Les pirates derrière SynoLocker viennent de mettre à jour leur site sur le réseau Tor. Désormais, ils proposent à la vente 5 500 clés privées qui n'auraient pas été réclamées pour 200 bitcoins (près de 70 000 euros). Dans le même temps, un outil permettant de récupérer des données chiffrées via CryptoLocker a été mis en ligne, mais il n'est malheureusement d'aucune utilité pour les NAS Synology.
Au début du mois, nous évoquions SynoLocker, un logiciel malveillant qui chiffre les données présentes sur certains NAS Synology. Une demande de rançon de 0,6 bitcoin est demandée par des maîtres chanteurs. Contacté par nos soins, Synology nous confirmait le problème et indiquait ensuite que les pirates avaient exploité une vieille faille bouchée en décembre 2013.
Les pirates lancent une promotion : 200 bitcoins pour les 5 500 clés privées restantes
Le fabricant ajoutait que le DSM 5.0 semblait épargné et invitait ses utilisateurs à se mettre à jour au plus vite, si ce n'était pas déjà fait. Depuis, silence radio et aucune solution n'a été proposée afin de récupérer ses données chiffrées. Seule solution pour le moment : la réinstallation complète du NAS.
Mais, comme l'indique F-Secure sur son blog, les pirates ont mis à jour leur site dédié à la récupération des rançons. Ils indiquent désormais que pas moins de 5 500 clés privées n'ont pas été réclamées et sont toujours en leur possession. Ils proposent un tarif de gros de... 200 bitcoins (près de 70 000 euros) pour l'ensemble, soit moins de 0,04 bitcoin l'unité.
Ils indiquent également avoir repoussé le délai initial en raison du « grand nombre de demandes », ce qui paraît tout de même très étonnant. Quoi qu'il en soit, ils précisent aussi que la fermeture du site interviendra dans huit jours, un moyen de tenter de mettre la pression sur certains indécis. Pour rappel, Synology recommande à ses clients de ne pas payer la rançon et précise que rien ne garantit que vos données puissent être effectivement récupérées.
CryptoLocker livre ses secrets, mais pas SynoLocker
Dans le même registre, une parade à CryptoLocker (dont SynoLocker est largement inspiré) a été trouvée. Un site web a été mis en ligne par FireEye et Fox-It, deux sociétés spécialisées dans la sécurité informatique, afin de permettre aux personnes touchées de récupérer leurs données. Malheureusement, cela ne fonctionne pas pour les NAS infectés par SynoLocker, la similitude entre les deux s'arrêtant au nom et au principe de fonctionnement.
