neprihlásený Piatok, 19. októbra 2018, dnes má meniny Kristián   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Autor ransomwaru spravil programátorskú chybu, súbory sa nedajú odšifrovať

Značky: ransomvérzaujímavosti

DSL.sk, 10.11.2015


Bezpečnostní experti aktuálne poukázali na kuriózny prípad šifrujúceho ransomwaru Power Worm, v ktorom sa nachádza programátorská chyba znemožňujúca odšifrovanie súborov.

Šifrujúci ransomware je škodlivý kód, ktorý po infikovaní zariadenia užívateľa zašifruje jeho súbory a následne za ich odšifrovanie požaduje výkupné. Ide o čoraz častejšiu a veľmi nebezpečnú formu škodlivého kódu, ktorý je pre zločincov mimoriadne výnosný.

Pri dobrej implementácii nie je možné súbory odšifrovať bez získania kľúča od autorov ransomwaru. Agent FBI v októbri potvrdil, že autori po zaplatení často skutočne dáta užívateľa odšifrujú, tým motivujú ostatné obete platiť a FBI často obetiam radí zaplatiť.

To ale neplatí v prípade novej verzie Power Worm, na ktorú upozornili experti z Bleeping Computer.

Nová verzia Power Worm podľa popisu nepatrí medzi najsofistikovanejší ransowmare, keď zámerom autora bolo podľa Bleeping Computer všetky súbory na všetkých počítačoch šifrovať pomocou AES jedným a tým istým kľúčom obsiahnutým v škodlivom kóde. Ransomware je navyše implementovaný v podobe PowerShell skriptu a kľúč respektíve jeho iniciačná hodnota je tu priamo čitateľne uvedená zakódovaná do Base64.

Kľúč je ale zakódovaný nesprávne, keď mu na konci chýba jeden výplňový znak "=". V dôsledku toho ho funkcia v PowerShell dekóduje na prázdnu hodnotu respektíve NULL a pri inicializovaní kľúča na šifrovanie príslušné API tak vytvorí na každom počítači iný náhodný kľúč. Keďže zámerom autora bolo použiť jeden statický kľúč, skutočne použitý kľúč nikde neukladá.

Namiesto ransomwaru, pre ktorý by bolo možné súbory relatívne jednoducho odšifrovať so známym kľúčom, ide tak kvôli chybe o ransomware, u ktorého zašifrované súbory nie je možné ani teoreticky odšifrovať a platenie výkupného je zbytočné.

Detailný návod ako môžu bežné obete identifikovať infekciu práve touto verziou Power Worm Bleeping Computer neuvádza. Riešením je zrejme ale porovnanie zanechávaného odkazu DECRYPT_INSTRUCTION.html, ktorý ransomware necháva v každom adresári so zašifrovanými súbormi, so súborom zverejneným Bleeping Computer.


      Zdieľaj na Twitteri



Najnovšie články:

Telekom mení ceny na predplatených Easy kartách
Oficiálny DVB-T2 tuner pre Raspberry Pi, aj Zero
Vydané Ubuntu 18.10, na 32-bitovú verziu už nejde ani upgradovať
Vedci dokázali, že kvantové počítače budú výkonnejšie ako klasické
Macy majú čoskoro prejsť na vlastné ARM procesory
Štátne elektronické služby majú vyzerať rovnako, štát vydal dizajn manuál
Výmena hlavného kľúča Internetu zrejme spôsobila jeden vážny incident
Samsung chystá viaceré QLC a 96-vrstvové SSD
Čínske mesto chce zabezpečiť nočné osvetlenie satelitom
Výrazný pokrok vo výrobe čipov, nasadenie extrémneho ultrafialového svetla


Diskusia:
                               
 

Teraz by mohol ten autor požadovať od idiotov ďalšie peniaze za sprístupnenie hotfixu pre svoj ransomware :D
Odpovedať Známka: 8.5 Hodnotiť:
 

pointa clanku je v tom ze hotfix neexistuje, pretoze data boli zasifrovane nahodnym klucom, ktory nebol nikde ulozenny
Odpovedať Známka: -3.8 Hodnotiť:
 

niekto nepochopil vtip
Odpovedať Známka: 7.3 Hodnotiť:
 

skôr minimálne viac ako nikto
Odpovedať Známka: 8.2 Hodnotiť:
 

Eventuálne...
Odpovedať Známka: 10.0 Hodnotiť:
 

jasne, hotfix by ti uz raz nespravne zasifrovane subory neobnovil. ale aspon by dalsie subory sifroval so spravnym klucom :)
Odpovedať Známka: 10.0 Hodnotiť:
 

uz ani ti hackeri nie su, co byvali...
kedysi vsehoznali chlapi a dnes lameri, co ani posraty skript nevedia zlatat z google examplov bez chyby... :-)
Odpovedať Známka: 9.1 Hodnotiť:
 

veru, zlate casy Pieck4444, one-half... kedy to boli male programatorske skvosty.
Odpovedať Známka: 8.5 Hodnotiť:
 

podaj haslo!
Odpovedať Známka: 6.9 Hodnotiť:
 

A dokonca uz ani ITckari nevedia poriadne po slovensky. Potom sa nediv, ze plataju z PRIKLADOV na Googli, ked si nevedia prelozit do svojho jazyka ani zakladne vysvetlenie, co je uvedene pod skriptom.
Odpovedať Známka: 4.7 Hodnotiť:
 

Možno im nie je jasné, či je správne "ani zakladne vysvetlenie TOHO, co je uvedene pod skriptom." alebo "ani zakladne vysvetlenie, KTORE je uvedene pod skriptom.".
Eventuálne samotný "skript".
Odpovedať Známka: 5.0 Hodnotiť:
 

Nebud hnidopich. :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Inak čo? Prestaneš používať aj dĺžeň?
Odpovedať Známka: 0.0 Hodnotiť:
 

Tak si ostan hnidopich ak chces. :/
Odpovedať Hodnotiť:
 

Inak zájdeš ešte ďalej a prestaneš používať aj bodku na i?
Odpovedať Známka: -5.0 Hodnotiť:
 

Nie, pre mna sa tym nezmeni nic, ale pomozes tym sebe a uz by si nebol hnidopich, nie je to dost dobry dovod?
Odpovedať Hodnotiť:
 

dosť dobrý komentár
Odpovedať Hodnotiť:
 

A little rationality lifts the quality of the debate here. Thanks for cobuginttinr!
Odpovedať Hodnotiť:
 

I hate my life but at least this makes it belrebaa.
Odpovedať Hodnotiť:
 

iste.... bezdruhove premenne, ktore boli pouzite v prikladoch najdenych prostrednictvom sietovej medzitvare medzisietoveho vyhladavaca Google a nasledne ich casti prepisane do spustitelneho diela. S uprimnym potesenim pritom taha mysou za okraj rolovacej listy rad, ze nemusi pouzit premenne druhu smernik...

Ozajstny ITckar ak si vygoogli exampel, tak z neho vydeletuje vsetok balast a napastuje, kam potrebuje do scriptu.
Odpovedať Hodnotiť:
 

Ocenil by som aj info o prevencii.. Staci pouzivat Linux (arch samozrejme), Mac OS, Chrome OS? Co s Windowsovymi PCckami pouzivanymi neznalymi ludmi baziacimi po vyhrach za 1 000 000 navstevnika pripadne vyplnacov dotaznikov za protihodnotu noveho iPhone 9S+?
Odpovedať Známka: 6.8 Hodnotiť:
 

pravda te linux... este dodam ze ked uz mas Windows tak najlepsia ochrana je mat Kaspersky Internet Security... ten je najlepsi antivirak...
Odpovedať Známka: -6.3 Hodnotiť:
 

Ako vtip je Kasperský dobrá voľba...
:-)
Odpovedať Známka: 6.8 Hodnotiť:
 

este daj ktory je najlepsi cistic na cistenie registrov a zrychlenie systemu, nech je ta pc ezoterika kompletna
Odpovedať Známka: 8.3 Hodnotiť:
 

Articles like this really grease the shafts of kngedelow.
Odpovedať Hodnotiť:
 

jediny bezpecny, a teda najlepsi antivir, je odstrihnuty kabel od internetu, mysi a klavesnice. Ani 10 antivirov spolu neochrani idiota aby si zaviroval pc
Odpovedať Známka: 5.0 Hodnotiť:
 

Nie, v tomto prípade sa odporúča prejsť na FreeBSD.
Odpovedať Známka: 8.5 Hodnotiť:
 

Lebo tam pravdepodobne este nebudes mat nakodeny ovladac na tvoju sietovku.
Odpovedať Známka: 9.4 Hodnotiť:
 

FreeBSD ma dobru podporu sietovych kariet.
Problem je len s niektoryma Wlan kartami, ale aj to len s N a AC modmi.
Odpovedať Známka: -1.4 Hodnotiť:
 

v podstate to ide uplne kazdemu, okrem tych ktorym to nejde..
Odpovedať Známka: 10.0 Hodnotiť:
 

60% of times, it works everytime
Odpovedať Známka: 10.0 Hodnotiť:
 

asi si prave ukoncil sutaz o vyrok tyzdna :-)
Odpovedať Známka: 3.3 Hodnotiť:
 

http://dopice.sk/fm7
Odpovedať Známka: 5.0 Hodnotiť:
 

Na kazdom OS je treba pre neznalych uzivatelov spravit policy, ktora im zakaze spustat aj ich vlastny kod (ci uz binarky alebo skripty). Windows ma na toto Software Restriction Policy, u Linuxu funguje MAC.

Spustat sa moze len to, co je od spravcu a co uzivatel nemoze zmenit. Plus samozrejme tvrdit niecim ako EMET (Windows), MAC na Linuxe.

*MAC = Mandatory Access Control = AppArmor / SELinux / grsec
Odpovedať Známka: 5.0 Hodnotiť:
 

No problem je ze bezny neznaly uzivatel nema spravcu svojho osobneho kompjutru :)
Odpovedať Známka: 10.0 Hodnotiť:
 

ani nepotrebuje. staci ze si nainstaluje nejaky RHEL klon, ako napr CentOS.
tam je uz SELinux aktivovany a potom samozrejme este treba hodit usera do SELinux kontextu.
potom je dostatocne izolovany. Ale bude <>vat ze mu nejde google chrome.
Odpovedať Známka: 7.8 Hodnotiť:
 

"Ale bude <>vat ze mu nejde google chrome." No ved to je dobre.
Odpovedať Známka: 10.0 Hodnotiť:
 

Nikto nie je dokonaly.
Ale neda sa vylucit ze to urobil naschval.
Odpovedať Známka: 8.8 Hodnotiť:
 

po riadnej vianocnej kapustnici a par naslednych aperitivoch sa da vylucit uplne vsetko
Odpovedať Známka: 7.5 Hodnotiť:
 

joooj ta to je chuj
Odpovedať Známka: 7.8 Hodnotiť:
 

Ta predsa vychodniar.
Odpovedať Známka: -8.0 Hodnotiť:
 

Pretože požadovanie výkupného určite nie je sofistikovaný spôsob krytia rozširovania siete iného kódu ransomware-om?
Odpovedať Hodnotiť:
 

Ešteže minulý týždeň FBI odporúčala platiť za zašifrované dáta. Náhoda?
Odpovedať Známka: 10.0 Hodnotiť:
 

*jastery odhaleny*
Odpovedať Známka: 6.7 Hodnotiť:
 

All of my questions seaksed-thtntl!
Odpovedať Hodnotiť:
 

Planuju vydat Power Worm SP1 ktory tuto chybu opravuje.
Odpovedať Známka: 8.8 Hodnotiť:
 

dG8gc3UgYWxlIGRlYmlsaSAg
Odpovedať Známka: -7.1 Hodnotiť:
 

Neviem koho ľutujem viac... Či toho programátora/hekera alebo obete toho škodného...
Odpovedať Známka: 10.0 Hodnotiť:
 

najviac si zasluzia lutost nemecki slnieckari ked precitnu do reality.. to bude tvrda kocovina
Odpovedať Známka: 4.7 Hodnotiť:
 

Co je "slnieckar"?
Odpovedať Známka: 3.3 Hodnotiť:
 

havloid
Odpovedať Známka: 7.1 Hodnotiť:
 

dobroser
Odpovedať Známka: 6.0 Hodnotiť:
 

Opak kotlebu.
Odpovedať Známka: 0.0 Hodnotiť:
 

kde sa to dá nakúpiť? :)
Odpovedať Známka: 3.3 Hodnotiť:
 

To dnes este niekto riesi taketo somariny?
Odpovedať Hodnotiť:
 

maju cakat do zajtra?
Odpovedať Známka: 8.2 Hodnotiť:
 

by ma zaujimalo, ci im potom vracal peniaze :D
Odpovedať Známka: 10.0 Hodnotiť:
 

mozno ak mu uzivatelia poslu reklamaciu
Odpovedať Známka: 10.0 Hodnotiť:
 

Noob :-D
Odpovedať Hodnotiť:

Pridať komentár