neprihlásený Sobota, 24. októbra 2020, dnes má meniny Kvetoslava
Tvorcovia NotPetya ponúkajú ich RSA kľúč za 100 Bitcoinov, odšifruje súbory

Značky: ransomvérWindowsbezpečnosť

DSL.sk, 6.7.2017


Kauza škodlivého kódu typu ransomvér NotPetya, ktorý minulý týždeň infikoval mnohé firmy na Ukrajine ale aj mimo nej a zašifroval dáta na počítačoch s Windows, nabrala v stredu ďalší vývoj.

Evidentne tvorcovia NotPetya respektíve osoby s prístupom k ich dátam ponúkli na predaj privátny RSA kľúč, ktorého verejná časť bola použitá pri šifrovaní súborov.

Spravili tak v tejto výzve na Pastebin, kde prezentovali aj digitálny podpis. Či kľúč, ktorým uskutočnili daný podpis skutočne zodpovedá RSA kľúču použitému ransomvérom, overujeme.

V každom prípade tieto osoby pre Motherboard odšifrovali súbor zašifrovaný NotPetya a prístup k použitému privátnemu kľúču evidentne majú.

O použitom šifrovaní v NotPetya prichádzali od antivírusových spoločností analyzujúcich kód rozporuplné informácie. Podľa ústálených informácií NotPetya ale jednak zrejme vždy zašifruje súbory užívateľa viacerých desiatok typov pomocou šifrovacieho algoritmus AES-128, pričom pre všetky súbory na danom PC použije jeden kľúč a ten uloží na disk v súbore README.TXT zašifrovaný verejným 2048-bitovým RSA kľúčom prítomným v ransomvéri.


Obrazovka zobrazovaná NotPetya po reštarte s tzv. inštalačným kľúčom, kliknite pre zväčšenie (screenshot: Kaspersky Lab)



Príslušný privátny RSA kľúč tak umožňuje získať použitý AES kľúč na infikovaných PC a súbory odšifrovať, ak to nekomplikujú ďalšie okolnosti.

V šifrovaní je ale prítomná chyba pri šifrovaní súborov dlhších ako 1 MB, pre ktorú je ich odšifrovanie výrazne komplikovanejšie a pre úspešné odšifrovanie musí byť zrejme známe poradie v akom sa súbory šifrovali. V akých prípadoch to je a nie je možné nie je jasné.

Zároveň ale ak mal NotPetya na počítači administrátorské oprávnenia, nahradil zavádzací záznam MBR, reštartoval Windows a po reštarte zašifroval MFT, Master File Table, systémového disku so súborovým systémom NTFS. Aká šifrovacia schéma je použitá v tomto prípade, či sú na disku uložené potrebné informácie a či je možné MFT odšifrovať nie je jasné. Ako totiž zistila antivírusová spoločnosť Kaspersky Lab už minulý týždeň, zobrazovaný inštalačný kľúč na základe ktorého mali obete získať dešifrovací kľúč je generovaný náhodne a neumožnil poskytnúť dešifrovací kľúč pre akúkoľvek bezpečnú šifrovaciu schému.

V MFT sú ale uložené všetky metadáta súborov vrátane umiestnenia ich blokov na disku, v prípade veľmi malých súborov je tu dokonca priamo ich obsah. Ak nie je možné odšifrovať MFT, rekonštrukcia pôvodných súborov na systémovom disku aj pri znalosti privátneho RSA kľúča bude veľmi komplikovaná ak nie vždy automaticky možná.

Do takejto fázy sa pritom zrejme dostala veľká časť infikovaných počítačov, keď obete často hovoria a fotografie dokumentujú počítače s čiernymi obrazovkami a červeným textom, teda v stave už po reštarte Windows so zašifrovaným MFT.

Do akej miery týmto obetiam pomôže privátny RSA kľúč je v súčasnosti vzhľadom na vyššie informácie otázne.

Pri pôvodnom útoku získali aj pre upozornenia, že zaplatenie výkupného nepovedie k obnove dát, tvorcovia od obetí len niekoľko Bitcoinov. Svoj RSA kľúč ponúkajú teraz za 100 Bitcoinov, v prepočte cca 260 tisíc dolárov. Či ho napríklad niektorá antivírusová spoločnosť už kúpila nie je zatiaľ známe.


      Zdieľaj na Twitteri



Najnovšie články:

Sonde NASA vypadáva materiál z asteroidu, video
Učitelia dostanú od mobilných operátorov dáta a neobmedzené volania, žiaci nie
Microsoft sprístupnil Microsoft Edge pre Linux
freeSAT vypína SD stanice, HD budú v nižšom balíčku
Vydané Ubuntu 20.10
Nový trailer druhej série The Mandalorian
Orange zvyšuje objem dát v paušáloch Go
5G spúšťa aj tretí český mobilný operátor
Vydaný TrueNAS 12.0, populárny OS pre NAS-y doteraz označovaný FreeNAS
Telekom umiestnil 4G základňovú stanicu do stratosféry


Diskusia:
                               
 

Je také ťažké takýchto zločincov vypátrať?
Keď našli Ládina, nájdu aj tieto prašiny!
Odpovedať Známka: -5.9 Hodnotiť:
 

ty uz sa preber prosim ta
Odpovedať Známka: 5.7 Hodnotiť:
 

Zálohovať, zálohy, záloh.
Pracovné Pc s originálnym obsahom jedine offline.
Človek sa učí na vlastných chybách.
Myslím že na Ukrajine nebude žiadny problém, keď zmizne niekomu účtovníctvo.
Odpovedať Známka: 5.4 Hodnotiť:
 

Tak inak šumienok.
Ako je možné, že beztrestne páchajú čoraz väčšie zločiny?
A to mám uveriť tomu, že vo svete Internetu niečo nejde vypátrať???
Odpovedať Známka: -10.0 Hodnotiť:
 

Myslíš toho starého muža ktorý zomrel kvôli smrteľnej chorobe ešte skôr než ho údajne zastrelili Americkí vojaci v prestrelke v jeho údajnom úkryte v Pakistane?
Odpovedať Známka: -0.9 Hodnotiť:
 

Ty budeš nejaký pojebaný expert, keď máš takéto insider info. Škoda ťa tu.
Odpovedať Známka: -1.7 Hodnotiť:
 

Človek by povedal že toto už dnes patrí medzi verejne známe fakty. Rovnako tak to, že zbraňe hromadného ničenia ktoré mal údajne Saddám Husajn v Iraku a kvôli ktorým USA zaútočilo na Irak sa v skutočnosti nikdy nenašli a keď s tým ľudia neskôr konfrontovali vtedajšieho prezidenta Busha, že kde teda tie zbrane sú ak sa naozaj našli, tak pri rečníckom pultíku s úsmevom prehlásil, že ich má ukryté pod pultom. Mimochodom, ten človek doteraz nesedí v base. Možno mal skôr byť umiestnený na psychiatriu ak nie rovno do väzenia, v každom prípade nemal sedieť na prezidentskej stoličke, ale to už je tragédia a prekliatie USA ktoré tak nejak vždy presiaknu do zvyšku sveta a tá pliaga potom spôsobuje celosvetové problémy.
Odpovedať Známka: 1.4 Hodnotiť:
 

co ma Digitalny Svet pod Lupou spolocne s politikou na blizkom vychode, ale ked nedas kiez by zrovnali zo zemou aj asada, ktory je zodpovedny za smrt 350 000 tisic ludi aj bez usa
Odpovedať Známka: -2.9 Hodnotiť:
 

Škoda že nás v 45. neoslobodili americký imperialisti ale ruské svine, banda primitívnych nekultúrnych zlodejov.
Najviac mi je ľúto Ukrajiny, držím im palce.
Odpovedať Známka: 3.0 Hodnotiť:
 

ked posudis ze v usa vysudis aj nemozne a v rusku nevysudis ani prrd, tak radsej zivot v systeme v ktorom sa aj niecoho domozes
Odpovedať Známka: 0.0 Hodnotiť:
 

Lenže v USA je minimum mongolov a kocovnikov.
Odpovedať Známka: -2.0 Hodnotiť:
 

V US si nikdy nebol, ze? Odporucam FL a CA.
Odpovedať Hodnotiť:
 

Ale bol som v rusku.
Odpovedať Známka: 3.3 Hodnotiť:
 

Ako potom vies, ze v US je menej "kocovnikov" a "mongolov"? Navyse, co je take zle na kocovnikoch a mongoloch? Nezapada to do tvojho videnia blondatych modrookych Starych Slovakov ako vladcov Atlantidy?
Ako povedal nedavno zosnuly Abraham Lincoln pre portal Vice.com, "Grass is always greener on the other side."
Odpovedať Známka: 5.0 Hodnotiť:
 

Nič tiež budem na dôchodku kočovať.
Rusi niesu Slovania, sú to Mongoli a tatári.
A neznášam vymyslený nacionalizmus niečoho čo národ ani nieje.

Odpovedať Známka: -2.0 Hodnotiť:
 

Ty idiot, radšej budem žit v slobode než ako otrok pre kolonizátorov z USA a EÚ, pre anglosasov sú slovania nič, to si zapamätaj.
Odpovedať Známka: -1.0 Hodnotiť:
 

Ja chcem tiež žiť v slobode, tak ma láskavo neobťažuj jednobunkovou propagandou z ruska, doplnenou o primitívne vulgarizmy.
Odpovedať Známka: 5.0 Hodnotiť:
 

Mal by si dať vymeniť výfuk.
Odpovedať Známka: 3.3 Hodnotiť:
 

Keby mala Ukrajina normálnych susedov bola by to fajn krajina, kde by sa veľmi dobre žilo. Úrodná zem, krajina bohatá na prírodné suroviny. Až na tých tatarov a mongolov čo majú na východe.
Odpovedať Známka: 0.8 Hodnotiť:
 

pre slovenskeho podnikatela je silna ekonomicky zdatna ukrajina v eu lepsi kseft, bo ma 40 milionovy trh, v rusku za tebou pride slusne mafia a oznami ti slusne ze preberaju tvoj podnik a ty mas proste smolu ze si drel cely zivot
Odpovedať Známka: 2.0 Hodnotiť:
 

Však partizánska tradícia.
Vyžrať gazdovstvo zabyť gazdu.
Odpovedať Známka: 2.3 Hodnotiť:
 

si zabYeu brácho
Odpovedať Známka: 7.5 Hodnotiť:
 

No ako oné - si myslíš, že na Ukrajine je menšia mafia, než v Rusku?
Odpovedať Známka: 10.0 Hodnotiť:
 

Samozrejme, že ruska mafia je aj na ukrajine.
Odpovedať Známka: 0.0 Hodnotiť:
 

Zabudol si spomenúť aj ostatných pravdepodobných vrahov vyhýbajúcim sa spravodlivosti: Kima, Putina, Madura a i.
Odpovedať Známka: -4.1 Hodnotiť:
 

Ale aspon nenapisal nespravne Maduar!
Odpovedať Známka: 10.0 Hodnotiť:
 

Áno, stále sú nažive vrahovia, ktorí sa vyhýbajú spravodlivosti Kima, Putina, Madura, ale Kim, Putin, Maduro si tých vrahov raz nájdu a potrestajú ich!
Odpovedať Známka: -3.3 Hodnotiť:
 

este si zabudol orbana ty trulo :D
Odpovedať Hodnotiť:
 

to ale bola vytáčka boha jeho bin ladina!
Odpovedať Hodnotiť:
 

tu a tu
Odpovedať Hodnotiť:
 

Pán bude pravdepodobne z tajných služieb. Len pozor na trest za vyzradenie tajných informácií verejnosti.
Odpovedať Známka: -10.0 Hodnotiť:
 

To nebol Ládin, ale Recycle, čo našli.
Odpovedať Známka: 10.0 Hodnotiť:
 

mazané , šifru zabaliť do šifry
Odpovedať Hodnotiť:
 

ťažko vypátrať zločinča, keď nevieš, ako vypatra.
Odpovedať Hodnotiť:
 

Install Arch nebude?
Odpovedať Známka: 5.0 Hodnotiť:
 

Ti co maju Arch tento clanok necitaju.
Odpovedať Známka: 7.6 Hodnotiť:
 

Ani ti co maju MAC, ich takato blbost nezaujima
Odpovedať Známka: -6.0 Hodnotiť:
 

a co ti co maju windows na MACu?
Odpovedať Známka: 10.0 Hodnotiť:
 

to neviem, ale tych co maju na Windowse MAC a pripojeny sietovy kabel by to zaujimat urcite mohlo
Odpovedať Známka: 10.0 Hodnotiť:
 

Tí maju Time Capsule zalohy...teda, ak to nesifruje aj tie
Odpovedať Známka: 3.3 Hodnotiť:
 

a ty co maju MAK okno MAK
Odpovedať Hodnotiť:
 

žerú mak
Odpovedať Hodnotiť:
 

Lebo maju problem s pripojenim na net?
Odpovedať Známka: 10.0 Hodnotiť:
 

a ešte gentoo
Odpovedať Hodnotiť:
 

Ak je zmeneny MBR sektor kde su data o ulozenych suboroch napriklad formatovanim alebo len beznym mazanim suborov, je mozne pouzit program na obnovu fotiek napriklad z SD kariet, USB klucov a funguje to aj na diskoch. Bolo by mozne pouzit tento program ak by bol len zasifrovany MBR ako to pisu hore, ze ak mal ten ransomware admin. prava ?
Odpovedať Známka: 3.3 Hodnotiť:
 

Citame s porozumenim.

1) v MBR sektore nie su informacie o ulozenych suboroch
2) Nikde sa nepise, ze bol zasifrovany MBR (sifruje MFT)
3) Virus zrejme len nahradi kod v MBR, informacie o rozdeleni disku ponechava, vsak vsetky subory aj MFT su zakodovane, takze nie je dovod informacie z MBR mazat.
Odpovedať Známka: 10.0 Hodnotiť:
 

1. naformátovať
2. obnoviť zo zálohy
3. tešiť sa
Odpovedať Známka: 6.4 Hodnotiť:
 

:)
Odpovedať Hodnotiť:

Pridať komentár