Výsledky dvoch nových technických analýz škodlivého kódu NotPetya, ktorý v utorok masovo napádal počítače na Ukrajine aj v ďalších krajinách, prinášajú pomerne veľký zvrat.
Ukazujú totiž, že tvorcom nemuselo ísť o výkupné ale možno o ničenie dát a systémov.
Pochybnosti o platení
Zvláštne pôsobil s prvými informáciami už spôsob, ako mali obete získať kľúč pre odšifrovanie svojich počítačov. Po platbe mali totiž kontaktovať emailovú adresu na verejnej službe, u ktorej samozrejme hrozilo jej znefunkčnenie. To sa aj hneď včera stalo a obete tak stratili možnosť komunikácie s tvorcami vírusu.
Zároveň nie dostatočne sofistikovane pôsobí aj celý systém identifikácie platenia. Kým viaceré ransomvéry majú identifikovanie platenia automatizované napríklad vlastnými Bitcoin adresami pre platenie pre každú obeť, u NotPetya mali všetky obete platiť na tú istú adresu. Identifikovať sa mali zaslaním svojej Bitcoin adresy a tzv. inštalačného kľúča uvádzaného po reštarte infikovaného počítača na spomínanú emailovú adresu.
Fotografia napadnutého počítača po reštarte, kliknite pre zväčšenie (foto: Group-IB)
V inštrukciách je ale z hľadiska jednoznačného priradenia platby neoptimálne poradie krokov, keď ako prvá inštrukcia je vykonať platbu a až ako druhá poslať email.
Nedostatočné dáta k obnove
Ako sme upozorňovali vo včerajšom aj dnešnom článku, informácie jednotlivých antivírusových spoločností o spôsobe vykonávaného šifrovania dát vírusom NotPetya sa líšili a niektoré si aj odporujú. Pravdepodobne tak pred informovaním nemali všetky detailne analyzovaný celý proces šifrovania, čo sa dnes znovu potvrdilo.
Napríklad Kaspersky Lab avizuje zašifrovanie MFT, Master File Table, súborového systému NTFS, ktorý obsahuje všetky metadáta o súboroch. Okrem toho informoval o šifrovaní súborov pomocou AES-128 bez bližších detailov ktoré súbory sa šifrujú. AES kľúč je následne uložený na disku šifrovaný verejným RSA-2048 kľúčom tvorcov.
Microsoftu hovorí iba o šifrovaní jednotlivých súborov tiež pomocou AES, pričom uvádza rádovo sto koncoviek súborov. Podľa Microsoftu je AES kľúč následne zašifrovaný ale iba 800-bitovým RSA kľúčom tvorcov.
Eset prichádza ešte s úplne inou verziou. Podľa neho vírus šifruje celý disk ak sa mu podarí inštalovať do zavádzacieho sektoru, inak šifruje všetky súbory.
Ktorá z týchto verzií platí nie je jasné. V každom prípade Kaspersky Lab dnes prišla so zásadnou novou informáciou.
U ransomvéru Petya inštalačné ID označované ako dešifrovací kód posielaný tvorcom samozrejme obsahoval informácie potrebné k poskytnutiu kľúča, teda zrejme zašifrovaný kľúč.
U NotPetya to tak nie je. Presná formulácia Kaspersky je zvláštna, keď hovorí, že NotPetya inštalačné ID nemá, hoci ho má pod označením inštalačný kľúč. Zrejme tým ale má na mysli, že toto inštalačné ID neobsahuje potrebné informácie k dešifrovaniu a poskytnutiu kľúča.
Tvorcovia po poslaní tohto inštalačného kľúča ani teoreticky nemôžu teda poskytnúť obeti správny kľúč, keď to technicky zasielané informácie neumožňujú.
Kaspersky Lab zatiaľ z toho v stručnom oznámení nevyvodzuje žiadne veľké závery, označuje to iba ako dôvod nezaplatiť výkupné. Či je inak šifrovacia schéma v poriadku, dáta sú teoreticky odšifrovateľné a na disku sa nachádzajú potrebné dáta umožňujúce tvorcom poskytnúť kľúč aktuálne neuvádza.
Tvrdé prepísanie sektorov
Zároveň spoločnosť Comae dnes prišla s ďalším podobným aj keď menej závažným zistením.
NotPetya sa inštaluje do zavádzacieho sektoru disku, tzv. MBR sektora, a nasledujúcich sektorov, aby prevzal kontrolu po reštarte, zašifroval dáta a zobrazil výzvu.
Konkrétne obsadzuje 25 sektorov. Comae ale zistila, že pôvodný obsah 2. až 25. sektora na rozdiel napríklad od pôvodnej verzie Petya jednoducho prepíše a nikde neuchová.
Comae z toho vyvodzuje už ďalekosiahle závery, hoci ide o technicky menej významnú informáciu ako zistenie Kaspersky Lab. V týchto sektoroch sa v moderných operačných systémoch totiž neuchovávajú žiadne užívateľské dáta, keď prvá disková partícia začína typicky až po viacerých vynechaných sektoroch, napríklad 2048.
Comae na základe svojho zistenia ale tvrdí, že NotPetya je nástrojom ničiacim dáta na disku a že ransomvér mal byť len zástierkou.
Je to definitívne?
Hodnotenie Comae je iba na základe jej zistenia zrejme prehnané, keď typicky zrejme nevyústi do zničenia žiadnych užívateľských dát. Všetky tri argumenty ale už ukazujú, že zámer tvorcov naozaj nemusel byť zarobiť na výkupnom.
Úplne vylúčený nie je výskyt týchto problémov pre nekompetentnosť tvorcov. Podľa niektorých expertov analyzujúcich kód by mal mať kód ale vo všeobecnosti dobrú kvalitu.
Hypotézou Comae je, že zabudovanie nefunkčnej ransomvér funkčnosti je maskovaním skutočného účelu škodiť a pôvodcu. V takom prípade, keďže medzi obeťami boli viaceré významné významné firmy a inštitúcie z Ukrajiny, do úvahy pripadajú najmä útočníci objednaní inými štátmi a to samozrejme prirodzenými nepriateľmi Ukrajiny. Hoci táto hypotéza znie logicky, jednoznačne preukázaná zatiaľ nebola.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Odtlačky prstov
Od: čitateľ
|
Pridané:
28.6.2017 23:10
"Odtlačky prstov" ktoré tvorcovia zanechali vraj smerujú do Ruska. Dokonca aj na monitoroch.
|
| |
Re: Odtlačky prstov
Od: Neviem-
|
Pridané:
29.6.2017 0:27
U nás niekto zabúda splachovať na záchode. Tak nejak mi vychádza, že to bude asi Vladimír Putin.
|
| |
Re: Odtlačky prstov
Od: syntaxterrorXXX
|
Pridané:
29.6.2017 0:31
Ten nezabúda. Ten dáva možnosť robiť iným.
|
| |
Re: Odtlačky prstov
Od: :Pjetro de
|
Pridané:
29.6.2017 8:57
a hlavne si dava pozor a pouziva pisacie stroje so specialnymi paskami, papiermi a kopirakmi a ruske cpu
ziadny kyber-priestor pre iste druhy informacii/rozkazov, ziadne tlaciarne s bodkami a tajnymi kodmi zapadnych korporacii
fuj
|
| |
Re: Odtlačky prstov
Od: genocik
|
Pridané:
30.6.2017 21:30
putin je pan, uz aby prisli k nam ako v 68
|
| |
Re: Odtlačky prstov
Od: ielsls
|
Pridané:
29.6.2017 8:50
Pan Putin nezabuda splachovat, lebo na zachod nechodi. Pan Putin je nadclovek a nepotrebuje ani cikat ani kakat.
|
| |
Re: Odtlačky prstov
Od: Emeric
|
Pridané:
30.6.2017 9:44
To o sebe tvrdí Kim Čong Un :)
Minule som čítal, že to o ňom rozširuje ich štátna tlačová agentúra. Možno by som aj našiel link na ten článok.
|
| |
Re: Odtlačky prstov
Od: G vývod
|
Pridané:
29.6.2017 17:59
Ruské zlodejské prasatá na čele s putinom pravdepodobne skutočne môžu za oveľa viac vecí, ako je priemerný kokotko ako si ty ochotný pripustiť.
|
| |
Re: Odtlačky prstov
Od: MuadDib
|
Pridané:
6.7.2017 20:46
Americké vrahúnske svine na čele s Trumpom môžu za viac vecí, než je priemerný kokotko, ako si ty, schopný pochopiť.
|
| |
Re: Odtlačky prstov
Od: Karpathian
|
Pridané:
30.6.2017 10:49
Len preto, že si z toho robíš srandu ešte neznamená že to tak nie je.
|
| |
iba a len pre xp aebo vac
Od: stream
|
Pridané:
28.6.2017 23:17
toto je zas problem len a iba u win xp alebo u vsetkych win vratane aktualizovanych 10?
nide nepisu na jaky win to utoci nide!
takze asi nido! nevi! nic!
mozno ani nido nece nic vedet
tosealedopally.
ze nido nevi nic.
|
| |
Re: iba a len pre xp aebo vac
Od: stream
|
Pridané:
28.6.2017 23:26
vyzera to tak ze nido toho moc vela nevi
The precise affected versions of Windows aren't yet known, but we're told Windows 10's Credentials Guard spots NotPetya's password extraction from memory.
Creating the read-only file C:\Windows\perfc.dat on your computer prevents the file-scrambling part of NotPetya running, but doesn't stop it spreading on the network. Note, the software is designed to spread internally for less than an hour and then kicks in; it doesn't attempt to spread externally across the internet like WannaCry did.
|
| |
HACKERMAN
Od: lal
|
Pridané:
29.6.2017 5:29
Russians did this. Vlad himself gave the order. We ww3 nao!
|
| |
Meniny
Od reg.: cylonsvk
|
Pridané:
29.6.2017 7:23
Všetko najlepšie Petrom, Petram, Petyam, NotPetyam a podobne!
|
| |
Re: Meniny
Od: :Pjetro de
|
Pridané:
29.6.2017 8:59
ze dakujeme
|
| |
prosba o info
Od: spravcanetu
|
Pridané:
29.6.2017 7:25
Chcem sa opytat,to zasifruje vsetky hdd v pc,ci len systemove Cčko? Ak mam nejaky hdd externy na zalohu,moze mi to zasifrovat,aj ked ho len pripojim k pc....
|
| |
Re: prosba o info
Od: trotlolo
|
Pridané:
29.6.2017 7:38
Fuuu, ťažko povedať. Najlepšiu odpoveď získaš keď to vyskúšaš a uvidíš no
|
| |
Re: prosba o info
Od: Zlosyn
|
Pridané:
29.6.2017 8:11
rada nad zlato :D
|
| |
Re: prosba o info
Od: jgjkgfkg
|
Pridané:
29.6.2017 9:01
ale však nemusí pripojiť disk s nejakými echt dátami, stačí s pár súbormi so zaujímavými príponami a uvidí...
|
| |
Re: prosba o info
Od: NiePeter
|
Pridané:
29.6.2017 9:22
Ano.
|
| |
Re: prosba o info
Od: Kamikaze1
|
Pridané:
3.7.2017 9:37
Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu.
|
| |
Re: prosba o info
Od: Kamikaze1
|
Pridané:
3.7.2017 12:16
Obycajne ransomware cryptuje vsetko kde ma dosah. Ak mas pripojenu sietovu jednotku a je bez hesla resp OS si heslo pamata zacryptuje aj tu.
|
| |
sifrovanie
Od: +-/
|
Pridané:
29.6.2017 7:47
Mna by zaujimalo, kedy a ci vobec uz prisiel niekto s tym, ze sa sifruje aj odsah pripojenych sietovych diskov, pripadne vsetkych sietovych zdielani uchovanych v quick access.
|
| |
kryptovanie HDD
Od: tac tac
|
Pridané:
29.6.2017 8:18
No dobre, ale teraz akoze pre laikov pls: Akoze sa voci tomuto branit pls? Ked sa siri cez SMB, emailom, USB vzdialenou spravou atd?
|
| |
Re: kryptovanie HDD
Od: baffiak
|
Pridané:
29.6.2017 8:21
zalohovanim
|
| |
Re: kryptovanie HDD
Od: Anal Fabet
|
Pridané:
29.6.2017 8:53
Nainstalovat patche, pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive) na ukladanie dokumentov,
docasne nainstalovat funkcny antivirus a pockat kym to prehrmi...
|
| |
Re: kryptovanie HDD
Od: sensei-san
|
Pridané:
29.6.2017 9:49
> pouzivat storage pripojeny cez HTTPS (Dropbox, OneDrive, Google Drive)
... nech zašifruje aj tie.
Čo tak:
btrfs subvolume snapshot -r /home /home/backup
?
|
| |
Re: kryptovanie HDD
Od: Anal Fabet
|
Pridané:
29.6.2017 10:22
Virus sifruje len disky, nie uloziska dostupne cez HTTPS.
To znamena, nepouzivat Google Drive app, OneDrive sync a Dropboxx app, ale ich browsrove alternativy.
Uploadovat a downloadovat subory drag'n'drop cez prehliadac.
|
| |
Re: kryptovanie HDD
Od: Kolotocar
|
Pridané:
29.6.2017 9:52
A preco myslis, ze HTTPS tam spravi nejaku zmenu? Prides aj o tie data.
3 disky, rsync, 1 disk nechat v praci, zobrat domov raz za 3 mesiace a spravit zalohu. na 2. disk robit zalohu kazdy den.
Spinave cloudy nikto nepotrebuje.
|
| |
Re: kryptovanie HDD
Od: Anal Fabet
|
Pridané:
29.6.2017 10:32
Cloudy potrebujes.
Ak by som mal zalohovat vsetko co mam doma, tak ma to vyjde na zopar tisic (2x 5TB disky do raidu [jeden stoji 280 eur], nejaky NAS alebo maly server - najlepsie s maintenance keby zhorel alebo zlyhal, klimatizovanie, licencia na zalohovaci SW co vie diferencialne a inkrementalne zalohy, stale to kontrolovat a aktualizovat).
Takto platim 22EUR mesacne za 5 TB storage so snapshotmi pristupny cez FTP, FTPS, SFTP, SCP, SMB, HTTPS, WebDAV so supportom, redundantne a pristupne odkialkovek.
|
| |
Re: kryptovanie HDD
Od: Fabet Anal
|
Pridané:
29.6.2017 21:05
A načo ti je 5TB porna? haä ?
|
| |
Re: kryptovanie HDD
Od: Anal FAbet
|
Pridané:
30.6.2017 8:28
Zalohy instalacnych medii, rodinna zbieka forografii a videi z dovoleniek a oslav, zalohy dokumentov (scan vo vsokom rozliseni), zbierka MP3, ktore z nejakych dovodov odstranili zo Spotify (licencne nezhody), atd.
|
| |
Re: kryptovanie HDD
Od: MuadDib
|
Pridané:
6.7.2017 21:41
5TB prenosný pevník (pevný kotúč; cudzím slovom: pevný disk) s pripojením cez USB 3.0 za 120 € s DPH, 100 € bez DPH.
A máš údaje u seba. A po roku na tom už ušetríš.
Takto platíš 22 € mesačne na to, aby si údaje niekam cez 1/2 zemegule tlačil a stamodtiaľ ich aj ťahal. Keď Amíci naserú Rusov, tak tí preseknú podmorské údajové vodiče a budeš mať svoje údaje aj so snímkami v prdeli, ale nie svojej, lež nejakej americkej na opačnom konci zemegule.
A neželám ti, aby si zistil, že o údaje môžeš prísť aj v mračne. Ako zákazníci Megauploadu, napríklad.
|
| |
Re: kryptovanie HDD
Od: .vždy
|
Pridané:
29.6.2017 18:29
Tvoj kokot je špinavý, ty pojebaný paranoik.
|
| |
Re: kryptovanie HDD
Od: kekeket
|
Pridané:
29.6.2017 22:41
Mať svoje vlastné data v cloude to je ako chodiť v parlamente s holým kokotom. Istá úroveň exhibiticionizmu.
|
| |
Mindfuck
Od reg.: Morte
|
Pridané:
29.6.2017 8:50
Co ak maju vsetky spolocnosti pravdu a existuju 3 verzie a kazda je ina?
|
| |
Re: Mindfuck
Od: Anal Fabet
|
Pridané:
29.6.2017 8:51
#mindblown
|
| |
Re: Mindfuck
Od: Menovec
|
Pridané:
29.6.2017 9:26
Mrknite aj sem:
https://lnk.sk/oTX2
|
| |
Re: Mindfuck
Od: kekeket
|
Pridané:
29.6.2017 9:32
Môže byť a podla mna tieto vírusy distribuuje Microsoft. Ako ďalší kontroverzný krok ako donútiť všetkých užívateľov prejsť na aktualizovaný Windows 10.
|
| |
Kto neskace, ten je Moskal. Hop, hop, hop.
Od: Kolotocar
|
Pridané:
29.6.2017 10:13
Preco mam taky pocit, ze v skutocnosti to spravili Ukrajinci, aby napadli ruske servery, ale kedze Ukrajinci su od prevratu len masa hlupakov (vsetci ostatni z tej skrachovanej krajiny uz davno utiekli), tak nie ze nakazili Rusov, ale sami seba?
|
| |
Re: Kto neskace, ten je Moskal. Hop, hop, hop.
Od: Yorick_
|
Pridané:
29.6.2017 11:26
Taký pocit máš preto, lebo ťa ostriekali chemitrails.
|
| |
Re: Kto neskace, ten je Moskal. Hop, hop, hop.
Od: tenodtal
|
Pridané:
29.6.2017 12:34
S dorazom na to ostriekali..
dorazny doraz atd.
|
| |
Vela nezarobil
Od: No Name
|
Pridané:
29.6.2017 10:36
Nejako im neprislo vela bubakov:
https://blockchain.info/ address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
|
| |
ehewhet
Od: grwegh
|
Pridané:
29.6.2017 11:05
microsoft nevie pocitat, preto hovori o 800b kluci :) na screenshote maju dlzku N-ka 0x100 = 256bytov = 2048bitov. Oni to akoby ocitali od zaciatku v desiatkovej sustave
|
| |
.....
Od: G vývod
|
Pridané:
29.6.2017 17:20
Mne to teda logické nepripadá. Aký by bol význam takého maskovania, ktoré je možné odhaliť za pár dní? Aký by bol motív maskovania vôbec? A ak by už muselo byť maskovania maskovanie, prečo by to neurobili funkčné, veď to by bolo to najmenej.
|
| |
Prvotná GPT
Od: MuadDib
|
Pridané:
6.7.2017 21:44
V tej oblasti sa nachádza prvotná GPT.
Nie je tam prázdno.
|
neprihlásený 
