Synology NAS besmet met ransomware synolocker

• Before you start
• Create a new account as the system administrator and disable the system default admin account
• Set up password strength rules
• Restrict suspicious IP addresses with auto block
• Protect your account with 2-step verification
• Enable HTTPS connection
• Secure FTP service
• Only open the public ports for needed services on the router
• Enable browser's incognito mode or using guest browsing feature when accessing Synology NAS with a public computer

Farmerwood schreef op maandag 11 augustus 2014 @ 09:58:
Dat heb ik nu inderdaad ook gedaan, maar loop toch ook weer tegen problemen aan. Ik gebruik de VPN functie van mijn router (Fritzbox) en die heeft nogal problemen met iOS. Mijn Android telefoon maakt gewoon verbinding, maar de iPhone van mijn vriendin niet en die wil ook graag bij haar data. Dus twijfel nu om toch Cloudstation of de webinterface weer toegankelijk te maken van buitenaf.

[ Voor 0% gewijzigd door Farmerwood op 11-08-2014 10:20 . Reden: typo ]

Rukapul schreef op maandag 11 augustus 2014 @ 10:03:
Geen idee of Synology zoiets ondersteunt. Ik gebruik rsnapshot in elk geval op m'n Debian machine.

[ Voor 12% gewijzigd door Orion84 op 11-08-2014 10:23 ]

Farmerwood schreef op maandag 11 augustus 2014 @ 09:29:
Ik kwam deze pagina van Synology nog tegen dit weekend over het extra beveiligen van inloggen op je NAS. Nieuw voor mij was dat je via b.v Google authenticator codes kunt genereren voor Synology.

http://www.synology.com/en-us/support/tutorials/615

Contents

• Before you start
• Create a new account as the system administrator and disable the system default admin account
• Set up password strength rules
• Restrict suspicious IP addresses with auto block
• Protect your account with 2-step verification
• Enable HTTPS connection
• Secure FTP service
• Only open the public ports for needed services on the router
• Enable browser's incognito mode or using guest browsing feature when accessing Synology NAS with a public computer

Arfman schreef op vrijdag 08 augustus 2014 @ 15:05:
[...]

De les is vooral: blijf je software up to date houden. De patch waarin dit probleem voorkomen werd is al in december 2013 gereleased. Iets wat je aan het internet hangt (wat inderdaad niet echt te vertrouwen is) moet, moet, moet je echt up-to-date houden. Zeker met het gemak waarmee je een DSM upgrade doet is er eigenlijk geen excuss om niet de laatste versie geïnstalleerd te hebben.

JAHRASTAFARI schreef op maandag 11 augustus 2014 @ 10:58:
[...]

Ik vraag me af of het niet beter zou zijn dat dit soort cruciale updates automatisch worden verspreid en geïnstalleerd.

[ Voor 14% gewijzigd door Equator op 11-08-2014 11:14 ]

Farmerwood schreef op maandag 11 augustus 2014 @ 10:19:
Persoonlijk vind ik eigenlijk niet dat de NAS de functie van VPN-server zou moeten vervullen. Zijn functie is het opslaan en beschikbaar maken van data. De toegang tot mijn interne netwerk hoort aan de deur (aka bij de router) geregeld te worden en niet via de NAS te lopen.
Maar als ik het echt niet aan de praat krijg via de router is het eventueel nog een optie. Of een klein Linuxbakje tussen de router en mijn interne netwerk zodat ik een SSH-tunnel kan gebruiken.

maniak schreef op maandag 11 augustus 2014 @ 09:08:
[...]


Zelf kopieer ik periodiek mijn belangrijke bestanden van mijn NAS naar een NAS die bij mijn ouders staat, en andersom. Zo hebben we beide een offsite backup. Rsync of andere automatische kopieer acties zijn iederdaad niet verstandig.

iNSaNe-oNe schreef op zondag 10 augustus 2014 @ 13:51:
[...]

Lijkt me wel, aangezien de iSCSI LUN op het filesystem van de Synology ook een file is die te encrypten valt door Synolocker.

Andre_J schreef op maandag 11 augustus 2014 @ 12:05:
2-step is alleen van toepassing bij het aanmelden op de webinterface.

debom schreef op maandag 11 augustus 2014 @ 09:15:
[...]
Misschien is dit een optie:
http://gathering.tweakers.net/forum/list_messages/1583779

u_nix_we_all schreef op maandag 11 augustus 2014 @ 11:41:
[...]

Dat hangt er van af of je block-level of file-level iScsi gebruikt.
Bij block-level ziet de synology geen files, dus zal er niets geencrypt worden.

b0wi schreef op maandag 11 augustus 2014 @ 12:28:
Zijn er gevallen bekend van gebruikers van XPEnology die zijn getroffen?

[ Voor 6% gewijzigd door debom op 11-08-2014 13:08 ]

Koldur schreef op maandag 11 augustus 2014 @ 11:13:
[...]

Je kan zeker de Synology VPN gebruiken zonder nadelen, dan heb je meerdere opties, hoewel L2TP/IPSec (wat de Fritzbox gebruikt) wel een erg goede VPN is natuurlijk.

Heb je dit wel eens geprobeerd?
http://www.gadgetgoeroe.n...lleren-en-mac-vpn-client/

Audi-RS4 schreef op maandag 11 augustus 2014 @ 13:35:
ben nu even bezig met het maken van een backup en ik ga inderdaad op die site hoofdstuk 2 proberen..(voor de zekerheid) bedankt in ieder geval.

Koldur schreef op maandag 11 augustus 2014 @ 11:13:
Je kan zeker de Synology VPN gebruiken zonder nadelen, dan heb je meerdere opties, hoewel L2TP/IPSec (wat de Fritzbox gebruikt) wel een erg goede VPN is natuurlijk.

Farmerwood schreef op maandag 11 augustus 2014 @ 13:15:
Precies die website heb ik idd gebruikt om mijn Macbook op het VPN van de Fritzbox te krijgen, maar helaas werkt het dus niet op de iPhone van mijn vriendin. De Fritzboz geeft zelfs trouwens een heel net overzichtje van hoe je Android & iOS in moet stellen. Android werkt dus prima. iOS helaas niet.

[ Voor 39% gewijzigd door technorabilia op 11-08-2014 13:58 ]

Videopac schreef op maandag 11 augustus 2014 @ 10:43:
[...]

Dank voor deze checklist.
Op korte termijn wil ik hier zelf aan toevoegen:
• alleen toegankelijk maken voor enkele externe IP adressen
Later:
• VPN-only toegang.

Mis ik nou nog belangrijke zaken, qua beveiliging?

[ Voor 5% gewijzigd door SmiGueL op 11-08-2014 16:14 ]

SmiGueL schreef op maandag 11 augustus 2014 @ 14:43:
[...]

W.b.t. die 2-factor authentication:
Ik ben er groot voorstander van, en gebruik het zelf ook al jaren voor m'n email en sommige andere sites waarbij het mogelijk is. Maar i.c.m. m'n NAS was het vorig jaar echt drama.
Schijnbaar zijn er meer mensen die er last van hebben.
Mocht het nu wel fatsoenlijk werken dan wil ik wel weer een poging wagen.

Lizard schreef op maandag 11 augustus 2014 @ 19:44:
Voor de mensen die nog een backup optie zoeken, Synology heeft net integratie met Elephantcloud aangekondigd:

http://home.elephantdrive.com/welcome/synology/

Daarmee kan je a la dropbox ook oudere versies terug krijgen.

RobV schreef op maandag 11 augustus 2014 @ 23:39:
Of je het nou naar amazon, naar crashlplan of naar de buren pompt.. Je upload blijft de beperkende factor. En de backu hoeft nietmorgen klaar te zijn toch?

[ Voor 9% gewijzigd door Orion84 op 12-08-2014 09:32 ]

Orion84 schreef op dinsdag 12 augustus 2014 @ 09:31:
* Orion84 heeft (met tussenpozen) ruim een week nodig gehad (bijna klaar) om alles van belang naar Glacier te uploaden.
[afbeelding]

[ Voor 29% gewijzigd door RobV op 12-08-2014 10:00 ]

Orion84 schreef op dinsdag 12 augustus 2014 @ 09:31:
Zodra die initiële upload eenmaal gedaan is, zijn het daarna enkel de gewijzigde en nieuwe bestanden.

maniak schreef op dinsdag 12 augustus 2014 @ 10:10:
[...]


Mja.. en hoe gaat die dan om als alle bestanden encrypted zijn? Dan zijn dat ook gewijzigde bestanden? Is het mogelijk om een oudere versie van hetzelfde bestand op te halen dan?

[ Voor 8% gewijzigd door Stefke op 12-08-2014 10:54 ]

Avenger 2.0 schreef op dinsdag 12 augustus 2014 @ 10:42:
Als je nu RAID-1 zou gebruiken en je zou er regelmatig een disk uittrekken als backup en terug een lege insteken en laten rebuilden. Met 4 schijven heb je er dus altijd 2 in RAID en 2 backups die je zelfs op een andere locatie kan stockeren. Is dit geen eenvoudigere oplossing om niet al die online backup en versioning te moeten doen?

Avenger 2.0 schreef op dinsdag 12 augustus 2014 @ 10:42:
Als je nu RAID-1 zou gebruiken en je zou er regelmatig een disk uittrekken als backup en terug een lege insteken en laten rebuilden. Met 4 schijven heb je er dus altijd 2 in RAID en 2 backups die je zelfs op een andere locatie kan stockeren. Is dit geen eenvoudigere oplossing om niet al die online backup en versioning te moeten doen?

[ Voor 198% gewijzigd door M-ThijZ op 12-08-2014 11:12 ]

Verwijderd schreef op dinsdag 12 augustus 2014 @ 11:10:
Heren,

Praten over backups kan in een los topic; dit topic gaat specifiek over de problemen met besmette Synology machines middels de SynoLocker-ransomware. Probeer het on-topic te houden.

Alvast jullie dank!

M-ThijZ schreef op dinsdag 12 augustus 2014 @ 11:10:
^^ welk topic?

Avenger 2.0 schreef op woensdag 13 augustus 2014 @ 16:02:
http://www.f-secure.com/weblog/archives/00002733.html

Despite our best efforts, we have so far been unable to identify the exact infection vector used by SynoLocker.

Belangrijke veiligheidswaarschuwing over SynoLocker

Beste Synology-gebruikers,

Graag willen wij u informeren dat een ransomware genaamd "SynoLocker" momenteel enkele Synology NAS-gebruikers beïnvloedt. Deze ransomware vergrendelt getroffen servers, versleutelt bestanden van gebruikers en eist een vergoeding om toegang tot de versleutelde bestanden te krijgen.
We hebben bevestigd dat de ransomware alleen van invloed is op de Synology NAS-servers met oudere versies van DiskStation Manager door het uitbuiten van een beveiligingsprobleem, dat in december 2013 werd opgelost.

Getroffen gebruikers kunnen de volgende symptomen ervaren:

Als men zich aanmeldt bij DSM verschijnt er een scherm dat de gebruikers op de hoogte brengt dat de gegevens zijn gecodeerd en een vergoeding is vereist om toegangte krijgen tot deze gegevens.
Abnormaal hoog CPU-gebruik of een lopend proces genaamd "synosync" (kan worden gecontroleerd in Hoofdmenu> Broncontrole).
DSM 4.3-3810 of eerder; DSM 4.2-3236 of eerder; DSM 4.1-2851 of eerder; DSM 4.0-2257 of eerder is geïnstalleerd, maar het systeem zegt dat er geen updates beschikbaar zijn op Configuratiescherm > DSM bijwerken.
Als u de bovenstaande symptomen ervaart, sluit dan onmiddellijk het systeem af en neem contact op met onze technische support: https://myds.synology.com/support/support_form.php

Als u de bovenstaande symptomen niet bent tegengekomen, dan raden we aan om DSM 5.0, of onderstaande versie te installeren:

DSM 4.3-3827 of later
DSM 4.2-3243 of later
DSM 4.0-2259 of later
DSM 3.x of vroeger wordt niet beïnvloed
U kunt handmatig de laatste versie vanDownload Center downloaden en deze installeren op Configuratiescherm > DSM bijwerken > Handmatig DSM bijwerken.
Als u een vreemd gedrag opmerkt of vermoedt dat uw Synology NAS-server is getroffen door het bovenstaande probleem, neem dan contact met ons op security@synology.com.

Onze oprechte excuses voor de eventuele problemen of ongemakken dat dit probleem heeft veroorzaakt. We houden jullie op de hoogte over de laatste informatie bij het aanpakken van dit probleem.
Bedankt voor jullie begrip en geduld.

Met vriendelijke groet,
het Synology Development Team

[ Voor 31% gewijzigd door FrankRicard op 14-08-2014 11:45 ]

u_nix_we_all schreef op donderdag 14 augustus 2014 @ 14:34:
De decryption keys zijn nu in de uitverkoop !

Ik vraag me af of er bedrijven zijn die daar iets mee te maken willen hebben. Bij het cryptolocker virus is op een gegeven moment de database in handen gekomen van FOX-IT (dacht ik) maar die hebben daar niet voor betaald vziw, en daar is die decrypcryptolocker.com site mee opgezet.

Misschien is het iets voor Synology zelf om de database te kopen, maar anderzijds wil je die gasten niet belonen voor het naaien van je klanten .....

Kameleman schreef op zaterdag 16 augustus 2014 @ 13:53:
Gisteren dan maar geplooid en 1,2 Bitcoin over geschreven naar die gasten.

Na de betaling komt er via het Tornetwerk:

SynoLocker™
Automated Decryption Service
Your payment has been processed!
The RSA private key required for decryption is (en dan de private key)

Nu wordt er gemeld dat deze key niet juist is wnr ik hem wil invullen. Ik krijg de melding: "RSA key is not valid! Try again after the page refresh."

Dus 500 euro kwijt nog ik kan nog steeds niet decrypten. Ik probeer die te bereiken via Bitmessage zoals gemeld, maar krijg geen antwoord.

Iemand een oplossing?

Kameleman schreef op zaterdag 16 augustus 2014 @ 13:53:
The RSA private key required for decryption is (en dan de private key)

Nu wordt er gemeld dat deze key niet juist is wnr ik hem wil invullen. Ik krijg de melding: "RSA key is not valid! Try again after the page refresh."

Iemand een oplossing?

[ Voor 7% gewijzigd door SmiGueL op 16-08-2014 14:51 ]

[ Voor 88% gewijzigd door Verwijderd op 17-08-2014 22:48 ]

[ Voor 41% gewijzigd door Verwijderd op 17-08-2014 22:49 ]

Wellicht staat dit al ergens maar ik wil mijn ervaring van de decryptie hier posten.
Wellicht hebben anderen daar ook iets aan.

Ik ben ondertussen met mijn decryptie bezig (ongeveer 12 uur verder, 36.000.000 files gehad (volgens het aantal regels in decrypted..log !).

Met de software die zij hadden geleverd is het mij niet gelukt dit uit te voeren.
Instructie gevolgd, maar geen succes.

De software die zij leveren is synosync (volgens de bitmessage: speciaal voor mijn machine / type synology gemaakt ??)

Er stond ook al een versie van synosync op de DSM op /etc/synolock, echter een andere grootte (strange ?).
Oude synosync gekopieerd naar synosync-old.
Nieuwe synosync gekopieerd naar die map.

RSA_PUBLIC_KEY (stond er nog) en de RSA_PRIVATE_KEY ook in die map geplaatst.

Allereerst maar eens de nieuwe uitgeprobeerd in de expert mode (command line).
/etc/synolock/synosync "ENCRYPTED.FILE": error: invalid public key
Dus de public key past niet bij de synosync die ik heb gekregen?

Misschien toch maar gewoon de software draaien?
Gedaan volgens de instructie, maar na een uur wachten lijkt er niets te gebeuren.
Dus afgebroken.

Wel gek: Na het draaien van synosync lijkt de RSA_PUBLIC_KEY te worden verwijderd.
Dus voor de volgende test maar weer de Public Key in de etc/synolock gecopieerd en direct een .BAK versie aangemaakt.

Mijn gedachte: Blijkbaar is er iets met de synosync versie niet goed. Dus mijn eigen (old) synosync versie maar gestart.
Synosync copy naar -new.
Old naar synosync !

Command line regel gestart als eerder beschreven: EUREKA.
Vervolgens volgens de instructie het synosync opgestart en hij gaat volume1 langs.
Daar is hij nog steeds mee bezig.

Als ik al wat files controleer: allemaal weer goed !!
1 probleem: De grotere files (filmpjes boven 10 MB) worden niet ge-decrypt, terwijl tot een bepaalde grootte (? 100MB ?) wel ge-encrypt zijn.
Dus niet alles wordt ge-decrypt, maar dat zal ik straks nog wel proberen met de command line.

Tot zover.
Wellicht heeft iemand hier iets aan.

Gr.
Jan

[ Voor 86% gewijzigd door Verwijderd op 26-08-2014 14:14 ]

[ Voor 13% gewijzigd door frank_b op 26-08-2014 19:14 ]

[ Voor 3% gewijzigd door DaaNium op 02-09-2014 11:57 . Reden: Linux/hdd dock vraag er bij gezet ]

[ Voor 31% gewijzigd door the-dark-force op 02-09-2014 22:37 ]

[ Voor 68% gewijzigd door DaaNium op 02-09-2014 22:57 ]

Toegang geweigerd, Heeft u beheerdersrechten?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#!/usr/bin/env python
############################################################################
# Copyright 2014 F-Secure #
# #
# Licensed under the Apache License, Version 2.0 (the "License"); #
# you may not use this file except in compliance with the License. #
# You may obtain a copy of the License at #
# #
# http://www.apache.org/licenses/LICENSE-2.0 #
# #
# Unless required by applicable law or agreed to in writing, software #
# distributed under the License is distributed on an "AS IS" BASIS, #
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. #
# See the License for the specific language governing permissions and #
# limitations under the License. #
############################################################################
import sys
import os

1

print " decrypted file will be written to <encrypted file name>.dec"

[ Voor 56% gewijzigd door RobIII op 02-09-2014 23:55 . Reden: Code tags toegevoegd ]

the-dark-force schreef op dinsdag 02 september 2014 @ 23:37:
De opmaak kan iets anders zijn, tweakers houd niet van loze ruimtes

CiPHER schreef op dinsdag 02 september 2014 @ 23:02:
[...]

Daar zit het probleem hem in; je moet het als root uitvoeren.

Concreet betekent dit dat je 'sudo' voor het commando moet zetten. Dus:

sudo apt-get install <blabla>

Nvidiot schreef op dinsdag 02 september 2014 @ 23:13:
Waar begint dat synunlocker.py bestand mee? (Open het eens met notepad ofzo) Ik denk dat je een HTML file gedownload hebt en niet de python code.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

<!DOCTYPE html>
<html lang="en" class="   ">
  <head prefix="og: http://ogp.me/ns# fb: http://ogp.me/ns/fb# object: http://ogp.me/ns/object# article: http://ogp.me/ns/article# profile: http://ogp.me/ns/profile#">
    <meta charset='utf-8'>
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta http-equiv="Content-Language" content="en">
    
    
    <title>Synounlocker/synounlocker.py at master · F-Secure/Synounlocker · GitHub</title>
    <link rel="search" type="application/opensearchdescription+xml" href="/opensearch.xml" title="GitHub">
    <link rel="fluid-icon" href="https://github.com/fluidicon.png" title="GitHub">
    <link rel="apple-touch-icon" sizes="57x57" href="/apple-touch-icon-114.png">
    <link rel="apple-touch-icon" sizes="114x114" href="/apple-touch-icon-114.png">
    <link rel="apple-touch-icon" sizes="72x72" href="/apple-touch-icon-144.png">
    <link rel="apple-touch-icon" sizes="144x144" href="/apple-touch-icon-144.png">
    <meta property="fb:app_id" content="1401488693436528">

...
...
...
        <script async src="https://www.google-analytics.com/analytics.js"></script>
  </body>
</html>

1
2
3
4
5
6

@Inspiron-5521:~/Downloads$ sudo python synounlocker.py
  File "synounlocker.py", line 23
    magic = "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337"
        ^
IndentationError: expected an indented block
@Inspiron-5521:~/Downloads$

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100

#!/usr/bin/env python
############################################################################
# Copyright 2014 F-Secure #
# #
# Licensed under the Apache License, Version 2.0 (the "License"); #
# you may not use this file except in compliance with the License. #
# You may obtain a copy of the License at #
# #
# http://www.apache.org/licenses/LICENSE-2.0 #
# #
# Unless required by applicable law or agreed to in writing, software #
# distributed under the License is distributed on an "AS IS" BASIS, #
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. #
# See the License for the specific language governing permissions and #
# limitations under the License. #
############################################################################
import sys
import os
from Crypto.Cipher import PKCS1_v1_5, AES
from Crypto.PublicKey import RSA
from Crypto.Hash import SHA256, HMAC
def checkHeader(fp):
magic = "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337"
fp.seek(256) # magic marker should be located 256 bytes from the beginning
marker = fp.read(60)
return marker == magic
def generateKey(iv, base_string):
key = iv + '\x00' * 16
for i in range(8192):
key = SHA256.new(key + base_string).digest()
return key
def decrypt(enc_file_path, priv_key_file_path):
# First check file is big enough to plausibly be generated by SynoLocker
try:
# size <= encrypted key + magic string + IV + HMAC
if os.path.getsize(enc_file_path) <= 256 + 60 + 16 + 32:
print "Error: file too small to be encrypted by SynoLocker!"
return
except os.error:
print "Error: unable to access encrypted file!"
return
try:
with open(enc_file_path, 'rb') as enc_file:
if not checkHeader(enc_file):
print "Error: file not recognized as encrypted by SynoLocker!"
return
try:
with open(priv_key_file_path) as priv_key_file:
priv_key = RSA.importKey(priv_key_file.read())
except:
print "Error: unable to open private key file!"
return
rsa_cipher = PKCS1_v1_5.new(priv_key)
# Read encrypted string from file
enc_file.seek(0)
enc_str = enc_file.read(256)
dec_str = rsa_cipher.decrypt(enc_str, "ERROR_SENTINEL")
if dec_str == "ERROR_SENTINEL":
print "Error: failed to decrypt key from file!"
return
# Skip magic string
enc_file.seek(60, os.SEEK_CUR)
# Read IV
iv = enc_file.read(16)
# Read rest of file
remaining = enc_file.read()
# Split into encrypted contents and HMAC
encrypted = remaining[:-32]
# HMAC is the last 32 bytes of the file
hmac = remaining[-32:]
# Get key
key = generateKey(iv, dec_str)
# Check that HMAC matches
h = HMAC.new(key, digestmod=SHA256)
h.update(encrypted)
if not h.digest() == hmac:
print "Error: content verification failed!"
return
# Decrypt data
cipher = AES.new(key, AES.MODE_CBC, iv)
decrypted = cipher.decrypt(encrypted)
# Write decrypted data to <encrypted file name>.dec
try:
with open(enc_file_path + ".dec", 'wb') as ofile:
ofile.write(decrypted)
except:
"Error: unable to write decrypted file to disk!"
return
print "Successfully decrypted file!"
return
except:
print "Error: unable to decrypt file!"
return
if __name__ == "__main__":
if len(sys.argv) == 3:
decrypt(sys.argv[1], sys.argv[2])
else:
print "Usage: %s <path to encrypted file> <path to private key>" % sys.argv[0]
print ""
print " decrypted file will be written to <encrypted file name>.dec"

[ Voor 81% gewijzigd door DaaNium op 03-09-2014 11:34 ]

[ Voor 24% gewijzigd door kraats op 03-09-2014 12:00 ]

kraats schreef op woensdag 03 september 2014 @ 11:58:
En als je de 'raw' pakt? Op deze link en dan opslaan als kiezen. Dan zou het script sowieso goed moeten zijn. Hoe roep je eigenlijk het script aan? op deze manier?
synounlocker.py <path to encrypted file> <path to private key file>

1
2
3
4
5

@Inspiron-5521:/media/.../1.42.6-3810/Michel$ sudo python synounlocker.py test.xls key
  File "synounlocker.py", line 23
    magic = "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337"
        ^
IndentationError: expected an indented block

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132

#!/usr/bin/env python

############################################################################
# Copyright 2014 F-Secure                                                  #
#                                                                          #
# Licensed under the Apache License, Version 2.0 (the "License");          #
# you may not use this file except in compliance with the License.         #
# You may obtain a copy of the License at                                  #
#                                                                          #
#     http://www.apache.org/licenses/LICENSE-2.0                           #
#                                                                          #
# Unless required by applicable law or agreed to in writing, software      #
# distributed under the License is distributed on an "AS IS" BASIS,        #
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. #
# See the License for the specific language governing permissions and      #
# limitations under the License.                                           #
############################################################################

import sys
import os

from Crypto.Cipher import PKCS1_v1_5, AES
from Crypto.PublicKey import RSA
from Crypto.Hash import SHA256, HMAC

def checkHeader(fp):
    magic = "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337"
    fp.seek(256) # magic marker should be located 256 bytes from the beginning
    marker = fp.read(60)
    return marker == magic

def generateKey(iv, base_string):
    key = iv + '\x00' * 16
    for i in range(8192):
        key = SHA256.new(key + base_string).digest()
    return key

def decrypt(enc_file_path, priv_key_file_path):
    # First check file is big enough to plausibly be generated by SynoLocker
    try:
        # size <= encrypted key + magic string + IV + HMAC
        if os.path.getsize(enc_file_path) <= 256 + 60 + 16 + 32:
            print "Error: file %s too small to be encrypted by SynoLocker!" % enc_file_path
            return
    except os.error:
        print "Error: unable to access encrypted file!"
        return
    
    try:
        with open(enc_file_path, 'rb') as enc_file:
            if not checkHeader(enc_file):
                print "Error: file %s not recognized as encrypted by SynoLocker!" % enc_file_path
                return

            try:
                with open(priv_key_file_path) as priv_key_file:
                    priv_key = RSA.importKey(priv_key_file.read())
            except:
                print "Error: unable to open private key file!"
                return

            rsa_cipher = PKCS1_v1_5.new(priv_key)
            
            # Read encrypted string from file
            enc_file.seek(0)
            enc_str = enc_file.read(256)
            dec_str = rsa_cipher.decrypt(enc_str, "ERROR_SENTINEL")
            if dec_str == "ERROR_SENTINEL":
                print "Error: failed to decrypt key from file!"
                return

            # Skip magic string
            enc_file.seek(60, os.SEEK_CUR)

            # Read IV
            iv = enc_file.read(16)

            # Read rest of file
            remaining = enc_file.read()

            # Split into encrypted contents and HMAC
            encrypted = remaining[:-32]

            # HMAC is the last 32 bytes of the file
            hmac = remaining[-32:]

            # Get key
            key = generateKey(iv, dec_str)

            # Check that HMAC matches
            h = HMAC.new(key, digestmod=SHA256)
            h.update(encrypted)

            if not h.digest() == hmac:
                print "Error: content verification failed!"
                return

            # Decrypt data
            cipher = AES.new(key, AES.MODE_CBC, iv)
            decrypted = cipher.decrypt(encrypted)

            # Write decrypted data to <encrypted file name>.dec
            try:
                with open(enc_file_path, 'wb') as ofile:
                    ofile.write(decrypted)
            except:
                "Error: unable to write decrypted file to disk!"
                return

            print "Successfully decrypted %s !" % enc_file_path
            return

    except:
        print "Error: unable to decrypt %s !" % enc_file_path
        return

if __name__ == "__main__":
    if len(sys.argv) == 3:
        root = sys.argv[1]
        if os.path.isdir(root):
                path = os.path.join(root, "")
                for path, subdirs, files in os.walk(root):
                    for name in files:
                        cryptofile = os.path.join(path, name)
                        decrypt(cryptofile, sys.argv[2])
        else:
                decrypt(sys.argv[1], sys.argv[2])
    else:
        print "Usage: %s <path to folder with encrypted files or path the encrypted file> <path to private key>" % sys.argv[0]
        print ""
        print "         each encrypted file will be overwritten with the decrypted file"
        print "         files that are not encrypted will remain untouched"

[ Voor 90% gewijzigd door DaaNium op 03-09-2014 22:06 ]

DS114 Release Notes
Version : 5.0-4493 Update 5

(2014/09/10)
Improvement
Improve the stability of file copy to encrypted shared folders.

Fixed Issues
Fixed a vulnerability that could allow servers to accept unauthorized access.

FunFair schreef op vrijdag 12 september 2014 @ 16:27:
[...]


Zou het gefixt zijn in deze versie?

[ Voor 16% gewijzigd door DerKleinePunkt op 27-11-2014 20:39 ]