neprihlásený Sobota, 24. októbra 2020, dnes má meniny Kvetoslava
Veľký zvrat u NotPetya, tvorcom nemalo ísť o výkupné ale možno o ničenie

Značky: bezpečnosťransomvérWindows

DSL.sk, 28.6.2017


Výsledky dvoch nových technických analýz škodlivého kódu NotPetya, ktorý v utorok masovo napádal počítače na Ukrajine aj v ďalších krajinách, prinášajú pomerne veľký zvrat.

Ukazujú totiž, že tvorcom nemuselo ísť o výkupné ale možno o ničenie dát a systémov.

Pochybnosti o platení

Zvláštne pôsobil s prvými informáciami už spôsob, ako mali obete získať kľúč pre odšifrovanie svojich počítačov. Po platbe mali totiž kontaktovať emailovú adresu na verejnej službe, u ktorej samozrejme hrozilo jej znefunkčnenie. To sa aj hneď včera stalo a obete tak stratili možnosť komunikácie s tvorcami vírusu.

Zároveň nie dostatočne sofistikovane pôsobí aj celý systém identifikácie platenia. Kým viaceré ransomvéry majú identifikovanie platenia automatizované napríklad vlastnými Bitcoin adresami pre platenie pre každú obeť, u NotPetya mali všetky obete platiť na tú istú adresu. Identifikovať sa mali zaslaním svojej Bitcoin adresy a tzv. inštalačného kľúča uvádzaného po reštarte infikovaného počítača na spomínanú emailovú adresu.


Fotografia napadnutého počítača po reštarte, kliknite pre zväčšenie (foto: Group-IB)



V inštrukciách je ale z hľadiska jednoznačného priradenia platby neoptimálne poradie krokov, keď ako prvá inštrukcia je vykonať platbu a až ako druhá poslať email.

Nedostatočné dáta k obnove

Ako sme upozorňovali vo včerajšom aj dnešnom článku, informácie jednotlivých antivírusových spoločností o spôsobe vykonávaného šifrovania dát vírusom NotPetya sa líšili a niektoré si aj odporujú. Pravdepodobne tak pred informovaním nemali všetky detailne analyzovaný celý proces šifrovania, čo sa dnes znovu potvrdilo.

Napríklad Kaspersky Lab avizuje zašifrovanie MFT, Master File Table, súborového systému NTFS, ktorý obsahuje všetky metadáta o súboroch. Okrem toho informoval o šifrovaní súborov pomocou AES-128 bez bližších detailov ktoré súbory sa šifrujú. AES kľúč je následne uložený na disku šifrovaný verejným RSA-2048 kľúčom tvorcov.

Microsoftu hovorí iba o šifrovaní jednotlivých súborov tiež pomocou AES, pričom uvádza rádovo sto koncoviek súborov. Podľa Microsoftu je AES kľúč následne zašifrovaný ale iba 800-bitovým RSA kľúčom tvorcov.

Eset prichádza ešte s úplne inou verziou. Podľa neho vírus šifruje celý disk ak sa mu podarí inštalovať do zavádzacieho sektoru, inak šifruje všetky súbory.



Ktorá z týchto verzií platí nie je jasné. V každom prípade Kaspersky Lab dnes prišla so zásadnou novou informáciou.

U ransomvéru Petya inštalačné ID označované ako dešifrovací kód posielaný tvorcom samozrejme obsahoval informácie potrebné k poskytnutiu kľúča, teda zrejme zašifrovaný kľúč.

U NotPetya to tak nie je. Presná formulácia Kaspersky je zvláštna, keď hovorí, že NotPetya inštalačné ID nemá, hoci ho má pod označením inštalačný kľúč. Zrejme tým ale má na mysli, že toto inštalačné ID neobsahuje potrebné informácie k dešifrovaniu a poskytnutiu kľúča.

Tvorcovia po poslaní tohto inštalačného kľúča ani teoreticky nemôžu teda poskytnúť obeti správny kľúč, keď to technicky zasielané informácie neumožňujú.

Kaspersky Lab zatiaľ z toho v stručnom oznámení nevyvodzuje žiadne veľké závery, označuje to iba ako dôvod nezaplatiť výkupné. Či je inak šifrovacia schéma v poriadku, dáta sú teoreticky odšifrovateľné a na disku sa nachádzajú potrebné dáta umožňujúce tvorcom poskytnúť kľúč aktuálne neuvádza.

Tvrdé prepísanie sektorov

Zároveň spoločnosť Comae dnes prišla s ďalším podobným aj keď menej závažným zistením.

NotPetya sa inštaluje do zavádzacieho sektoru disku, tzv. MBR sektora, a nasledujúcich sektorov, aby prevzal kontrolu po reštarte, zašifroval dáta a zobrazil výzvu.

Konkrétne obsadzuje 25 sektorov. Comae ale zistila, že pôvodný obsah 2. až 25. sektora na rozdiel napríklad od pôvodnej verzie Petya jednoducho prepíše a nikde neuchová.

Comae z toho vyvodzuje už ďalekosiahle závery, hoci ide o technicky menej významnú informáciu ako zistenie Kaspersky Lab. V týchto sektoroch sa v moderných operačných systémoch totiž neuchovávajú žiadne užívateľské dáta, keď prvá disková partícia začína typicky až po viacerých vynechaných sektoroch, napríklad 2048.

Comae na základe svojho zistenia ale tvrdí, že NotPetya je nástrojom ničiacim dáta na disku a že ransomvér mal byť len zástierkou.

Je to definitívne?

Hodnotenie Comae je iba na základe jej zistenia zrejme prehnané, keď typicky zrejme nevyústi do zničenia žiadnych užívateľských dát. Všetky tri argumenty ale už ukazujú, že zámer tvorcov naozaj nemusel byť zarobiť na výkupnom.

Úplne vylúčený nie je výskyt týchto problémov pre nekompetentnosť tvorcov. Podľa niektorých expertov analyzujúcich kód by mal mať kód ale vo všeobecnosti dobrú kvalitu.

Hypotézou Comae je, že zabudovanie nefunkčnej ransomvér funkčnosti je maskovaním skutočného účelu škodiť a pôvodcu. V takom prípade, keďže medzi obeťami boli viaceré významné významné firmy a inštitúcie z Ukrajiny, do úvahy pripadajú najmä útočníci objednaní inými štátmi a to samozrejme prirodzenými nepriateľmi Ukrajiny. Hoci táto hypotéza znie logicky, jednoznačne preukázaná zatiaľ nebola.


      Zdieľaj na Twitteri



Najnovšie články:

Sonde NASA vypadáva materiál z asteroidu, video
Učitelia dostanú od mobilných operátorov dáta a neobmedzené volania, žiaci nie
Microsoft sprístupnil Microsoft Edge pre Linux
freeSAT vypína SD stanice, HD budú v nižšom balíčku
Vydané Ubuntu 20.10
Nový trailer druhej série The Mandalorian
Orange zvyšuje objem dát v paušáloch Go
5G spúšťa aj tretí český mobilný operátor
Vydaný TrueNAS 12.0, populárny OS pre NAS-y doteraz označovaný FreeNAS
Telekom umiestnil 4G základňovú stanicu do stratosféry


Diskusia:
                               
 

"Odtlačky prstov" ktoré tvorcovia zanechali vraj smerujú do Ruska. Dokonca aj na monitoroch.
Odpovedať Známka: 3.6 Hodnotiť:
 

U nás niekto zabúda splachovať na záchode. Tak nejak mi vychádza, že to bude asi Vladimír Putin.
Odpovedať Známka: 0.9 Hodnotiť:
 

Ten nezabúda. Ten dáva možnosť robiť iným.
Odpovedať Známka: 7.6 Hodnotiť:
 

a hlavne si dava pozor a pouziva pisacie stroje so specialnymi paskami, papiermi a kopirakmi a ruske cpu

ziadny kyber-priestor pre iste druhy informacii/rozkazov, ziadne tlaciarne s bodkami a tajnymi kodmi zapadnych korporacii

fuj
Odpovedať Známka: 3.3 Hodnotiť:
 

putin je pan, uz aby prisli k nam ako v 68
Odpovedať Hodnotiť:
 

Pan Putin nezabuda splachovat, lebo na zachod nechodi. Pan Putin je nadclovek a nepotrebuje ani cikat ani kakat.
Odpovedať Známka: 7.5 Hodnotiť:
 

To o sebe tvrdí Kim Čong Un :)
Minule som čítal, že to o ňom rozširuje ich štátna tlačová agentúra. Možno by som aj našiel link na ten článok.
Odpovedať Hodnotiť:
 

Ruské zlodejské prasatá na čele s putinom pravdepodobne skutočne môžu za oveľa viac vecí, ako je priemerný kokotko ako si ty ochotný pripustiť.
Odpovedať Známka: -3.3 Hodnotiť:
 

Americké vrahúnske svine na čele s Trumpom môžu za viac vecí, než je priemerný kokotko, ako si ty, schopný pochopiť.
Odpovedať Hodnotiť:
 

Len preto, že si z toho robíš srandu ešte neznamená že to tak nie je.
Odpovedať Známka: 3.3 Hodnotiť:
 

toto je zas problem len a iba u win xp alebo u vsetkych win vratane aktualizovanych 10?

nide nepisu na jaky win to utoci nide!
takze asi nido! nevi! nic!
mozno ani nido nece nic vedet
tosealedopally.
ze nido nevi nic.








Odpovedať Známka: -10.0 Hodnotiť:
 

vyzera to tak ze nido toho moc vela nevi


The precise affected versions of Windows aren't yet known, but we're told Windows 10's Credentials Guard spots NotPetya's password extraction from memory.
Creating the read-only file C:\Windows\perfc.dat on your computer prevents the file-scrambling part of NotPetya running, but doesn't stop it spreading on the network. Note, the software is designed to spread internally for less than an hour and then kicks in; it doesn't attempt to spread externally across the internet like WannaCry did.


Odpovedať Známka: -2.0 Hodnotiť:
 

Russians did this. Vlad himself gave the order. We ww3 nao!
Odpovedať Známka: 0.0 Hodnotiť:
 

Všetko najlepšie Petrom, Petram, Petyam, NotPetyam a podobne!
Odpovedať Známka: 9.2 Hodnotiť:
 

ze dakujeme
Odpovedať Známka: 6.0 Hodnotiť:
 

Chcem sa opytat,to zasifruje vsetky hdd v pc,ci len systemove Cčko? Ak mam nejaky hdd externy na zalohu,moze mi to zasifrovat,aj ked ho len pripojim k pc....
Odpovedať Známka: 10.0 Hodnotiť:
 

Fuuu, ťažko povedať. Najlepšiu odpoveď získaš keď to vyskúšaš a uvidíš no
Odpovedať Známka: 9.0 Hodnotiť:
 

rada nad zlato :D
Odpovedať Známka: 10.0 Hodnotiť:
 

ale však nemusí pripojiť disk s nejakými echt dátami, stačí s pár súbormi so zaujímavými príponami a uvidí...
Odpovedať Hodnotiť:
 

Ano.
Odpovedať Hodnotiť:
 

Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu.
Odpovedať Hodnotiť:
 

Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu.
Odpovedať Hodnotiť:
 

Mna by zaujimalo, kedy a ci vobec uz prisiel niekto s tym, ze sa sifruje aj odsah pripojenych sietovych diskov, pripadne vsetkych sietovych zdielani uchovanych v quick access.
Odpovedať Hodnotiť:
 

No dobre, ale teraz akoze pre laikov pls: Akoze sa voci tomuto branit pls? Ked sa siri cez SMB, emailom, USB vzdialenou spravou atd?
Odpovedať Hodnotiť:
 

zalohovanim
Odpovedať Známka: 10.0 Hodnotiť:
 

Nainstalovat patche, pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive) na ukladanie dokumentov,
docasne nainstalovat funkcny antivirus a pockat kym to prehrmi...
Odpovedať Hodnotiť:
 

> pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive)

... nech zašifruje aj tie.

Čo tak:

btrfs subvolume snapshot -r /home /home/backup

?
Odpovedať Hodnotiť:
 

Virus sifruje len disky, nie uloziska dostupne cez HTTPS.
To znamena, nepouzivat Google Drive app, OneDrive sync a Dropboxx app, ale ich browsrove alternativy.

Uploadovat a downloadovat subory drag'n'drop cez prehliadac.
Odpovedať Hodnotiť:
 

A preco myslis, ze HTTPS tam spravi nejaku zmenu? Prides aj o tie data.

3 disky, rsync, 1 disk nechat v praci, zobrat domov raz za 3 mesiace a spravit zalohu. na 2. disk robit zalohu kazdy den.

Spinave cloudy nikto nepotrebuje.
Odpovedať Známka: 2.0 Hodnotiť:
 

Cloudy potrebujes.

Ak by som mal zalohovat vsetko co mam doma, tak ma to vyjde na zopar tisic (2x 5TB disky do raidu [jeden stoji 280 eur], nejaky NAS alebo maly server - najlepsie s maintenance keby zhorel alebo zlyhal, klimatizovanie, licencia na zalohovaci SW co vie diferencialne a inkrementalne zalohy, stale to kontrolovat a aktualizovat).
Takto platim 22EUR mesacne za 5 TB storage so snapshotmi pristupny cez FTP, FTPS, SFTP, SCP, SMB, HTTPS, WebDAV so supportom, redundantne a pristupne odkialkovek.
Odpovedať Hodnotiť:
 

A načo ti je 5TB porna? haä ?
Odpovedať Hodnotiť:
 

Zalohy instalacnych medii, rodinna zbieka forografii a videi z dovoleniek a oslav, zalohy dokumentov (scan vo vsokom rozliseni), zbierka MP3, ktore z nejakych dovodov odstranili zo Spotify (licencne nezhody), atd.
Odpovedať Hodnotiť:
 

5TB prenosný pevník (pevný kotúč; cudzím slovom: pevný disk) s pripojením cez USB 3.0 za 120 € s DPH, 100 € bez DPH.

A máš údaje u seba. A po roku na tom už ušetríš.

Takto platíš 22 € mesačne na to, aby si údaje niekam cez 1/2 zemegule tlačil a stamodtiaľ ich aj ťahal. Keď Amíci naserú Rusov, tak tí preseknú podmorské údajové vodiče a budeš mať svoje údaje aj so snímkami v prdeli, ale nie svojej, lež nejakej americkej na opačnom konci zemegule.

A neželám ti, aby si zistil, že o údaje môžeš prísť aj v mračne. Ako zákazníci Megauploadu, napríklad.

Odpovedať Hodnotiť:
 

Tvoj kokot je špinavý, ty pojebaný paranoik.
Odpovedať Známka: -3.3 Hodnotiť:
 

Mať svoje vlastné data v cloude to je ako chodiť v parlamente s holým kokotom. Istá úroveň exhibiticionizmu.
Odpovedať Hodnotiť:
 

Co ak maju vsetky spolocnosti pravdu a existuju 3 verzie a kazda je ina?
Odpovedať Známka: 10.0 Hodnotiť:
 

#mindblown
Odpovedať Známka: 10.0 Hodnotiť:
 

Mrknite aj sem:
https://lnk.sk/oTX2
Odpovedať Hodnotiť:
 

Môže byť a podla mna tieto vírusy distribuuje Microsoft. Ako ďalší kontroverzný krok ako donútiť všetkých užívateľov prejsť na aktualizovaný Windows 10.

Odpovedať Známka: 10.0 Hodnotiť:
 

Preco mam taky pocit, ze v skutocnosti to spravili Ukrajinci, aby napadli ruske servery, ale kedze Ukrajinci su od prevratu len masa hlupakov (vsetci ostatni z tej skrachovanej krajiny uz davno utiekli), tak nie ze nakazili Rusov, ale sami seba?
Odpovedať Známka: 1.4 Hodnotiť:
 

Taký pocit máš preto, lebo ťa ostriekali chemitrails.
Odpovedať Známka: 5.0 Hodnotiť:
 

S dorazom na to ostriekali..
dorazny doraz atd.

Odpovedať Známka: 6.7 Hodnotiť:
 

Nejako im neprislo vela bubakov:
https://blockchain.info/ address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX


Odpovedať Hodnotiť:
 

microsoft nevie pocitat, preto hovori o 800b kluci :) na screenshote maju dlzku N-ka 0x100 = 256bytov = 2048bitov. Oni to akoby ocitali od zaciatku v desiatkovej sustave
Odpovedať Hodnotiť:
 

Mne to teda logické nepripadá. Aký by bol význam takého maskovania, ktoré je možné odhaliť za pár dní? Aký by bol motív maskovania vôbec? A ak by už muselo byť maskovania maskovanie, prečo by to neurobili funkčné, veď to by bolo to najmenej.
Odpovedať Hodnotiť:
 

V tej oblasti sa nachádza prvotná GPT.
Nie je tam prázdno.
Odpovedať Hodnotiť:

Pridať komentár