¿Qué es Synolocker?

Synolocker es un virus de los que se suelen categorizar como RamsonWare que infecta a los almacenamientos en red Synology. Tras la infección cifra los datos del NAS con una clave y solicita un rescate para descifrarlos. Es la versión para NAS Synology del virus Cryptolocker.

Los NAS Synology infectados con SynoLocker mostrarán este mensaje en vez de la pagina habitual de su panel de control DSM:

SynoLocker Virus Synology

All important files on this NAS have been encrypted using strong cryptography
List of encrypted files available here
Follow these simple steps if files recovery is needed:

¿A que versiones de DSM afecta SynoLocker?

Se han reportado casos de infección de Synolocker en versiones de DSM 4.0, 4.1, 4.2 y 4.3, por lo que al menos estas versiones parecen estar afectadas por la vulnerabilidad.

Synology, en un comunicado, explica que la vulnerabilidad parece venir de un fallo de seguridad que parchearon en Diciembre de 2013 y que las versiones DSM 4.3-3827 o superior, DSM 4.2-3243 y DSM 4.0-2259 deberían solucionarlo.

¿Como funciona SynoLocker?

Synology ha comunicado que la vulnerabilidad afecta a equipos con versiones de DSM 4.3-3810 o anteriores.

El cifrado se produce de la siguiente forma, según explica el propio virus en una nota informativa:

  • Se genera una clave privada única en un servidor remoto controlado por los gestores de este virus
  • El virus se descarga la clave publica al dispositivo Synology infectado por SynoLocker
  • Se genera una clave de 256 bit unica para archivo, que se utiliza para cifrar ese archivo único. La clave es cifrada a su vez con la clave RSA 2048 e incorporada al archivo en concreto que cifra
  • Se sobreescribe el archivo original con información aleatoria para luego borrarse.
  • Se renombra el archivo cifrado al nombre original.
  • Para descifrar el archivo de SynoLocker, se necesita la key privada RSA2048 bits que se almacena en el servidor remoto. A su vez, esta key privada descifra la key AES256 única de cada archivo encriptado, que el virus SynoLocker identifica mediante una cadena concreta dentro de cada archivo secuestrado.

SynoLocker virus Synology 02

Cabe destacar que la infección por SynoLocker es automática siempre que tengas el acceso remoto activado. No necesitas infectar tu PC para que SynoLocker acabe en tu NAS Synology.

¿Se puede limpiar el virus SynoLocker?

Para limpiar SynoLocker de tu NAS Synology, has de reinstalar por completo DSM. Esto no desencriptará tus archivos.

¿Como recupero mis archivos encriptados con SynoLocker?

Restaura tus backups. Ah, ¿no tenías backups? Solo te queda pagar el precio que te piden. Estos esquemas de cifrado no suelen ser reversibles y los originales de archivos encriptados se borran minuciosamente para no permitir una recuperación fácil.

¿Como pago el rescate de SynoLocker?

  • El virus SynoLocker proporciona la siguiente información para hacerles el pago y recuperar los archivos:
  • Descargate el navegador Tor
  • Ir a una dirección proporcionada por ellos.
  • Hacer login con el código único que proporciona el propio virus.
  • Seguir las instrucciones de la página para pagar el importe de 0.6 Bitcoins (unos 230 €)

SynoLocker virus Synology

To decrypt your files you need to buy a unique decryption key that is linked to your identification code. The only accepted payment method is Bitcoin.

¿Como me protejo de SynoLocker?

Desactiva el acceso remoto a tu dispositivo. Esto puedes hacerlo de dos formas:
Deshabilita las funciones de QuickConnect para acceso remoto.
Cambia los puertos que tengas abiertos en tu router para manejar el Synology desde Internet. Habitualmente estos puertos suelen ser:
22/TCP, 80/TCP, 443/TCP, 5000/TCP, 5001/TCP, 5006/TCP, 6690/TCP
De todas formas, si tienes mas servicios accesibles desde internet, consulta cuales de tus puertos abiertos y redireccionados son destinados a Synology.

En este hilo del foro de synology se hace seguimiento de este virus http://forum.synology.com/enu/viewtopic.php?f=108&t=88770

Si acabas de ser infectado hace poco y ves mucha actividad de disco, lo más seguro es que cortes el acceso a internet del NAS y lo apagues. De esta forma interrumpes el cifrado de los archivos mientras el equipo está apagado. Tambien puedes aprovechar el tiempo para hacer un backup inmediato de tus archivos más importantes a otro medio de almacenamiento, confiando en que aún no se hayan cifrado.

 

¿Si pago el rescate se descifrarán mis discos?

Pues parece que los usuarios que han pagado el rescate de SynoLocker están viendo una página con un proceso de descifrado de sus datos. Aqui puedes ver un ejemplo:

synolocker pagar