Autor ransomwaru spravil programátorskú chybu, súbory sa nedajú odšifrovať

Značky: ransomvérzaujímavosti

DSL.sk, 10.11.2015

Bezpečnostní experti aktuálne poukázali na kuriózny prípad šifrujúceho ransomwaru Power Worm, v ktorom sa nachádza programátorská chyba znemožňujúca odšifrovanie súborov.

Šifrujúci ransomware je škodlivý kód, ktorý po infikovaní zariadenia užívateľa zašifruje jeho súbory a následne za ich odšifrovanie požaduje výkupné. Ide o čoraz častejšiu a veľmi nebezpečnú formu škodlivého kódu, ktorý je pre zločincov mimoriadne výnosný.

Pri dobrej implementácii nie je možné súbory odšifrovať bez získania kľúča od autorov ransomwaru. Agent FBI v októbri potvrdil, že autori po zaplatení často skutočne dáta užívateľa odšifrujú, tým motivujú ostatné obete platiť a FBI často obetiam radí zaplatiť.

To ale neplatí v prípade novej verzie Power Worm, na ktorú upozornili experti z Bleeping Computer.

Nová verzia Power Worm podľa popisu nepatrí medzi najsofistikovanejší ransowmare, keď zámerom autora bolo podľa Bleeping Computer všetky súbory na všetkých počítačoch šifrovať pomocou AES jedným a tým istým kľúčom obsiahnutým v škodlivom kóde. Ransomware je navyše implementovaný v podobe PowerShell skriptu a kľúč respektíve jeho iniciačná hodnota je tu priamo čitateľne uvedená zakódovaná do Base64.

Kľúč je ale zakódovaný nesprávne, keď mu na konci chýba jeden výplňový znak "=". V dôsledku toho ho funkcia v PowerShell dekóduje na prázdnu hodnotu respektíve NULL a pri inicializovaní kľúča na šifrovanie príslušné API tak vytvorí na každom počítači iný náhodný kľúč. Keďže zámerom autora bolo použiť jeden statický kľúč, skutočne použitý kľúč nikde neukladá.

Namiesto ransomwaru, pre ktorý by bolo možné súbory relatívne jednoducho odšifrovať so známym kľúčom, ide tak kvôli chybe o ransomware, u ktorého zašifrované súbory nie je možné ani teoreticky odšifrovať a platenie výkupného je zbytočné.

Detailný návod ako môžu bežné obete identifikovať infekciu práve touto verziou Power Worm Bleeping Computer neuvádza. Riešením je zrejme ale porovnanie zanechávaného odkazu DECRYPT_INSTRUCTION.html, ktorý ransomware necháva v každom adresári so zašifrovanými súbormi, so súborom zverejneným Bleeping Computer.




Najnovšie články:



Diskusia:

sranda Od: koľkojehodín? | Pridané: 10.11.2015 12:59 Teraz by mohol ten autor požadovať od idiotov ďalšie peniaze za sprístupnenie hotfixu pre svoj ransomware :D Odpovedať Známka: 8.5 Hodnotiť:

Re: sranda Od: jsmp | Pridané: 10.11.2015 13:22 pointa clanku je v tom ze hotfix neexistuje, pretoze data boli zasifrovane nahodnym klucom, ktory nebol nikde ulozenny Odpovedať Známka: -3.8 Hodnotiť:

Re: sranda Od: tiborrr | Pridané: 10.11.2015 13:24 niekto nepochopil vtip Odpovedať Známka: 7.3 Hodnotiť:

Re: sranda Od: syntaxterrorX | Pridané: 10.11.2015 13:25 skôr minimálne viac ako nikto Odpovedať Známka: 8.2 Hodnotiť:

Re: sranda Od: sak ja ne? | Pridané: 10.11.2015 13:30 Eventuálne... Odpovedať Známka: 10.0 Hodnotiť:

Re: sranda Od reg.: K-NinetyNine | Pridané: 11.11.2015 14:33 jasne, hotfix by ti uz raz nespravne zasifrovane subory neobnovil. ale aspon by dalsie subory sifroval so spravnym klucom :) Odpovedať Známka: 10.0 Hodnotiť:

no jo :-( Od: qsadfasa | Pridané: 10.11.2015 12:59 uz ani ti hackeri nie su, co byvali... kedysi vsehoznali chlapi a dnes lameri, co ani posraty skript nevedia zlatat z google examplov bez chyby... :-) Odpovedať Známka: 9.1 Hodnotiť:

Re: no jo :-( Od reg.: pocitujlasku | Pridané: 10.11.2015 13:18 veru, zlate casy Pieck4444, one-half... kedy to boli male programatorske skvosty. Odpovedať Známka: 8.5 Hodnotiť:

Re: no jo :-( Od: Ferikuš | Pridané: 10.11.2015 17:04 podaj haslo! Odpovedať Známka: 6.9 Hodnotiť:

Re: no jo :-( Od: prdlajs | Pridané: 10.11.2015 14:20 A dokonca uz ani ITckari nevedia poriadne po slovensky. Potom sa nediv, ze plataju z PRIKLADOV na Googli, ked si nevedia prelozit do svojho jazyka ani zakladne vysvetlenie, co je uvedene pod skriptom. Odpovedať Známka: 4.7 Hodnotiť:

Re: no jo :-( Od: syntaxterrorX | Pridané: 10.11.2015 14:33 Možno im nie je jasné, či je správne "ani zakladne vysvetlenie TOHO, co je uvedene pod skriptom." alebo "ani zakladne vysvetlenie, KTORE je uvedene pod skriptom.". Eventuálne samotný "skript". Odpovedať Známka: 5.0 Hodnotiť:

Re: no jo :-( Od: hehh | Pridané: 10.11.2015 20:46 Nebud hnidopich. :) Odpovedať Známka: 10.0 Hodnotiť:

Re: no jo :-( Od: syntaxterrorX | Pridané: 10.11.2015 21:13 Inak čo? Prestaneš používať aj dĺžeň? Odpovedať Známka: 0.0 Hodnotiť:

Re: no jo :-( Od: hehh | Pridané: 11.11.2015 4:24 Tak si ostan hnidopich ak chces. :/ Odpovedať Hodnotiť:

Re: no jo :-( Od: syntaxterrorX | Pridané: 11.11.2015 5:30 Inak zájdeš ešte ďalej a prestaneš používať aj bodku na i? Odpovedať Známka: -5.0 Hodnotiť:

Re: no jo :-( Od: hehh | Pridané: 11.11.2015 11:33 Nie, pre mna sa tym nezmeni nic, ale pomozes tym sebe a uz by si nebol hnidopich, nie je to dost dobry dovod? Odpovedať Hodnotiť:

Re: no jo :-( Od: syntaxterrorX | Pridané: 11.11.2015 14:32 dosť dobrý komentár Odpovedať Hodnotiť:

A little rationality Od: Jessi | Pridané: 4.12.2015 20:02 A little rationality lifts the quality of the debate here. Thanks for cobuginttinr! Odpovedať Hodnotiť:

I hate my life but a Od: Sedina | Pridané: 4.12.2015 22:16 I hate my life but at least this makes it belrebaa. Odpovedať Hodnotiť:

Re: no jo :-( Od: swqeersada | Pridané: 10.11.2015 17:26 iste.... bezdruhove premenne, ktore boli pouzite v prikladoch najdenych prostrednictvom sietovej medzitvare medzisietoveho vyhladavaca Google a nasledne ich casti prepisane do spustitelneho diela. S uprimnym potesenim pritom taha mysou za okraj rolovacej listy rad, ze nemusi pouzit premenne druhu smernik... Ozajstny ITckar ak si vygoogli exampel, tak z neho vydeletuje vsetok balast a napastuje, kam potrebuje do scriptu. Odpovedať Hodnotiť:

Nerispievam do diskusií ako prihlásený užívateľ. Od: fdsir | Pridané: 10.11.2015 13:00 Ocenil by som aj info o prevencii.. Staci pouzivat Linux (arch samozrejme), Mac OS, Chrome OS? Co s Windowsovymi PCckami pouzivanymi neznalymi ludmi baziacimi po vyhrach za 1 000 000 navstevnika pripadne vyplnacov dotaznikov za protihodnotu noveho iPhone 9S+? Odpovedať Známka: 6.8 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od reg.: Peterkal | Pridané: 10.11.2015 13:08 pravda te linux... este dodam ze ked uz mas Windows tak najlepsia ochrana je mat Kaspersky Internet Security... ten je najlepsi antivirak... Odpovedať Známka: -6.3 Hodnotiť:

Názor Od: 4Maniak. | Pridané: 10.11.2015 13:33 Ako vtip je Kasperský dobrá voľba... :-) Odpovedať Známka: 6.8 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: rejki regedit oommmmm | Pridané: 10.11.2015 16:46 este daj ktory je najlepsi cistic na cistenie registrov a zrychlenie systemu, nech je ta pc ezoterika kompletna Odpovedať Známka: 8.3 Hodnotiť:

Articles like this r Od: Yousry | Pridané: 4.12.2015 19:34 Articles like this really grease the shafts of kngedelow. Odpovedať Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: psycho38 | Pridané: 11.11.2015 7:22 jediny bezpecny, a teda najlepsi antivir, je odstrihnuty kabel od internetu, mysi a klavesnice. Ani 10 antivirov spolu neochrani idiota aby si zaviroval pc Odpovedať Známka: 5.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: hulo | Pridané: 10.11.2015 13:37 Nie, v tomto prípade sa odporúča prejsť na FreeBSD. Odpovedať Známka: 8.5 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: doplnenie | Pridané: 10.11.2015 14:41 Lebo tam pravdepodobne este nebudes mat nakodeny ovladac na tvoju sietovku. Odpovedať Známka: 9.4 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: GustikPiestany | Pridané: 10.11.2015 15:34 FreeBSD ma dobru podporu sietovych kariet. Problem je len s niektoryma Wlan kartami, ale aj to len s N a AC modmi. Odpovedať Známka: -1.4 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: free bdsm | Pridané: 10.11.2015 16:47 v podstate to ide uplne kazdemu, okrem tych ktorym to nejde.. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: -...- | Pridané: 11.11.2015 9:38 60% of times, it works everytime Odpovedať Známka: 10.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: wsergfsgdf | Pridané: 11.11.2015 12:02 asi si prave ukoncil sutaz o vyrok tyzdna :-) Odpovedať Známka: 3.3 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: |\|\|\| | Pridané: 10.11.2015 13:40 http://dopice.sk/fm7 Odpovedať Známka: 5.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: dassddfadsfa | Pridané: 10.11.2015 14:17 Na kazdom OS je treba pre neznalych uzivatelov spravit policy, ktora im zakaze spustat aj ich vlastny kod (ci uz binarky alebo skripty). Windows ma na toto Software Restriction Policy, u Linuxu funguje MAC. Spustat sa moze len to, co je od spravcu a co uzivatel nemoze zmenit. Plus samozrejme tvrdit niecim ako EMET (Windows), MAC na Linuxe. *MAC = Mandatory Access Control = AppArmor / SELinux / grsec Odpovedať Známka: 5.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: hlskdjfhasd | Pridané: 10.11.2015 15:33 No problem je ze bezny neznaly uzivatel nema spravcu svojho osobneho kompjutru :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: GustikPiestany | Pridané: 10.11.2015 15:35 ani nepotrebuje. staci ze si nainstaluje nejaky RHEL klon, ako napr CentOS. tam je uz SELinux aktivovany a potom samozrejme este treba hodit usera do SELinux kontextu. potom je dostatocne izolovany. Ale bude <>vat ze mu nejde google chrome. Odpovedať Známka: 7.8 Hodnotiť:

Re: Nerispievam do diskusií ako prihlásený užívateľ. Od: chocholusik2 | Pridané: 11.11.2015 9:26 "Ale bude <>vat ze mu nejde google chrome." No ved to je dobre. Odpovedať Známka: 10.0 Hodnotiť:

Prispievajte do diskusií ako prihlásený užívateľ. Od: gertrudo | Pridané: 10.11.2015 13:01 Nikto nie je dokonaly. Ale neda sa vylucit ze to urobil naschval. Odpovedať Známka: 8.8 Hodnotiť:

Re: Prispievajte do diskusií ako prihlásený užívateľ. Od: vianoce su tu..zachvilu | Pridané: 10.11.2015 16:49 po riadnej vianocnej kapustnici a par naslednych aperitivoch sa da vylucit uplne vsetko Odpovedať Známka: 7.5 Hodnotiť:

nananana Od: anusicek | Pridané: 10.11.2015 13:14 joooj ta to je chuj Odpovedať Známka: 7.8 Hodnotiť:

Re: nananana Od: gertrudo | Pridané: 10.11.2015 16:42 Ta predsa vychodniar. Odpovedať Známka: -8.0 Hodnotiť:

Re: nananana Od: syntaxterrorX | Pridané: 10.11.2015 17:04 Pretože požadovanie výkupného určite nie je sofistikovaný spôsob krytia rozširovania siete iného kódu ransomware-om? Odpovedať Hodnotiť:

Čo nato FBI Od reg.: Kamikaze | Pridané: 10.11.2015 15:00 Ešteže minulý týždeň FBI odporúčala platiť za zašifrované dáta. Náhoda? Odpovedať Známka: 10.0 Hodnotiť:

Re: Čo nato FBI Od: poplach v fbi | Pridané: 10.11.2015 16:50 *jastery odhaleny* Odpovedať Známka: 6.7 Hodnotiť:

All of my questions Od: Welington | Pridané: 4.12.2015 18:57 All of my questions seaksed-thtntl! Odpovedať Hodnotiť:

Power Worm SP1 Od: _M_M_M_ | Pridané: 10.11.2015 15:04 Planuju vydat Power Worm SP1 ktory tuto chybu opravuje. Odpovedať Známka: 8.8 Hodnotiť:

hovadina Od: GustikPiestany | Pridané: 10.11.2015 15:32 dG8gc3UgYWxlIGRlYmlsaSAg Odpovedať Známka: -7.1 Hodnotiť:

Lútosť? Od reg.: Trolitel | Pridané: 10.11.2015 15:43 Neviem koho ľutujem viac... Či toho programátora/hekera alebo obete toho škodného... Odpovedať Známka: 10.0 Hodnotiť:

Re: Lútosť? Od: frau makrel | Pridané: 10.11.2015 16:52 najviac si zasluzia lutost nemecki slnieckari ked precitnu do reality.. to bude tvrda kocovina Odpovedať Známka: 4.7 Hodnotiť:

Re: Lútosť? Od: anonymus1 | Pridané: 10.11.2015 22:05 Co je "slnieckar"? Odpovedať Známka: 3.3 Hodnotiť:

Re: Lútosť? Od: Talamasca | Pridané: 10.11.2015 23:20 havloid Odpovedať Známka: 7.1 Hodnotiť:

Re: Lútosť? Od: syntaxterrorX | Pridané: 11.11.2015 7:34 dobroser Odpovedať Známka: 6.0 Hodnotiť:

Re: Lútosť? Od: chocholusik2 | Pridané: 11.11.2015 9:27 Opak kotlebu. Odpovedať Známka: 0.0 Hodnotiť:

To hlavné chýba Od: MIG31 | Pridané: 10.11.2015 19:29 kde sa to dá nakúpiť? :) Odpovedať Známka: 3.3 Hodnotiť:

To este .... Od: -=oOo=- | Pridané: 10.11.2015 20:02 To dnes este niekto riesi taketo somariny? Odpovedať Hodnotiť:

Re: To este .... Od: dfcgcxvx | Pridané: 10.11.2015 22:12 maju cakat do zajtra? Odpovedať Známka: 8.2 Hodnotiť:

homeless big eye Od: jahôdka | Pridané: 10.11.2015 23:04 by ma zaujimalo, ci im potom vracal peniaze :D Odpovedať Známka: 10.0 Hodnotiť:

Re: homeless big eye Od: trololo | Pridané: 11.11.2015 0:06 mozno ak mu uzivatelia poslu reklamaciu Odpovedať Známka: 10.0 Hodnotiť:

asdffghgdfs Od: Dfhfdcbg | Pridané: 10.11.2015 23:11 Noob :-D Odpovedať Hodnotiť:

Pridať komentár