Autor ransomvéru Petya, nie NotPetya, zverejnil privátny kľúč

Značky: ransomvérWindows

DSL.sk, 7.7.2017

Autor ransomvéru Petya, vystupujúci pod menom Janus, aktuálne zverejnil privátny kľúč umožňujúci odšifrovať dáta zašifrované týmto ransomvérom.

Zašifrovaný MFT

Ransomvér Petya sa vo viacerých verziách šíril najmä minulý rok. Do pozornosti sa znovu dostal minulý týždeň s masovým útokom ransomvéru NotPetya.

Petya má v skutočnosti dva hlavné komponenty, nazvané antivírusovými spoločnosťami na základe označenia tvorcami Petya a Mischa. Petya šifruje MFT, Master File Table, tabuľku súborového systému NTFS obsahujúce nevyhnutné metadáta pre prístup k súborovému systému, Mischa samotné súbory.

Ransomvér NotPetya vzhľadom na podobnosť s Petya viaceré antivírusové spoločnosti pôvodne považovali za novú verziu Petya. V skutočnosti NotPetya využíval len jeho komponent označený Petya na šifrovanie MFT, podľa viacerých expertov len binárne upravený, a vlastné komponenty pre šifrovanie súborov a šírenie. Keďže komponent Petya je len zrejme binárne upravený, Janus s väčšou pravdepodobnosťou nebude autorom NotPetya.

"They're right in front of you and can open very large doors" https://t.co/kuCUMZ5ZWP @hasherezade @MalwareTechBlog ;)

— JANUS (@JanusSecretary) July 5, 2017

Janus teraz ale zverejnil privátny kľúč asymetrickej šifry ECIES využívajúcej eliptické krivky, ktorý je možné použiť na odšifrovanie kľúča použitého na šifrovanie MFT algoritmom Salsa20 u pôvodnych verzií Petya. Jeho zašifrovaná podoba je uložená na disku a zobrazovaná tiež vo výzve po nabootovaní systému infikovaného Petyou, pričom Kaspersky Lab potvrdil funkčnosť kľúča pre všetky verzie Petya.

The published #Petya master key works for all versions including #GoldenEye pic.twitter.com/tTRLZ9kMnb

— Anton Ivanov (@antonivanovm) July 6, 2017

Zverejnený kľúč umožnil vytvoriť generátor kľúčov, ktorý jednoducho po zadaní tzv. osobného kódu zobrazovaného na infikovanom počítači vygeneruje kľúč a ten po zadaní do Petya vedie k odšifrovaniu MFT.

Janus kľúč zverejnil síce zašifrovaný, ale s evidentným zámerom a výzvou pre konkrétnych expertov aby ho rozšifrovali. Expertovi Hasherezade z Malwarebytes sa to včera aj podarilo.

Pre obete NotPetya tento kľúč ale nič nerieši. NotPetya síce tiež šifruje MFT pomocou Salsa20, podľa skorších explicitných zistení Malwarebytes ale použitý kľúč nie je žiadnym spôsobom ani v zašifrovanej podobe uchovaný. Na základe týchto informácií aspoň na základe doterajších informácií pravdepodobne pre obete NotPetya nebude k dispozícii riešenie ako bez problémov obnoviť kompletný súborový systém, ak sa ich počítač dostal do tohto stavu. Keďže ale k dispozícii nie sú kompletné analýzy kompletného kódu, zostávajú otvorené teoretické možnosti a navyše samotné dáta aj zašifrovaných súborov môžu byť obnoviteľné. Rozumným odporúčaným opatrením je tak minimálne si urobiť kompletnú binárnu zálohu zašifrovaného disku.

Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné.

Zašifrované súbory

Pôvodný Petya mal pribalený aj spomínaný komponent Mischa, ktorý šifroval podobne ako iné ransomvéry samotné súbory na súborovej úrovni.

V prvých verziách ransomvér použil len jedno šifrovanie, ak dokázal získať administrátorské oprávnenia zašifroval MFT, inak súbory. V poslednej verzii označovanej Goldeneye uskutočnil obe šifrovania.

Či sa v niektorých verziách Mischa používa rovnaký kľúč ako pre komponent Petya, ak nie prečo nezverejnil Janus aj kľúč pre Mischa respektíve akú šifrovaciu schému využívali všetky verzie Mischa nie je jasné.

V prípade NotPetya autori ponúkli vydanie ich privátneho RSA kľúča použiteľného na odšifrovanie kľúča, ktorým sú zašifrované samotné súbory. Na rozdiel od Janusa ale zaň požadujú 100 Bitcoinov, ako sme upozornili v tomto článku.




Najnovšie články:



Diskusia:

virus je zly Od: resear | Pridané: 7.7.2017 16:49 Konecne. Mam vsetky subory spat Odpovedať Známka: -6.9 Hodnotiť:

Bravo Od reg.: saruman | Pridané: 7.7.2017 16:55 Asi sa hokejový brankár Janus mimo sezóny nudí. Odpovedať Známka: 6.7 Hodnotiť:

not not not petya Od: gorgor | Pridané: 7.7.2017 17:13 autor PETYA, NOT NOTPETYA, not not NOTpetya, but still Petya :D Odpovedať Známka: 4.0 Hodnotiť:

Petya vs NotPetya Od: hmm. | Pridané: 7.7.2017 17:39 "Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné." Nechcel byť spájaný s tým druhým. Odpovedať Známka: 7.5 Hodnotiť:

Heheh Od: grr. | Pridané: 7.7.2017 17:42 Táto Januš je šikovná hackerka, kde sa s ňou dá zoznámiť? (Teda bez toho aby mi zašifrovala súbory) ? :D Odpovedať Známka: 6.7 Hodnotiť:

Re: Heheh Od: grr. | Pridané: 7.7.2017 17:44 Niečo mi hovorí že to bude tá naša Janka Hospodárová! :D Odpovedať Známka: 8.5 Hodnotiť:

Re: Heheh Od: syntaxterrorXXX | Pridané: 7.7.2017 18:16 To su vesmirny jasteri. Mne tiez obchvilu cosi naliehave oznamuju, preto toho tolko viem. Odpovedať Známka: 3.3 Hodnotiť:

Re: Heheh Od: Tulen | Pridané: 8.7.2017 10:05 Máš otvorenú srdečnú čakru? Odpovedať Známka: 3.3 Hodnotiť:

Re: Heheh Od: syntaxterrorXXX | Pridané: 8.7.2017 10:44 Podľa aktuálnych odborných informácií sú voči tomu výhody kôrnatenia srdcových tepien pomerne kontroverzne vnímané. Odpovedať Známka: 2.0 Hodnotiť:

Re: Heheh Od: Jupik | Pridané: 7.7.2017 18:42 To by ale potom trebalo ten kluc vytlacit vo velkom kancli cez wifi. Odpovedať Známka: -3.3 Hodnotiť:

Re: Heheh Od: čitateľ | Pridané: 8.7.2017 9:45 Ale nielen privátny, ale aj publicistický. Odpovedať Známka: 3.3 Hodnotiť:

Re: Heheh Od: čitateľ | Pridané: 8.7.2017 9:45 Alebo publikačný, treba si vybrať. Odpovedať Hodnotiť:

Zdrjojaky by sa nenasli niekde? Od: rolh | Pridané: 7.7.2017 18:28 Zdrjojaky by sa nenasli niekde? Chcem si spravit svoju verziu Odpovedať Známka: 4.3 Hodnotiť:

Re: Zdrjojaky by sa nenasli niekde? Od: xyz. | Pridané: 7.7.2017 18:42 Skús servery NSA, minule tam čerpali nejakí hackeri. Odpovedať Známka: 5.0 Hodnotiť:

Re: Zdrjojaky by sa nenasli niekde? Od: rolh | Pridané: 7.7.2017 18:53 dik a nevies heslo na nsa admin? Odpovedať Známka: 3.3 Hodnotiť:

Re: Zdrjojaky by sa nenasli niekde? Od: xyz. | Pridané: 7.7.2017 18:56 Skús nsausr1 Odpovedať Známka: 5.6 Hodnotiť:

Re: Zdrjojaky by sa nenasli niekde? Od: 'PPQ' | Pridané: 7.7.2017 21:54 po audite ho zmenili na nsausr123 Odpovedať Známka: 7.1 Hodnotiť:

pozor pozor Od: chazar | Pridané: 7.7.2017 21:45 v subore je virus ! Odpovedať Známka: 7.1 Hodnotiť:

I see you. Od: Tralala1 | Pridané: 8.7.2017 20:19 Hello Bitcoin, my old friend I've come to talk with you again Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár