恐怕......

另外要耽心的是, 即使你願意支付贖金, (連 TOR Browser 都用上了, 付給誰都不知道?) 又怎麼能保證綁匪能守信用?
有任何網上貼文說付錢就消了災的嗎? 說不定這就是病毒 + 詐騙，根本就沒解藥?

Goggle

1054分

3樓

Goggle

個人積分：1054分

文章編號：51468922

要解密在時間有限的狀況根本不太可能

可能只能付錢消災了 ...

Whistle Blow

1424分

4樓

Whistle Blow

個人積分：1424分

文章編號：51470150

如果加密過程真的是像SynoLocker綁架頁面所提到的，就算給了足夠時間跟計算力，暴力破解金鑰成功的機率仍可以視同於零，因為它先用對稱式AES加密每個檔案，且加密每個檔案的256-bit AES金鑰都是不一樣的，而每個256-bit AES金鑰再用Synolocker專門為該被駭系統所產生的獨有RSA-2048公開金鑰加密後存進檔案，而跟每把公開金鑰對應的RSA私有金鑰則是握在駭客手中，對公開/私有金鑰非對稱加密系統有涉獵的，應該可了解這確實代表只有駭客可以解密你的檔案。而對RSA跟AES演算法有概念的，也應該了解這種二步驟RSA+AES加密以及2048-bit超大質數/256-bit AES金鑰長度背後所代表的加密強固性......

....如果可以靠暴力破解，那麼世界上就幾乎沒有機密或隱私可言了。

更狠的是：因為原本的檔案會被刪除而用加密過的版本取代，有些人可能會寄望像冠希哥事件一樣利用回復刪除檔案方式找回原檔，但是SynoLocker在刪除前就會在原檔內寫入隨機位元，把內容破壞之後才刪除。而且過程看來是每產生一個加密檔案就刪除對應原檔，因此刪除釋出的原檔空間極可能隨即就被後續被加密的檔案覆寫，即使送去給資料救援的專業公司，就算還能救回一些檔案，救回來的也會是被寫入過隨機位元，也就是被破壞過的檔案。

雖說要暴力破解金鑰跟演算法很難，但是通常一個加密系統的弱點會出在系統整合串連思慮不周之處、或是程式設計師/操作人員偷懶所產生的漏洞，因此一個解套方式是攻破駭客的私有金鑰儲存庫，找出每台被駭機器的對應私有RSA-2048金鑰，拯救眾生，但一來這個私有金鑰儲存庫未必是處在可被攻擊的上線狀態，二來還是要有人寫出還原程式才行，這個程式必須讀出每個檔案中所儲存的個別256-bit AES金鑰（已被加密），先用對應該系統的RSA-2048私有金鑰+RSA演算法解開每個檔案的256-bit AES金鑰，然後再用AES金鑰+AES演算法將該檔案解密，最後還得把不屬於原檔的冗餘資訊（例如RSA 2048加密的AES金鑰，應該還有其他）去掉。

================================================
•A unique RSA-2048 keypair is generated on a remote server and linked to this system.
•The RSA-2048 public key is sent to this system while the private key stays in the remote server database.
•A random 256-bit key is generated on this system when a new file needs to be encrypted.
•This 256-bit key is then used to encrypt the file with AES-256 CBC symmetric cipher.
•The 256-bit key is then encrypted with the RSA-2048 public key.
•The resulting encrypted 256-bit key is then stored in the encrypted file and purged from system memory.
•The original unencrypted file is then overwrited with random bits before being deleted from the hard drive.
•The encrypted file is renamed to the original filename.
•To decrypt the file, the software needs the RSA-2048 private key attributed to this system from the remote server.
•Once a valid decryption key is provided, the software search each files for a specific string stored in all encrypted files.
•When the string is found, the software extracts and decrypts the unique 256-bit AES key needed to restore that file.
=================================================

hansom9180

1分

5樓

hansom9180

個人積分：1分

文章編號：51471237

詢問過黑歐米，工程師說可用修復還原方式恢復檔案，但要價不便宜。
也不知能回復到何種程度。

cityhunter

34分

6樓

cityhunter

個人積分：34分

文章編號：51472366

請問貴司nas有對外開放服務嗎

aba80526

5分

樓主

aba80526

個人積分：5分

文章編號：51476899

cityhunter wrote:
請問貴司nas有對外...(恕刪)

中獎前有開放對外，目前已經關閉

hansom9180 wrote:
詢問過黑歐米，工程師...(恕刪)

所以這類問題透過硬碟處理的專家也許有解嗎?

pctine

5089分

8樓

pctine

個人積分：5089分

文章編號：51478062

aba80526 wrote:
所以這類問題透過硬碟處理的專家也許有解嗎?...(恕刪)

如果據現在已得到的資訊, 應是無解, 原始檔案在加密後, 也已經被隨意寫入一些垃圾資料, 所以嘗試去 scan disk 救回的檔案也應該沒有利用的價值.

既是公司重要資料, 如果是小弟, 當沒有辦法自行解密時, 付錢已是最後一條路, 付了錢不一定能救回資料, 但不付錢是肯定沒機會. 所以就留給公司主管去決定吧!

FB: Pctine