Tweakers heeft vanavond in een post laten weten dat F-Secure een tool, met de naam Synounlocker, heeft ontwikkeld voor het ontsleutelen van bestanden die zijn encrypted doormiddel van de Synolocker Ransomware. Hierbij geven ze wel aan dat voor het ontsleutelen er gebruik gemaakt moet worden van de juiste decryptie sleutel.
Helaas wordt er in de post niet bij aangegeven waar deze vandaan moet komen, want de decryptie sleutel was niet altijd correct die zal zijn ontvangen. Deze informatie druist in tegen de meldingen die ik op internet voorbij heb zien komen. Verschillende gebruikers hebben de 0,6 bitcoin betaald en hebben hun files kunnen decrypten. Ik ben geen meldingen tegengekomen waarbij de gebruiker betaald heeft en niet heeft kunnen decrypten.
Op Github is in ieder geval het volgende te vinden:
The tool works by first looking in a file for the magic string “THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337” that is used by SynoLocker to identify files it has encrypted. Next, it will attempt to decrypt the file. During this process, it will also attempt to check that the encrypted file has not been corrupted. This is possible, because SynoLocker stores a HMAC of the encrypted data as part of the file. If all seems to have gone well, the tool will write the decrypted contents to a new file, with the name of the original file appended with “.dec”. The tool will not remove or overwrite the original encrypted file.
Bovenstaande lijkt weer aan te geven dat de code al gevonden kan worden zonder hiervoor te betalen. Ik ben dan ook zeer benieuwd of er hier nog mensen zijn die met bovenstaande hun bestanden hebben kunnen decrypten en of ze dat hebben kunnen doen zonder te betalen.
Als het werkt zonder te betalen, dan vind ik het wel jammer dat F-Secure niet sneller heeft aangegeven dat deze tool er aankwam. Ik denk dat de mensen die niet betaald hebben inmiddels al een herinstallatie van hun Synology hebben uitgevoerd.