neprihlásený Sobota, 18. novembra 2017, dnes má meniny Eugen   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Obete WannaCry pozor, časť infikovaných PC sa dá odšifrovať

Značky: WannaCry / WannaCryptbezpečnosťWindows

DSL.sk, 19.5.2017


Pre obete šifrujúceho červa WannaCry dnes prišla vynikajúca správa, keď za istých podmienok je možné zašifrované súbory odšifrovať.

Infikovaný počítač ale nemohol byť od infekcie a zašifrovania reštartnutý.

WannaCry

Červ označený WannaCry, WannaCrypt alebo WanaCrypt0r 2.0 sa začal intenzívne šíriť v piatok 12. mája. Využíval pritom zraniteľnosť v implementácii protokolu SMB pre zdieľanie priečinkov po sieti vo Windows a exploit EternalBlue ukradnutý NSA.

Infekcie začali v piatok doobeda, pre obete z 12. mája tak dnes uplynie sedemdňová lehota po ktorej bez zaplatenia podľa deklarácie autorov stratia možnosť získať svoje súbory. Čo to presne znamená a ako sa začne správať červ po uplynutí siedmich dní nie je zatiaľ jasné.

Šifrovacia schéma

V šifrovacej schéme WannaCry sa zraniteľnosť nenašla a využívaná je štandardná overená a efektívna schéma. Na infikovanom počítači červ najskôr vygeneruje 2048-bitový RSA kľúč, pričom následne každý šifrovaný súbor šifruje algoritmom AES-128 s unikátnym kľúčom pre daný súbor. Do súboru pritom uloží aj zašifrovanú podobu tohto AES kľúča, pričom je zašifrovaná verejným RSA kľúčom pre dané infikované PC.

Na disk následne uloží zašifrovanú podobu svojho privátneho RSA kľúča, ktorý zašifruje verejným RSA kľúčom tvorcov červa.


Screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)



Pre obnovenie súborov tak potrebujú obete získať privátny RSA kľúč použitý na ich počítači, pričom ten je v takejto schéme možné získať len za spolupráce tvorcov červa, ktorí musia pomocou ich privátneho RSA kľúča odšifrovať RSA kľúč použitý na danom počítači.

Tvorcovia WannaCry za to požadujú výkupné, ktoré najskôr dosahovalo ekvivalent 300 dolárov v mene Bitcoin a po troch dňoch od infekcie sa zvýšilo na 600 dolárov.

Okrem iného vzhľadom na spôsob implementácie platenia výkupného, keď automaticky z princípu vzhľadom na použitie iba pár rozdielnych Bitcoin adries nie je možné platby identifikovať automaticky, existujú pochybnosti či tvorcovia vírusu aj po zaplatení nakoniec počítač odšifrujú. Zároveň antivírusové spoločnosti hovoria o prípadoch, keď obete zaplatili a súbory im odšifrované neboli, a niektoré nevedia o žiadnych úspešne odšifrovaných počítačoch po zaplatení.

wanakiwi

Chybu zatiaľ bezpečnostní experti nenašli ani v implementácii použitej šifrovacej schémy. Obetiam ironicky môže pomôcť ale ďalšia bezpečnostná nedokonalosť vo Windows.

O nádeji pre niektoré obete informuje a na nástroj, ktorý im môže nájsť kľúč pre odšifrovanie, odkazuje bezpečnostný expert Matt Suiche, ktorý aktivoval kill switch v druhej modifikovanej verzii WannaCry.

Červ na generovanie kľúčov využíva API Windows. Ako ale zistil Adrien Guinet, API vo Windows XP nepremaže po vygenerovaní kľúča všetky pomocné dáta a v pamäti zostanú prvočísla použité na vytvorenie privátneho RSA kľúča. Guinet tak napísal nástroj wannakey odskúšaný podľa neho na Windows XP, ktorý prvočísla a tým kľúč nájde v pamäti.

Následne Benjamin Delpy v spolupráci so Suichem prišli na to, že takto sa správajú verzie Windows až po Windows 7 a Delpy vydal podobný nástroj ako wannakey, wanakiwi.

Nástroj samozrejme dokáže nájsť kľúč pre odšifrovanie ale len v prípade, že infikovaný počítač nebol od infekcie a šifrovania reštartnutý. Zároveň ho nedokáže nájsť ani keď boli dáta v pamäti už prepísané a akej časti infikovaných užívateľov môže pomôcť je otázne.

Suiche a Delpy ani Guinet bohužial zatiaľ neponúkajú explicitný komplexný krokový návod ako je odporúčané postupovať pri snahe súbory odšifrovať najmä v súvislosti s odvírením počítača.

Guinet ponúka návod ako postupovať pri samotnom použití wannakey. Stiahnuteľný program je potrebné spustiť s parametrom s cestou k súboru, v ktorom je uložený verejný kľúč vytvorený červom, nástroj sa pokúsi nájsť a vytvorí privátny kľúč použiteľný následne napríklad s nástrojom wanafork na odšifrovanie.


      Zdieľaj na Twitteri



Najnovšie články:

Strach naháňajúci robot je už aj lepším gymnastom ako človek, skáče saltá
Tesla predstavila 200-tisícový superšportiak a elektrokamión, aj keď nezvláda výrobu Modelu 3
Poslali sme kontaktný signál k blízkej exoplanéte, odpoveď môžeme čakať o 25 rokov
Nezvládanie problému eID pokračuje, certifikáty na diaľku budú asi až v januári
Vážne riziká kryptomien, záchrana 150 miliónov USD v Ethereum bude vyžadovať asi hard fork
Nájdená planéta podobná Zemi len 11 svetelných rokov od nás, letí k nám
Zdražovanie RAM nekončí, ceny výrazne narastú aj v poslednom štvrťroku
4ka ponúka bonus za prenos čísla, iba pre dva paušály
Na Slovensku už celoštátna sieť pre Internet vecí, veľkých užívateľov stále nemá
Štát pri eID nehovoril pravdu, rozhodol sa neskoro, zlyhal a zlyháva. Zmena je nevyhnutná


Diskusia:
                               
 

NSA tlačí mrkvu, aby masovo tlačila desiatkové okná, kde má iné zadné vrátka. Vzhľadom na to, že na staršie systémy im boli zadné vrátka ukradnuté.
Odpovedať Známka: 2.9 Hodnotiť:
 

Fuha ty tomu nejak rozumies urcite si chodil na STU.
Odpovedať Známka: -2.0 Hodnotiť:
 

Ja som chodil, ale nerozumiem mu. :-) ;-)
Odpovedať Známka: 8.3 Hodnotiť:
 

ja som chodil, nedokončil a preto rozumiem :D
Odpovedať Známka: 8.9 Hodnotiť:
 

Zrejme tam nestačilo len chodiť ...
Odpovedať Známka: 10.0 Hodnotiť:
 

podľa mňa, komu sa zobrazila hentá hláška, tak bola prvá vec, že reštartol PC lebo si myslel, že je to len dáka bullshit pop-up reklama...
Odpovedať Známka: 10.0 Hodnotiť:
 

Presne tak. Mnohí určite použili ďalšiu fintu:"Vypnúť a následne zapnúť PC."
Odpovedať Známka: 10.0 Hodnotiť:
 

alebo vypol PC "aby to nespravilo viac skody"
Odpovedať Známka: 10.0 Hodnotiť:
 

Pre vypnuté je to priekazne až do zapnutia tiež vynikajúca správa.
Odpovedať Známka: -3.3 Hodnotiť:
 

Asi tak, ale videl som zopar takych, co hibernovali a potom hladali kluc v tom hiberfile offline ...
Odpovedať Známka: 10.0 Hodnotiť:
 

a kde si ich videl?
Odpovedať Hodnotiť:
 

On je hibernator guard(tm) a teda dohliada na hibernujuich pocas hibernacie aby sa im nic nestalo dokym nedohibernuju. :)
Odpovedať Hodnotiť:
 

V SGU ich oznacovali Wrighti.
Odpovedať Hodnotiť:
 

"Nástroj samozrejme dokáže nájsť kľúč pre odšifrovanie ale len v prípade, že infikovaný počítač nebol od infekcie a šifrovania reštartnutý."

No, ale kolko takych bude?

Ak by som PC nevypol, ked sa mi don pred rokom dostal CERBER2, tak mam hlavu este dodnes v smutku. Nastastie som si vsimol, ze HDD nejak intenzivnejsie pracuju, aj ked z nich necital a v procesoch som zbadal podozrivy/neznamy proces. Aj tak stihol na kazdom zo 7 diskov cosi zasifrovat, hajzel. Ak by som vtedy toho programatora stretol, tak... by sa uz "neodsifroval" ani on.
Odpovedať Známka: 7.6 Hodnotiť:
 

Ty si desivo drsny
Odpovedať Známka: 8.3 Hodnotiť:
 

podla toho o ake stroje ide... ak si prave s tym pc robil, ano, je velmi pravdepodobne, ze si ho hned vypol/restartol. U nas v praci bezi x masich aj mesiac bez toho, aby na ne ktokolvek pozrel. Niesme priamo na net, ale podstata zostava. To iste sa mohlo stat v tej SR nemocnici napr. doktore si pred dovcov nevypol pc. takych pripadov moze byt podla mna vcelku slusne %. Otazne je, ci sa tato informacia k poskodenym ludom dostane :)
Odpovedať Známka: 10.0 Hodnotiť:
 

U mna to bolo doma a bola to skor nahoda, lebo som v tej chvili za PC nesedel, aj ked som disky pracovat pocul. Stoplo mi film, ktory som si z jedneho z tych diskov pustal cez multimedialny prehravac, tak som sa siel pozriet, ci sa nieco nedeje.
Potom som z CD nabootoval live linux a pozrel sa, co sa stalo.
Takze - ze v tomto pripade bol "spravny" postup PC nevypnut, tak v mojom pripade by som tym prisiel o vsetko. Zatial totiz na konkr. cerber2 nie je a zrejme teda uz ani nebude decrypt.
Odpovedať Hodnotiť:
 

Sikovni su ti chlapci. Ked budeme mat raz kvantove pocitace, tak tieto veci budu minulostou, aj ked pridu zas ine. A dufam, ze sa tie kvantove pocitace budu moct pouzit aj v nasom sudnictve na objektivne vypocty zaverov jednani, aby sme raz dosiehli spravodlivost a posadili otca naroda za mreze a aj celu tuto, ako by povedal kolega z inej diskusie na inej stranke, kde to "zije", zidobolsevicku, zlocinecku, estebakmi nastepenu mafiu. :D
Odpovedať Známka: 3.3 Hodnotiť:
 

Pozor! Experti z ESET-u radia: okamžite odpojiť internet a vypnúť PC, aj vytiahnutím zo zásuvky! :)
Odpovedať Známka: 7.5 Hodnotiť:
 

Tak po cca roku som si spravil full scan win 7 ms antivirom a kukam vysledok, a ten exploit som mal už od 17. 3. v karantene.
Odpovedať Hodnotiť:
 

Eset kryptovíry nechytal. Stalo sa nám to vo firme 3x. Tak sme vymenili za Kaspersky a od vtedy pokoj . Viem, že to tak nemusí ostať , ale ...
Odpovedať Hodnotiť:
 

Takže, keď mám vo firme 500 PC s Win XP a z toho cez 200 bez patchu a na jednom spustí nejaký zamestnanec WannaCry, tak mu mám odporučiť nevypínať PC nech to šifruje ďalej? Vysvetľujte účtovníčke ako vypojiť RJ-45/LAN kábel od PC, aby sa nešíril ďalej.
Odpovedať Známka: 2.0 Hodnotiť:
 

firma, ktora necha windows xp (3 roky po ukonceni podpory) na 500 PC, ktore pouzivaju zamestnanci (z ktorych je vacsina BFU) si nic ine ako wannacry ani nezasluzi...
Odpovedať Známka: 2.7 Hodnotiť:
 

Firma si to asi zaslúži ale určite by som vymenil finančného riaditeľa a IT šéfa.
Odpovedať Známka: 0.0 Hodnotiť:
 

Nikto nepovedal, že tá firma nepoužíva aj Win 7 a vyššie. To len vy ste si domysleli.
Odpovedať Hodnotiť:
 

a co si zasluzi firma, ktora prejde na windows, ktore data kradne "by default" ? :)
Odpovedať Hodnotiť:
 

Ucel svati prostriedky
Odpovedať Hodnotiť:
 

windows 7 (IMHO posledny schopny OS od MS) nespehuje ani nic nekradne. ak je niekto paranoidny, tie aktualizacie, ktore udajne spehuju sa daju vynechat a skryt, popripade pouzivat vlastny WSUS server. a ak niekomu vadia aj kumulativne aktualiacie, MS zverejnuje aj nekumulativne security-only aktualizacie pre win 7: http://dopice.sk/jCH
Odpovedať Hodnotiť:
 

V Ubuntu bolo donedavna tiez spehovanie, ale dalo sa vypnut. Napriek tomu, ked spadne program, tak sa opyta, ci ma zaslat chybove hlasenie. A na web strankach sa bezne nachadza heat map, co sleduje uzivatela. Nehovoriac o google analytics.
Odpovedať Hodnotiť:
 

Zrovna pre Ubuntu je i Firefox v repozitaroch kompilovany so zrejmym dorazom na nezobrazovanie nastaveni zdielania telemetrie.
Odpovedať Hodnotiť:
 

nic proti ale je velmi vela firiem kde bezia XPcka napr na roznych linkach a dovod je ze pre novsi win neexistuju drivery pre tie stroje
Odpovedať Hodnotiť:
 

S novym win nove moznosti.
Odpovedať Hodnotiť:
 

Ak su windows Vista capable, tak je velka sanca, ze pojdu aj na sedmickach.
Odpovedať Hodnotiť:
 

zopar PC, na ktorych bezi nejaky specificky SW, nezasahuju do nich BFU, a nie su pripojene k internetu sa moze kludne XP pouzivat dalej... ale ten pripad vyssie, XP na stovkach PC pripojenych internetu a s BFU usermi, to uz je cez ciaru si myslim.
Odpovedať Hodnotiť:
 

Prečo? Tá firma má cez 1500 PC a z toho 1000 je na Win 7 a vyššie. Takže tak. Museli by zamestnať viac ITčkárov a to je už cez rozpočet.
Odpovedať Hodnotiť:

Pridať komentár