Veľký zvrat u NotPetya, tvorcom nemalo ísť o výkupné ale možno o ničenie

Značky: bezpečnosťransomvérWindows

DSL.sk, 28.6.2017

Výsledky dvoch nových technických analýz škodlivého kódu NotPetya, ktorý v utorok masovo napádal počítače na Ukrajine aj v ďalších krajinách, prinášajú pomerne veľký zvrat.

Ukazujú totiž, že tvorcom nemuselo ísť o výkupné ale možno o ničenie dát a systémov.

Pochybnosti o platení

Zvláštne pôsobil s prvými informáciami už spôsob, ako mali obete získať kľúč pre odšifrovanie svojich počítačov. Po platbe mali totiž kontaktovať emailovú adresu na verejnej službe, u ktorej samozrejme hrozilo jej znefunkčnenie. To sa aj hneď včera stalo a obete tak stratili možnosť komunikácie s tvorcami vírusu.

Zároveň nie dostatočne sofistikovane pôsobí aj celý systém identifikácie platenia. Kým viaceré ransomvéry majú identifikovanie platenia automatizované napríklad vlastnými Bitcoin adresami pre platenie pre každú obeť, u NotPetya mali všetky obete platiť na tú istú adresu. Identifikovať sa mali zaslaním svojej Bitcoin adresy a tzv. inštalačného kľúča uvádzaného po reštarte infikovaného počítača na spomínanú emailovú adresu.

Fotografia napadnutého počítača po reštarte, kliknite pre zväčšenie (foto: Group-IB)

V inštrukciách je ale z hľadiska jednoznačného priradenia platby neoptimálne poradie krokov, keď ako prvá inštrukcia je vykonať platbu a až ako druhá poslať email.

Nedostatočné dáta k obnove

Ako sme upozorňovali vo včerajšom aj dnešnom článku, informácie jednotlivých antivírusových spoločností o spôsobe vykonávaného šifrovania dát vírusom NotPetya sa líšili a niektoré si aj odporujú. Pravdepodobne tak pred informovaním nemali všetky detailne analyzovaný celý proces šifrovania, čo sa dnes znovu potvrdilo.

Napríklad Kaspersky Lab avizuje zašifrovanie MFT, Master File Table, súborového systému NTFS, ktorý obsahuje všetky metadáta o súboroch. Okrem toho informoval o šifrovaní súborov pomocou AES-128 bez bližších detailov ktoré súbory sa šifrujú. AES kľúč je následne uložený na disku šifrovaný verejným RSA-2048 kľúčom tvorcov.

Microsoftu hovorí iba o šifrovaní jednotlivých súborov tiež pomocou AES, pričom uvádza rádovo sto koncoviek súborov. Podľa Microsoftu je AES kľúč následne zašifrovaný ale iba 800-bitovým RSA kľúčom tvorcov.

Eset prichádza ešte s úplne inou verziou. Podľa neho vírus šifruje celý disk ak sa mu podarí inštalovať do zavádzacieho sektoru, inak šifruje všetky súbory.

Hit with #Petya #NotPetya #ExPetr? Another reason NOT to pay the ransom... Latest details https://t.co/yddR7UCysa pic.twitter.com/hiBJcZnw0e

— Kaspersky Lab (@kaspersky) June 28, 2017

Ktorá z týchto verzií platí nie je jasné. V každom prípade Kaspersky Lab dnes prišla so zásadnou novou informáciou.

U ransomvéru Petya inštalačné ID označované ako dešifrovací kód posielaný tvorcom samozrejme obsahoval informácie potrebné k poskytnutiu kľúča, teda zrejme zašifrovaný kľúč.

U NotPetya to tak nie je. Presná formulácia Kaspersky je zvláštna, keď hovorí, že NotPetya inštalačné ID nemá, hoci ho má pod označením inštalačný kľúč. Zrejme tým ale má na mysli, že toto inštalačné ID neobsahuje potrebné informácie k dešifrovaniu a poskytnutiu kľúča.

Tvorcovia po poslaní tohto inštalačného kľúča ani teoreticky nemôžu teda poskytnúť obeti správny kľúč, keď to technicky zasielané informácie neumožňujú.

Kaspersky Lab zatiaľ z toho v stručnom oznámení nevyvodzuje žiadne veľké závery, označuje to iba ako dôvod nezaplatiť výkupné. Či je inak šifrovacia schéma v poriadku, dáta sú teoreticky odšifrovateľné a na disku sa nachádzajú potrebné dáta umožňujúce tvorcom poskytnúť kľúč aktuálne neuvádza.

Tvrdé prepísanie sektorov

Zároveň spoločnosť Comae dnes prišla s ďalším podobným aj keď menej závažným zistením.

NotPetya sa inštaluje do zavádzacieho sektoru disku, tzv. MBR sektora, a nasledujúcich sektorov, aby prevzal kontrolu po reštarte, zašifroval dáta a zobrazil výzvu.

Konkrétne obsadzuje 25 sektorov. Comae ale zistila, že pôvodný obsah 2. až 25. sektora na rozdiel napríklad od pôvodnej verzie Petya jednoducho prepíše a nikde neuchová.

Comae z toho vyvodzuje už ďalekosiahle závery, hoci ide o technicky menej významnú informáciu ako zistenie Kaspersky Lab. V týchto sektoroch sa v moderných operačných systémoch totiž neuchovávajú žiadne užívateľské dáta, keď prvá disková partícia začína typicky až po viacerých vynechaných sektoroch, napríklad 2048.

Comae na základe svojho zistenia ale tvrdí, že NotPetya je nástrojom ničiacim dáta na disku a že ransomvér mal byť len zástierkou.

Je to definitívne?

Hodnotenie Comae je iba na základe jej zistenia zrejme prehnané, keď typicky zrejme nevyústi do zničenia žiadnych užívateľských dát. Všetky tri argumenty ale už ukazujú, že zámer tvorcov naozaj nemusel byť zarobiť na výkupnom.

Úplne vylúčený nie je výskyt týchto problémov pre nekompetentnosť tvorcov. Podľa niektorých expertov analyzujúcich kód by mal mať kód ale vo všeobecnosti dobrú kvalitu.

Hypotézou Comae je, že zabudovanie nefunkčnej ransomvér funkčnosti je maskovaním skutočného účelu škodiť a pôvodcu. V takom prípade, keďže medzi obeťami boli viaceré významné významné firmy a inštitúcie z Ukrajiny, do úvahy pripadajú najmä útočníci objednaní inými štátmi a to samozrejme prirodzenými nepriateľmi Ukrajiny. Hoci táto hypotéza znie logicky, jednoznačne preukázaná zatiaľ nebola.




Najnovšie články:



Diskusia:

Odtlačky prstov Od: čitateľ | Pridané: 28.6.2017 23:10 "Odtlačky prstov" ktoré tvorcovia zanechali vraj smerujú do Ruska. Dokonca aj na monitoroch. Odpovedať Známka: 3.6 Hodnotiť:

Re: Odtlačky prstov Od: Neviem- | Pridané: 29.6.2017 0:27 U nás niekto zabúda splachovať na záchode. Tak nejak mi vychádza, že to bude asi Vladimír Putin. Odpovedať Známka: 0.9 Hodnotiť:

Re: Odtlačky prstov Od: syntaxterrorXXX | Pridané: 29.6.2017 0:31 Ten nezabúda. Ten dáva možnosť robiť iným. Odpovedať Známka: 7.6 Hodnotiť:

Re: Odtlačky prstov Od: :Pjetro de | Pridané: 29.6.2017 8:57 a hlavne si dava pozor a pouziva pisacie stroje so specialnymi paskami, papiermi a kopirakmi a ruske cpu ziadny kyber-priestor pre iste druhy informacii/rozkazov, ziadne tlaciarne s bodkami a tajnymi kodmi zapadnych korporacii fuj Odpovedať Známka: 3.3 Hodnotiť:

Re: Odtlačky prstov Od: genocik | Pridané: 30.6.2017 21:30 putin je pan, uz aby prisli k nam ako v 68 Odpovedať Hodnotiť:

Re: Odtlačky prstov Od: ielsls | Pridané: 29.6.2017 8:50 Pan Putin nezabuda splachovat, lebo na zachod nechodi. Pan Putin je nadclovek a nepotrebuje ani cikat ani kakat. Odpovedať Známka: 7.5 Hodnotiť:

Re: Odtlačky prstov Od: Emeric | Pridané: 30.6.2017 9:44 To o sebe tvrdí Kim Čong Un :) Minule som čítal, že to o ňom rozširuje ich štátna tlačová agentúra. Možno by som aj našiel link na ten článok. Odpovedať Hodnotiť:

Re: Odtlačky prstov Od: G vývod | Pridané: 29.6.2017 17:59 Ruské zlodejské prasatá na čele s putinom pravdepodobne skutočne môžu za oveľa viac vecí, ako je priemerný kokotko ako si ty ochotný pripustiť. Odpovedať Známka: -3.3 Hodnotiť:

Re: Odtlačky prstov Od: MuadDib | Pridané: 6.7.2017 20:46 Americké vrahúnske svine na čele s Trumpom môžu za viac vecí, než je priemerný kokotko, ako si ty, schopný pochopiť. Odpovedať Hodnotiť:

Re: Odtlačky prstov Od: Karpathian | Pridané: 30.6.2017 10:49 Len preto, že si z toho robíš srandu ešte neznamená že to tak nie je. Odpovedať Známka: 3.3 Hodnotiť:

iba a len pre xp aebo vac Od: stream | Pridané: 28.6.2017 23:17 toto je zas problem len a iba u win xp alebo u vsetkych win vratane aktualizovanych 10? nide nepisu na jaky win to utoci nide! takze asi nido! nevi! nic! mozno ani nido nece nic vedet tosealedopally. ze nido nevi nic. Odpovedať Známka: -10.0 Hodnotiť:

Re: iba a len pre xp aebo vac Od: stream | Pridané: 28.6.2017 23:26 vyzera to tak ze nido toho moc vela nevi The precise affected versions of Windows aren't yet known, but we're told Windows 10's Credentials Guard spots NotPetya's password extraction from memory. Creating the read-only file C:\Windows\perfc.dat on your computer prevents the file-scrambling part of NotPetya running, but doesn't stop it spreading on the network. Note, the software is designed to spread internally for less than an hour and then kicks in; it doesn't attempt to spread externally across the internet like WannaCry did. Odpovedať Známka: -2.0 Hodnotiť:

HACKERMAN Od: lal | Pridané: 29.6.2017 5:29 Russians did this. Vlad himself gave the order. We ww3 nao! Odpovedať Známka: 0.0 Hodnotiť:

Meniny Od reg.: cylonsvk | Pridané: 29.6.2017 7:23 Všetko najlepšie Petrom, Petram, Petyam, NotPetyam a podobne! Odpovedať Známka: 9.2 Hodnotiť:

Re: Meniny Od: :Pjetro de | Pridané: 29.6.2017 8:59 ze dakujeme Odpovedať Známka: 6.0 Hodnotiť:

prosba o info Od: spravcanetu | Pridané: 29.6.2017 7:25 Chcem sa opytat,to zasifruje vsetky hdd v pc,ci len systemove Cčko? Ak mam nejaky hdd externy na zalohu,moze mi to zasifrovat,aj ked ho len pripojim k pc.... Odpovedať Známka: 10.0 Hodnotiť:

Re: prosba o info Od: trotlolo | Pridané: 29.6.2017 7:38 Fuuu, ťažko povedať. Najlepšiu odpoveď získaš keď to vyskúšaš a uvidíš no Odpovedať Známka: 9.0 Hodnotiť:

Re: prosba o info Od: Zlosyn | Pridané: 29.6.2017 8:11 rada nad zlato :D Odpovedať Známka: 10.0 Hodnotiť:

Re: prosba o info Od: jgjkgfkg | Pridané: 29.6.2017 9:01 ale však nemusí pripojiť disk s nejakými echt dátami, stačí s pár súbormi so zaujímavými príponami a uvidí... Odpovedať Hodnotiť:

Re: prosba o info Od: NiePeter | Pridané: 29.6.2017 9:22 Ano. Odpovedať Hodnotiť:

Re: prosba o info Od: Kamikaze1 | Pridané: 3.7.2017 9:37 Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu. Odpovedať Hodnotiť:

Re: prosba o info Od: Kamikaze1 | Pridané: 3.7.2017 12:16 Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu. Odpovedať Hodnotiť:

sifrovanie Od: +-/ | Pridané: 29.6.2017 7:47 Mna by zaujimalo, kedy a ci vobec uz prisiel niekto s tym, ze sa sifruje aj odsah pripojenych sietovych diskov, pripadne vsetkych sietovych zdielani uchovanych v quick access. Odpovedať Hodnotiť:

kryptovanie HDD Od: tac tac | Pridané: 29.6.2017 8:18 No dobre, ale teraz akoze pre laikov pls: Akoze sa voci tomuto branit pls? Ked sa siri cez SMB, emailom, USB vzdialenou spravou atd? Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: baffiak | Pridané: 29.6.2017 8:21 zalohovanim Odpovedať Známka: 10.0 Hodnotiť:

Re: kryptovanie HDD Od: Anal Fabet | Pridané: 29.6.2017 8:53 Nainstalovat patche, pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive) na ukladanie dokumentov, docasne nainstalovat funkcny antivirus a pockat kym to prehrmi... Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: sensei-san | Pridané: 29.6.2017 9:49 > pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive) ... nech zašifruje aj tie. Čo tak: btrfs subvolume snapshot -r /home /home/backup ? Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: Anal Fabet | Pridané: 29.6.2017 10:22 Virus sifruje len disky, nie uloziska dostupne cez HTTPS. To znamena, nepouzivat Google Drive app, OneDrive sync a Dropboxx app, ale ich browsrove alternativy. Uploadovat a downloadovat subory drag'n'drop cez prehliadac. Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: Kolotocar | Pridané: 29.6.2017 9:52 A preco myslis, ze HTTPS tam spravi nejaku zmenu? Prides aj o tie data. 3 disky, rsync, 1 disk nechat v praci, zobrat domov raz za 3 mesiace a spravit zalohu. na 2. disk robit zalohu kazdy den. Spinave cloudy nikto nepotrebuje. Odpovedať Známka: 2.0 Hodnotiť:

Re: kryptovanie HDD Od: Anal Fabet | Pridané: 29.6.2017 10:32 Cloudy potrebujes. Ak by som mal zalohovat vsetko co mam doma, tak ma to vyjde na zopar tisic (2x 5TB disky do raidu [jeden stoji 280 eur], nejaky NAS alebo maly server - najlepsie s maintenance keby zhorel alebo zlyhal, klimatizovanie, licencia na zalohovaci SW co vie diferencialne a inkrementalne zalohy, stale to kontrolovat a aktualizovat). Takto platim 22EUR mesacne za 5 TB storage so snapshotmi pristupny cez FTP, FTPS, SFTP, SCP, SMB, HTTPS, WebDAV so supportom, redundantne a pristupne odkialkovek. Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: Fabet Anal | Pridané: 29.6.2017 21:05 A načo ti je 5TB porna? haä ? Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: Anal FAbet | Pridané: 30.6.2017 8:28 Zalohy instalacnych medii, rodinna zbieka forografii a videi z dovoleniek a oslav, zalohy dokumentov (scan vo vsokom rozliseni), zbierka MP3, ktore z nejakych dovodov odstranili zo Spotify (licencne nezhody), atd. Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: MuadDib | Pridané: 6.7.2017 21:41 5TB prenosný pevník (pevný kotúč; cudzím slovom: pevný disk) s pripojením cez USB 3.0 za 120 € s DPH, 100 € bez DPH. A máš údaje u seba. A po roku na tom už ušetríš. Takto platíš 22 € mesačne na to, aby si údaje niekam cez 1/2 zemegule tlačil a stamodtiaľ ich aj ťahal. Keď Amíci naserú Rusov, tak tí preseknú podmorské údajové vodiče a budeš mať svoje údaje aj so snímkami v prdeli, ale nie svojej, lež nejakej americkej na opačnom konci zemegule. A neželám ti, aby si zistil, že o údaje môžeš prísť aj v mračne. Ako zákazníci Megauploadu, napríklad. Odpovedať Hodnotiť:

Re: kryptovanie HDD Od: .vždy | Pridané: 29.6.2017 18:29 Tvoj kokot je špinavý, ty pojebaný paranoik. Odpovedať Známka: -3.3 Hodnotiť:

Re: kryptovanie HDD Od: kekeket | Pridané: 29.6.2017 22:41 Mať svoje vlastné data v cloude to je ako chodiť v parlamente s holým kokotom. Istá úroveň exhibiticionizmu. Odpovedať Hodnotiť:

Mindfuck Od reg.: Morte | Pridané: 29.6.2017 8:50 Co ak maju vsetky spolocnosti pravdu a existuju 3 verzie a kazda je ina? Odpovedať Známka: 10.0 Hodnotiť:

Re: Mindfuck Od: Anal Fabet | Pridané: 29.6.2017 8:51 #mindblown Odpovedať Známka: 10.0 Hodnotiť:

Re: Mindfuck Od: Menovec | Pridané: 29.6.2017 9:26 Mrknite aj sem: https://lnk.sk/oTX2 Odpovedať Hodnotiť:

Re: Mindfuck Od: kekeket | Pridané: 29.6.2017 9:32 Môže byť a podla mna tieto vírusy distribuuje Microsoft. Ako ďalší kontroverzný krok ako donútiť všetkých užívateľov prejsť na aktualizovaný Windows 10. Odpovedať Známka: 10.0 Hodnotiť:

Kto neskace, ten je Moskal. Hop, hop, hop. Od: Kolotocar | Pridané: 29.6.2017 10:13 Preco mam taky pocit, ze v skutocnosti to spravili Ukrajinci, aby napadli ruske servery, ale kedze Ukrajinci su od prevratu len masa hlupakov (vsetci ostatni z tej skrachovanej krajiny uz davno utiekli), tak nie ze nakazili Rusov, ale sami seba? Odpovedať Známka: 1.4 Hodnotiť:

Re: Kto neskace, ten je Moskal. Hop, hop, hop. Od: Yorick_ | Pridané: 29.6.2017 11:26 Taký pocit máš preto, lebo ťa ostriekali chemitrails. Odpovedať Známka: 5.0 Hodnotiť:

Re: Kto neskace, ten je Moskal. Hop, hop, hop. Od: tenodtal | Pridané: 29.6.2017 12:34 S dorazom na to ostriekali.. dorazny doraz atd. Odpovedať Známka: 6.7 Hodnotiť:

Vela nezarobil Od: No Name | Pridané: 29.6.2017 10:36 Nejako im neprislo vela bubakov: https://blockchain.info/ address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX Odpovedať Hodnotiť:

ehewhet Od: grwegh | Pridané: 29.6.2017 11:05 microsoft nevie pocitat, preto hovori o 800b kluci :) na screenshote maju dlzku N-ka 0x100 = 256bytov = 2048bitov. Oni to akoby ocitali od zaciatku v desiatkovej sustave Odpovedať Hodnotiť:

..... Od: G vývod | Pridané: 29.6.2017 17:20 Mne to teda logické nepripadá. Aký by bol význam takého maskovania, ktoré je možné odhaliť za pár dní? Aký by bol motív maskovania vôbec? A ak by už muselo byť maskovania maskovanie, prečo by to neurobili funkčné, veď to by bolo to najmenej. Odpovedať Hodnotiť:

Prvotná GPT Od: MuadDib | Pridané: 6.7.2017 21:44 V tej oblasti sa nachádza prvotná GPT. Nie je tam prázdno. Odpovedať Hodnotiť:

Pridať komentár