Pre obete šifrujúceho červa WannaCry dnes prišla vynikajúca správa, keď za istých podmienok je možné zašifrované súbory odšifrovať.
Infikovaný počítač ale nemohol byť od infekcie a zašifrovania reštartnutý.
WannaCry
Červ označený WannaCry, WannaCrypt alebo WanaCrypt0r 2.0 sa začal intenzívne šíriť v piatok 12. mája. Využíval pritom zraniteľnosť v implementácii protokolu SMB pre zdieľanie priečinkov po sieti vo Windows a exploit EternalBlue ukradnutý NSA.
Infekcie začali v piatok doobeda, pre obete z 12. mája tak dnes uplynie sedemdňová lehota po ktorej bez zaplatenia podľa deklarácie autorov stratia možnosť získať svoje súbory. Čo to presne znamená a ako sa začne správať červ po uplynutí siedmich dní nie je zatiaľ jasné.
Šifrovacia schéma
V šifrovacej schéme WannaCry sa zraniteľnosť nenašla a využívaná je štandardná overená a efektívna schéma. Na infikovanom počítači červ najskôr vygeneruje 2048-bitový RSA kľúč, pričom následne každý šifrovaný súbor šifruje algoritmom AES-128 s unikátnym kľúčom pre daný súbor. Do súboru pritom uloží aj zašifrovanú podobu tohto AES kľúča, pričom je zašifrovaná verejným RSA kľúčom pre dané infikované PC.
Na disk následne uloží zašifrovanú podobu svojho privátneho RSA kľúča, ktorý zašifruje verejným RSA kľúčom tvorcov červa.
Screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)
Pre obnovenie súborov tak potrebujú obete získať privátny RSA kľúč použitý na ich počítači, pričom ten je v takejto schéme možné získať len za spolupráce tvorcov červa, ktorí musia pomocou ich privátneho RSA kľúča odšifrovať RSA kľúč použitý na danom počítači.
Tvorcovia WannaCry za to požadujú výkupné, ktoré najskôr dosahovalo ekvivalent 300 dolárov v mene Bitcoin a po troch dňoch od infekcie sa zvýšilo na 600 dolárov.
Okrem iného vzhľadom na spôsob implementácie platenia výkupného, keď automaticky z princípu vzhľadom na použitie iba pár rozdielnych Bitcoin adries nie je možné platby identifikovať automaticky, existujú pochybnosti či tvorcovia vírusu aj po zaplatení nakoniec počítač odšifrujú. Zároveň antivírusové spoločnosti hovoria o prípadoch, keď obete zaplatili a súbory im odšifrované neboli, a niektoré nevedia o žiadnych úspešne odšifrovaných počítačoch po zaplatení.
wanakiwi
Chybu zatiaľ bezpečnostní experti nenašli ani v implementácii použitej šifrovacej schémy. Obetiam ironicky môže pomôcť ale ďalšia bezpečnostná nedokonalosť vo Windows.
O nádeji pre niektoré obete informuje a na nástroj, ktorý im môže nájsť kľúč pre odšifrovanie, odkazuje bezpečnostný expert Matt Suiche, ktorý aktivoval kill switch v druhej modifikovanej verzii WannaCry.
Červ na generovanie kľúčov využíva API Windows. Ako ale zistil Adrien Guinet, API vo Windows XP nepremaže po vygenerovaní kľúča všetky pomocné dáta a v pamäti zostanú prvočísla použité na vytvorenie privátneho RSA kľúča. Guinet tak napísal nástroj wannakey odskúšaný podľa neho na Windows XP, ktorý prvočísla a tým kľúč nájde v pamäti.
Následne Benjamin Delpy v spolupráci so Suichem prišli na to, že takto sa správajú verzie Windows až po Windows 7 a Delpy vydal podobný nástroj ako wannakey, wanakiwi.
Nástroj samozrejme dokáže nájsť kľúč pre odšifrovanie ale len v prípade, že infikovaný počítač nebol od infekcie a šifrovania reštartnutý. Zároveň ho nedokáže nájsť ani keď boli dáta v pamäti už prepísané a akej časti infikovaných užívateľov môže pomôcť je otázne.
Suiche a Delpy ani Guinet bohužial zatiaľ neponúkajú explicitný komplexný krokový návod ako je odporúčané postupovať pri snahe súbory odšifrovať najmä v súvislosti s odvírením počítača.
Guinet ponúka návod ako postupovať pri samotnom použití wannakey. Stiahnuteľný program je potrebné spustiť s parametrom s cestou k súboru, v ktorom je uložený verejný kľúč vytvorený červom, nástroj sa pokúsi nájsť a vytvorí privátny kľúč použiteľný následne napríklad s nástrojom wanafork na odšifrovanie.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
čas na konšpirácie
Od: dj_v
|
Pridané:
19.5.2017 10:10
NSA tlačí mrkvu, aby masovo tlačila desiatkové okná, kde má iné zadné vrátka. Vzhľadom na to, že na staršie systémy im boli zadné vrátka ukradnuté.
|
| |
Re: čas na konšpirácie
Od: martincc
|
Pridané:
19.5.2017 10:12
Fuha ty tomu nejak rozumies urcite si chodil na STU.
|
| |
Re: čas na konšpirácie
Od: Prihláste sa
|
Pridané:
19.5.2017 10:20
Ja som chodil, ale nerozumiem mu. :-) ;-)
|
| |
Re: čas na konšpirácie
Od: dj_v
|
Pridané:
19.5.2017 11:50
ja som chodil, nedokončil a preto rozumiem :D
|
| |
Re: čas na konšpirácie
Od: zrejme
|
Pridané:
19.5.2017 17:55
Zrejme tam nestačilo len chodiť ...
|
| |
Re: čas na konšpirácie
Od: reakcias
|
Pridané:
19.12.2017 12:30
Nestaci nechat otvorene okna, naco tam este montovat zadne vratka
|
| |
12345
Od: mor_PH_eus
|
Pridané:
19.5.2017 10:10
podľa mňa, komu sa zobrazila hentá hláška, tak bola prvá vec, že reštartol PC lebo si myslel, že je to len dáka bullshit pop-up reklama...
|
| |
Re: 12345
Od reg.: saruman
|
Pridané:
19.5.2017 10:18
Presne tak. Mnohí určite použili ďalšiu fintu:"Vypnúť a následne zapnúť PC."
|
| |
Re: 12345
Od reg.: K-NinetyNine
|
Pridané:
19.5.2017 10:21
alebo vypol PC "aby to nespravilo viac skody"
|
| |
Re: 12345
Od: syntaxterrorXXX
|
Pridané:
19.5.2017 10:28
Pre vypnuté je to priekazne až do zapnutia tiež vynikajúca správa.
|
| |
Re: 12345
Od: ......
|
Pridané:
19.5.2017 13:50
Asi tak, ale videl som zopar takych, co hibernovali a potom hladali kluc v tom hiberfile offline ...
|
| |
Re: 12345
Od: wanna_know
|
Pridané:
19.5.2017 18:33
a kde si ich videl?
|
| |
Re: 12345
Od reg.: Sheep
|
Pridané:
20.5.2017 10:34
On je hibernator guard(tm) a teda dohliada na hibernujuich pocas hibernacie aby sa im nic nestalo dokym nedohibernuju. :)
|
| |
Re: 12345
Od: syntaxterrorXXX
|
Pridané:
20.5.2017 11:03
V SGU ich oznacovali Wrighti.
|
| |
You are blocked
Od: diffy
|
Pridané:
19.5.2017 10:15
"Nástroj samozrejme dokáže nájsť kľúč pre odšifrovanie ale len v prípade, že infikovaný počítač nebol od infekcie a šifrovania reštartnutý."
No, ale kolko takych bude?
Ak by som PC nevypol, ked sa mi don pred rokom dostal CERBER2, tak mam hlavu este dodnes v smutku. Nastastie som si vsimol, ze HDD nejak intenzivnejsie pracuju, aj ked z nich necital a v procesoch som zbadal podozrivy/neznamy proces. Aj tak stihol na kazdom zo 7 diskov cosi zasifrovat, hajzel. Ak by som vtedy toho programatora stretol, tak... by sa uz "neodsifroval" ani on.
|
| |
Re: You are blocked
Od: Meno neviem
|
Pridané:
19.5.2017 11:28
Ty si desivo drsny
|
| |
Re: You are blocked
Od: achjaaaj
|
Pridané:
19.5.2017 12:23
podla toho o ake stroje ide... ak si prave s tym pc robil, ano, je velmi pravdepodobne, ze si ho hned vypol/restartol. U nas v praci bezi x masich aj mesiac bez toho, aby na ne ktokolvek pozrel. Niesme priamo na net, ale podstata zostava. To iste sa mohlo stat v tej SR nemocnici napr. doktore si pred dovcov nevypol pc. takych pripadov moze byt podla mna vcelku slusne %. Otazne je, ci sa tato informacia k poskodenym ludom dostane :)
|
| |
Re: You are blocked
Od: diffy
|
Pridané:
19.5.2017 12:38
U mna to bolo doma a bola to skor nahoda, lebo som v tej chvili za PC nesedel, aj ked som disky pracovat pocul. Stoplo mi film, ktory som si z jedneho z tych diskov pustal cez multimedialny prehravac, tak som sa siel pozriet, ci sa nieco nedeje.
Potom som z CD nabootoval live linux a pozrel sa, co sa stalo.
Takze - ze v tomto pripade bol "spravny" postup PC nevypnut, tak v mojom pripade by som tym prisiel o vsetko. Zatial totiz na konkr. cerber2 nie je a zrejme teda uz ani nebude decrypt.
|
| |
qwertz
Od: tojejednozas
|
Pridané:
19.5.2017 12:27
Sikovni su ti chlapci. Ked budeme mat raz kvantove pocitace, tak tieto veci budu minulostou, aj ked pridu zas ine. A dufam, ze sa tie kvantove pocitace budu moct pouzit aj v nasom sudnictve na objektivne vypocty zaverov jednani, aby sme raz dosiehli spravodlivost a posadili otca naroda za mreze a aj celu tuto, ako by povedal kolega z inej diskusie na inej stranke, kde to "zije", zidobolsevicku, zlocinecku, estebakmi nastepenu mafiu. :D
|
| |
rEset
Od: glowing shits
|
Pridané:
19.5.2017 13:08
Pozor! Experti z ESET-u radia: okamžite odpojiť internet a vypnúť PC, aj vytiahnutím zo zásuvky! :)
|
| |
Re: rEset
Od: Ignacius
|
Pridané:
19.5.2017 16:24
Tak po cca roku som si spravil full scan win 7 ms antivirom a kukam vysledok, a ten exploit som mal už od 17. 3. v karantene.
|
| |
Re: rEset
Od: esteesert
|
Pridané:
19.5.2017 18:00
Eset kryptovíry nechytal. Stalo sa nám to vo firme 3x. Tak sme vymenili za Kaspersky a od vtedy pokoj . Viem, že to tak nemusí ostať , ale ...
|
| |
Pre firmy je to riskantné
Od: Medvedík
|
Pridané:
19.5.2017 14:23
Takže, keď mám vo firme 500 PC s Win XP a z toho cez 200 bez patchu a na jednom spustí nejaký zamestnanec WannaCry, tak mu mám odporučiť nevypínať PC nech to šifruje ďalej? Vysvetľujte účtovníčke ako vypojiť RJ-45/LAN kábel od PC, aby sa nešíril ďalej.
|
| |
Re: Pre firmy je to riskantné
Od: ____
|
Pridané:
19.5.2017 16:36
firma, ktora necha windows xp (3 roky po ukonceni podpory) na 500 PC, ktore pouzivaju zamestnanci (z ktorych je vacsina BFU) si nic ine ako wannacry ani nezasluzi...
|
| |
Re: Pre firmy je to riskantné
Od: firmanie
|
Pridané:
19.5.2017 18:02
Firma si to asi zaslúži ale určite by som vymenil finančného riaditeľa a IT šéfa.
|
| |
Re: Pre firmy je to riskantné
Od: Matejkosko
|
Pridané:
21.5.2017 14:06
Nikto nepovedal, že tá firma nepoužíva aj Win 7 a vyššie. To len vy ste si domysleli.
|
| |
Re: Pre firmy je to riskantné
Od: sdsdf
|
Pridané:
19.5.2017 18:12
a co si zasluzi firma, ktora prejde na windows, ktore data kradne "by default" ? :)
|
| |
kardinal Richelie
Od: vgy
|
Pridané:
19.5.2017 18:20
Ucel svati prostriedky
|
| |
Re: Pre firmy je to riskantné
Od: meheh
|
Pridané:
19.5.2017 20:11
windows 7 (IMHO posledny schopny OS od MS) nespehuje ani nic nekradne. ak je niekto paranoidny, tie aktualizacie, ktore udajne spehuju sa daju vynechat a skryt, popripade pouzivat vlastny WSUS server. a ak niekomu vadia aj kumulativne aktualiacie, MS zverejnuje aj nekumulativne security-only aktualizacie pre win 7: http://dopice.sk/jCH
|
| |
Re: Pre firmy je to riskantné
Od: ajtacka
|
Pridané:
19.5.2017 20:44
V Ubuntu bolo donedavna tiez spehovanie, ale dalo sa vypnut. Napriek tomu, ked spadne program, tak sa opyta, ci ma zaslat chybove hlasenie. A na web strankach sa bezne nachadza heat map, co sleduje uzivatela. Nehovoriac o google analytics.
|
| |
Re: Pre firmy je to riskantné
Od: syntaxterrorXXX
|
Pridané:
19.5.2017 21:24
Zrovna pre Ubuntu je i Firefox v repozitaroch kompilovany so zrejmym dorazom na nezobrazovanie nastaveni zdielania telemetrie.
|
| |
Re: Pre firmy je to riskantné
Od: Marekdzzzzz
|
Pridané:
20.5.2017 18:04
nic proti ale je velmi vela firiem kde bezia XPcka napr na roznych linkach a dovod je ze pre novsi win neexistuju drivery pre tie stroje
|
| |
Re: Pre firmy je to riskantné
Od: ajtacka
|
Pridané:
20.5.2017 18:51
S novym win nove moznosti.
|
| |
Re: Pre firmy je to riskantné
Od: fajnsmeker
|
Pridané:
20.5.2017 18:59
Ak su windows Vista capable, tak je velka sanca, ze pojdu aj na sedmickach.
|
| |
Re: Pre firmy je to riskantné
Od: meheh
|
Pridané:
21.5.2017 0:53
zopar PC, na ktorych bezi nejaky specificky SW, nezasahuju do nich BFU, a nie su pripojene k internetu sa moze kludne XP pouzivat dalej... ale ten pripad vyssie, XP na stovkach PC pripojenych internetu a s BFU usermi, to uz je cez ciaru si myslim.
|
| |
Re: Pre firmy je to riskantné
Od: Matejkosko
|
Pridané:
21.5.2017 14:07
Prečo? Tá firma má cez 1500 PC a z toho 1000 je na Win 7 a vyššie. Takže tak. Museli by zamestnať viac ITčkárov a to je už cez rozpočet.
|
neprihlásený 
