neprihlásený Sobota, 24. októbra 2020, dnes má meniny Kvetoslava
Autor ransomvéru Petya, nie NotPetya, zverejnil privátny kľúč

Značky: ransomvérWindows

DSL.sk, 7.7.2017


Autor ransomvéru Petya, vystupujúci pod menom Janus, aktuálne zverejnil privátny kľúč umožňujúci odšifrovať dáta zašifrované týmto ransomvérom.

Zašifrovaný MFT

Ransomvér Petya sa vo viacerých verziách šíril najmä minulý rok. Do pozornosti sa znovu dostal minulý týždeň s masovým útokom ransomvéru NotPetya.

Petya má v skutočnosti dva hlavné komponenty, nazvané antivírusovými spoločnosťami na základe označenia tvorcami Petya a Mischa. Petya šifruje MFT, Master File Table, tabuľku súborového systému NTFS obsahujúce nevyhnutné metadáta pre prístup k súborovému systému, Mischa samotné súbory.

Ransomvér NotPetya vzhľadom na podobnosť s Petya viaceré antivírusové spoločnosti pôvodne považovali za novú verziu Petya. V skutočnosti NotPetya využíval len jeho komponent označený Petya na šifrovanie MFT, podľa viacerých expertov len binárne upravený, a vlastné komponenty pre šifrovanie súborov a šírenie. Keďže komponent Petya je len zrejme binárne upravený, Janus s väčšou pravdepodobnosťou nebude autorom NotPetya.



Janus teraz ale zverejnil privátny kľúč asymetrickej šifry ECIES využívajúcej eliptické krivky, ktorý je možné použiť na odšifrovanie kľúča použitého na šifrovanie MFT algoritmom Salsa20 u pôvodnych verzií Petya. Jeho zašifrovaná podoba je uložená na disku a zobrazovaná tiež vo výzve po nabootovaní systému infikovaného Petyou, pričom Kaspersky Lab potvrdil funkčnosť kľúča pre všetky verzie Petya.



Zverejnený kľúč umožnil vytvoriť generátor kľúčov, ktorý jednoducho po zadaní tzv. osobného kódu zobrazovaného na infikovanom počítači vygeneruje kľúč a ten po zadaní do Petya vedie k odšifrovaniu MFT.

Janus kľúč zverejnil síce zašifrovaný, ale s evidentným zámerom a výzvou pre konkrétnych expertov aby ho rozšifrovali. Expertovi Hasherezade z Malwarebytes sa to včera aj podarilo.

Pre obete NotPetya tento kľúč ale nič nerieši. NotPetya síce tiež šifruje MFT pomocou Salsa20, podľa skorších explicitných zistení Malwarebytes ale použitý kľúč nie je žiadnym spôsobom ani v zašifrovanej podobe uchovaný. Na základe týchto informácií aspoň na základe doterajších informácií pravdepodobne pre obete NotPetya nebude k dispozícii riešenie ako bez problémov obnoviť kompletný súborový systém, ak sa ich počítač dostal do tohto stavu. Keďže ale k dispozícii nie sú kompletné analýzy kompletného kódu, zostávajú otvorené teoretické možnosti a navyše samotné dáta aj zašifrovaných súborov môžu byť obnoviteľné. Rozumným odporúčaným opatrením je tak minimálne si urobiť kompletnú binárnu zálohu zašifrovaného disku.

Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné.

Zašifrované súbory

Pôvodný Petya mal pribalený aj spomínaný komponent Mischa, ktorý šifroval podobne ako iné ransomvéry samotné súbory na súborovej úrovni.

V prvých verziách ransomvér použil len jedno šifrovanie, ak dokázal získať administrátorské oprávnenia zašifroval MFT, inak súbory. V poslednej verzii označovanej Goldeneye uskutočnil obe šifrovania.

Či sa v niektorých verziách Mischa používa rovnaký kľúč ako pre komponent Petya, ak nie prečo nezverejnil Janus aj kľúč pre Mischa respektíve akú šifrovaciu schému využívali všetky verzie Mischa nie je jasné.

V prípade NotPetya autori ponúkli vydanie ich privátneho RSA kľúča použiteľného na odšifrovanie kľúča, ktorým sú zašifrované samotné súbory. Na rozdiel od Janusa ale zaň požadujú 100 Bitcoinov, ako sme upozornili v tomto článku.


      Zdieľaj na Twitteri



Najnovšie články:

Sonde NASA vypadáva materiál z asteroidu, video
Učitelia dostanú od mobilných operátorov dáta a neobmedzené volania, žiaci nie
Microsoft sprístupnil Microsoft Edge pre Linux
freeSAT vypína SD stanice, HD budú v nižšom balíčku
Vydané Ubuntu 20.10
Nový trailer druhej série The Mandalorian
Orange zvyšuje objem dát v paušáloch Go
5G spúšťa aj tretí český mobilný operátor
Vydaný TrueNAS 12.0, populárny OS pre NAS-y doteraz označovaný FreeNAS
Telekom umiestnil 4G základňovú stanicu do stratosféry


Diskusia:
                               
 

Konecne. Mam vsetky subory spat
Odpovedať Známka: -6.9 Hodnotiť:
 

Asi sa hokejový brankár Janus mimo sezóny nudí.
Odpovedať Známka: 6.7 Hodnotiť:
 

autor PETYA, NOT NOTPETYA, not not NOTpetya, but still Petya :D
Odpovedať Známka: 4.0 Hodnotiť:
 

"Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné."

Nechcel byť spájaný s tým druhým.
Odpovedať Známka: 7.5 Hodnotiť:
 

Táto Januš je šikovná hackerka, kde sa s ňou dá zoznámiť? (Teda bez toho aby mi zašifrovala súbory) ? :D
Odpovedať Známka: 6.7 Hodnotiť:
 

Niečo mi hovorí že to bude tá naša Janka Hospodárová! :D
Odpovedať Známka: 8.5 Hodnotiť:
 

To su vesmirny jasteri. Mne tiez obchvilu cosi naliehave oznamuju, preto toho tolko viem.
Odpovedať Známka: 3.3 Hodnotiť:
 

Máš otvorenú srdečnú čakru?
Odpovedať Známka: 3.3 Hodnotiť:
 

Podľa aktuálnych odborných informácií sú voči tomu výhody kôrnatenia srdcových tepien pomerne kontroverzne vnímané.
Odpovedať Známka: 2.0 Hodnotiť:
 

To by ale potom trebalo ten kluc vytlacit vo velkom kancli cez wifi.
Odpovedať Známka: -3.3 Hodnotiť:
 

Ale nielen privátny, ale aj publicistický.
Odpovedať Známka: 3.3 Hodnotiť:
 

Alebo publikačný, treba si vybrať.
Odpovedať Hodnotiť:
 

Zdrjojaky by sa nenasli niekde? Chcem si spravit svoju verziu
Odpovedať Známka: 4.3 Hodnotiť:
 

Skús servery NSA, minule tam čerpali nejakí hackeri.
Odpovedať Známka: 5.0 Hodnotiť:
 

dik a nevies heslo na nsa admin?
Odpovedať Známka: 3.3 Hodnotiť:
 

Skús nsausr1
Odpovedať Známka: 5.6 Hodnotiť:
 

po audite ho zmenili na nsausr123

Odpovedať Známka: 7.1 Hodnotiť:
 

v subore je virus !
Odpovedať Známka: 7.1 Hodnotiť:
 

Hello Bitcoin, my old friend
I've come to talk with you again
Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár