Potvrdené, tvorcovia NotPetya nemajú záujem odšifrovať dáta užívateľov

Značky: bezpečnosťransomvérWindows

DSL.sk, 29.6.2017

Podľa nových pomerne presvedčivých technických dôkazov ruskej antivírusovej spoločnosti Kaspersky Lab tvorcovia škodlivého kódu NotPetya vedome nemali žiadny záujem umožniť užívateľom odšifrovať ich dáta.

Kaspersky Lab už včera stručne avizovala, že tzv. inštalačný kľúč zobrazovaný užívateľovi s cieľom jeho zaslania tvorcom vírusu neumožňuje z neho vygenerovať kľúč potrebný na dešifrovanie užívateľových dát zašifrovaných týmto vírusom. Upozornili sme na to vo včerajšom článku.

Informácia Kaspersky Lab bola stručná bez technických detailov a spoločnosť z nej nerobila vážne závery, označila to iba za dôvod neplatiť výkupné.

Iba na základe takejto informácie prichádzalo do úvahy niekoľko možných scenárov, napríklad možná programátorská chyba. Hoci škodlivý kód je podľa viacerých indicií a expertov kvalitný.

Obrazovka zobrazovaná NotPetya po reštarte s tzv. inštalačným kľúčom, kliknite pre zväčšenie (screenshot: Kaspersky Lab)

Spolu s ďalšími dvomi informáciami to ale vyzeralo, že tvorcom skutočne nemuselo ísť o výkupné a nemali záujem dáta odšifrovať, ako sme upozornili.

Následne Kaspersky Lab ale v noci na dnes zverejnila aj detailnú analýzu preukazujúcu vedomé konanie tvorcov. Inštalačný kľúč dlhý 60 znakov v BASE58 kódovaní je totiž v skutočnosti v kóde vygenerovaný ako reťazec náhodných dát. Ak tak infikovaný systém sám neodoslal tvorcom iné informácie a šifrovacia schéma je bezpečná, ani teoreticky neumožňuje vygenerovanie dešifrovacieho kľúča.

Kód použitý na generovanie inštalačného kľúča (obrázok: Kaspersky Lab)

Kaspersky Lab na základe tejto analýzy už avizuje, že podľa nej NotPetya v skutočnosti nevyzerá ako ransomvér s cieľom získať výkupné ale ako kód s cieľom vymazať dáta za ransomvér sa iba vydávajúci.

Či je inak šifrovacia schéma v poriadku, dáta sú teoreticky odšifrovateľné a na disku sa nachádzajú potrebné dáta umožňujúce ich odšifrovať napríklad pri získaní privátneho RSA kľúča tvorcov autoritami v oznámení Kaspersky Lab neuvádza.




Najnovšie články:



Diskusia:

tu bude titulok a hotovo... Od: Aladin Fik | Pridané: 29.6.2017 10:47 a je to tak spravne... Odpovedať Známka: 1.0 Hodnotiť:

Re: tu bude titulok a hotovo... Od: sakoasOAPk | Pridané: 29.6.2017 11:58 Suhlasim, tak im treba ked pouzivaju Windows a este aj nie su schopni si ho aktualizovat a zabezpecit. Odpovedať Známka: -3.7 Hodnotiť:

Re: tu bude titulok a hotovo... Od: PCnitydsgvs | Pridané: 29.6.2017 14:02 Tak tak. Aj ked som presvedceny ze su aj wormable bugy na GNU/Linux a ze by nebol vacsi problem spravit veeelmi skaredy ransomware... Aktualizacie a zalohy su zaklad. Odpovedať Známka: -2.7 Hodnotiť:

Re: tu bude titulok a hotovo... Od: xyz. | Pridané: 29.6.2017 14:06 Veď iste, prečo nevystriedať Windows za Linux a prispieť pre zmenu autorom ransomvéru Erebus, veď aj oni za svoju odvedenú prácu chcú peniaze... Odpovedať Známka: 4.3 Hodnotiť:

qui bono? Od: lal | Pridané: 29.6.2017 10:51 ja len cakam komu to hodia na triko a potom sa mozem dalej zamyslat koho agende (a ci vobec nejakej) sa ten neransomware hodi do karat.. Odpovedať Známka: 8.9 Hodnotiť:

Re: qui bono? Od: a718726 | Pridané: 29.6.2017 11:54 cloudu Odpovedať Známka: 10.0 Hodnotiť:

Re: qui bono? Od: dj_v | Pridané: 29.6.2017 12:02 ako každý kybernetický útok sa to hodí na Putina. Samozrejme na základe toho, že červ riadil prevažne na Ukrajine. Ja koketujem s myšlienkou, že to patri pod MS, lebo chce mať všade win10 Odpovedať Známka: 0.3 Hodnotiť:

Re: qui bono? Od: Ferikuš1 | Pridané: 29.6.2017 12:31 čerf "riadil" ??? si blbý nebo cóó? napíš "řádil" a nie kktinu Odpovedať Známka: -2.3 Hodnotiť:

Re: qui bono? Od: marvin | Pridané: 29.6.2017 13:13 Alebo pekne po slovensky - vyvádzal Odpovedať Známka: 10.0 Hodnotiť:

Re: qui bono? Od: čitateľ | Pridané: 29.6.2017 19:46 Alebo vystrájal. Nezbedný červík. Odpovedať Známka: 10.0 Hodnotiť:

Napísal to správne Od: MuadDib | Pridané: 6.7.2017 21:14 Napísal to správne: Putin riadil červa na Ukrajine. Robí sa to takto: https://www.youtube.com/watch?v=ld2DMsyy0go Odpovedať Hodnotiť:

Re: qui bono? Od: grr. | Pridané: 29.6.2017 14:52 Ale prosím vás, pripisujete Putinovi väčšiu moc než aká je v ľudských silách jedného muža, aj keď je to taký mocný muž ako Putin. Samozrejme že za tým nemôže byť Putin! A preto sú za tým jeho ľudia ktorí už konajú samostatne v súlade s jeho vôľou. Odpovedať Známka: -3.3 Hodnotiť:

Re: qui bono? Od: Kekeke | Pridané: 29.6.2017 19:48 presne tak, moze za to Soros Odpovedať Známka: 8.2 Hodnotiť:

Re: qui bono? Od: dj_v | Pridané: 30.6.2017 7:34 ty grco, ja som tlmocil to co napisu media (t.j. propagandu) a nie to ako to je... Odpovedať Hodnotiť:

..... Od: 7899655546978 | Pridané: 29.6.2017 10:51 Čiže za tým stojí nejaká armáda/vláda. Mafii ide vždy len o peniaze. Odpovedať Známka: 9.0 Hodnotiť:

Re: ..... Od: ____ | Pridané: 29.6.2017 18:24 a tymto ludom snad nejde len o peniaze? co maju z toho, ze zasifruju niekomu data a ani nevedia Odpovedať Hodnotiť:

Re: ..... Od: 65432122 | Pridané: 30.6.2017 15:12 článok si nečítal? Odpovedať Hodnotiť:

Ruski haxori Od: Kolotocar | Pridané: 29.6.2017 10:56 Zas to ti ruski hackeri spravili. Vcera sa mi vybil mobil. Putin to uz trochu prehana. Odpovedať Známka: 4.3 Hodnotiť:

Re: Ruski haxori Od: Iluminat | Pridané: 29.6.2017 11:24 Nemáš pravdu, za tvoj mobil môžu žido-bolševicko-fašisticko- kapitalistický-ilumináti ktorý vytvorili celosvetové spiknutie s cieľom zničiť tvoj mobil. Odpovedať Známka: 4.3 Hodnotiť:

Re: Ruski haxori Od: quix_ | Pridané: 29.6.2017 11:34 ktoríííí ,kurva ktorííí nie ktorý Odpovedať Známka: 7.2 Hodnotiť:

Re: Ruski haxori Od: dj_v | Pridané: 29.6.2017 12:04 neboj, kolotocar ho pouci o slovencine. O 45kg a nagelovanych vlaskoch, o iphonikoch a macbucikoch.... Odpovedať Známka: -5.0 Hodnotiť:

ransomware Od: nomi | Pridané: 29.6.2017 11:18 kde je Elliot Alderson ked ho najviac potrebujeme Odpovedať Známka: 10.0 Hodnotiť:

Re: ransomware Od: Adolf Kernel | Pridané: 29.6.2017 11:53 sedí doma a štrikuje :D Odpovedať Známka: 4.3 Hodnotiť:

Re: ransomware Od: sam sepiol | Pridané: 29.6.2017 18:25 caka do oktobra na tretiu seriu mr. robot Odpovedať Známka: 10.0 Hodnotiť:

To som tvrdil v diskusii uz vcera Od: jahodnik12 | Pridané: 29.6.2017 11:24 To som tvrdil v diskusii uz vcera, a ani nepotrebujem vyjadrenie Kasperskeho, len ma tu z diskutujucich nikto nepocuval. Nezabudajte ludia ze tu najdete lepsich experov na vazne technicke problemy ako kdekolvek inde. Odpovedať Známka: 7.6 Hodnotiť:

Pokus a neomyl Od: Menovec | Pridané: 29.6.2017 11:53 Napríklad si svoje pracovné súbory premenovať na príponu .txt alebo dať všetky ohrozené súbory bez prípon. Som zvedavý, kedy so šifrátorom začnú do nich nakúkať, keď to nie sú schopné robiť aplikácie za uplynulých 25 rokov!!! Odpovedať Známka: 5.0 Hodnotiť:

Re: Pokus a neomyl Od: jahodnik12 | Pridané: 29.6.2017 11:55 A poznas nieco ako MIME? Napriklad na MACu je pripona nepodstatna a aj tak to otvori alebo ukaze spravne preview. Odpovedať Známka: -1.4 Hodnotiť:

Re: Pokus a neomyl Od: Lathander | Pridané: 29.6.2017 11:56 Tak isto v Linuxe. Odpovedať Známka: 7.5 Hodnotiť:

Re: Pokus a neomyl Od: Adolf Kernel | Pridané: 29.6.2017 12:03 tak isto aj v MS-DOSe... Odpovedať Známka: 1.1 Hodnotiť:

Re: Pokus a neomyl Od: rolh | Pridané: 29.6.2017 12:06 Aj v tom OS vyvinutom slovenskym timom co riadi vesmirnu kocku? Odpovedať Známka: 6.4 Hodnotiť:

Re: Pokus a neomyl Od: Adolf Kernel | Pridané: 29.6.2017 12:09 Zlovensko ma vesmírnu kočku ? Odpovedať Známka: 8.8 Hodnotiť:

Re: Pokus a neomyl Od: pismenkovy rozkosnik | Pridané: 29.6.2017 14:13 vesmirnu macku Odpovedať Známka: 5.0 Hodnotiť:

Re: Pokus a neumyl Od: syntaxterrorXXX | Pridané: 29.6.2017 14:50 Skor medvedicku. Tiez odbornicku. Odpovedať Známka: 6.0 Hodnotiť:

Re: Pokus a neomyl Od: reakcias | Pridané: 29.6.2017 13:24 jj to je ta kktina ze subor musis najprv otvorit aby si zistil obsah mime a aby si ho nasleedne mohol otvorit v tom v com sa to ma otvorit... Odpovedať Známka: 10.0 Hodnotiť:

Re: Pokus a neomyl Od: jasnejasne | Pridané: 29.6.2017 15:08 tak a teraz mi povedz, co s tym ma MIME Odpovedať Hodnotiť:

Re: To som tvrdil v diskusii uz vcera Od: Aladin Fik | Pridané: 29.6.2017 11:54 a ešte ich nájdete tu, tu a tu... Odpovedať Známka: 7.1 Hodnotiť:

gratulujem k nefunkcnemu odsifrovavaniu dat Od: Stentchik | Pridané: 29.6.2017 12:08 Na ostatnom mi nezáleží, ale čo moje savy k hrám za posledných 30 rokov, aj tie mi zašifruje? Odpovedať Známka: 10.0 Hodnotiť:

Re: gratulujem k nefunkcnemu odsifrovavaniu dat Od: jahodnik12 | Pridané: 29.6.2017 12:10 Ano Odpovedať Známka: 10.0 Hodnotiť:

Re: gratulujem k nefunkcnemu odsifrovavaniu dat Od: Ferikuš1 | Pridané: 29.6.2017 12:34 šedzgo do gloudu! Odpovedať Známka: 4.3 Hodnotiť:

Re: gratulujem k nefunkcnemu odsifrovavaniu dat Od reg.: Sheer Mirage | Pridané: 29.6.2017 15:13 30 rokov? To čo máš sejvnuté? Ping-pong, či hadíka? Odpovedať Známka: 3.3 Hodnotiť:

Re: gratulujem k nefunkcnemu odsifrovavaniu dat Od: Darwin | Pridané: 29.6.2017 15:33 My sme pred 30timi rokmi hrali pong. Dedko doniesol súčiastky zo západného Nemecka a ako jeden z prvých zostrojil na Slovensku hernú konzolu Odpovedať Známka: 10.0 Hodnotiť:

Ujoviny Od: Menovec | Pridané: 30.6.2017 7:05 Neviem čo je pong, ale primitívne obvody pre televízne hry typu AY-3-8500 nebolo treba voziť z Nemecka. Odpovedať Hodnotiť:

kvety Od: lololol | Pridané: 29.6.2017 13:08 co NotPetya, ale kto mi odsifruje RAR dokument, ktory som si este v skole pred 10 rokmi zahesloval a uspesne na heslo zabudol :D Odpovedať Známka: 10.0 Hodnotiť:

RE: kvety Od: Mxxl | Pridané: 29.6.2017 13:44 nie je nič jednoduhšie ako odšifrovať rar súbor Odpovedať Známka: -6.4 Hodnotiť:

Re: RE: kvety Od: lololol | Pridané: 29.6.2017 17:28 Ty si iny frajer. Urcite je to prisne tajne a neprezradis to :) Odpovedať Známka: 6.9 Hodnotiť:

Re: kvety Od: Erik_B | Pridané: 29.6.2017 13:59 Ak tam mas nejake super foto spolužiačky, určite ti s tým niekto rád pomôže. Odpovedať Známka: 9.0 Hodnotiť:

takze jasne Od: sdfgsda | Pridané: 29.6.2017 14:36 niekoho uz strasne srala ta odporna cokolada. druha moznost uz len ze si dakto potreboval upratat uctovnictvo a chcel byt nenapadny. Odpovedať Známka: 8.0 Hodnotiť:

Re: takze jasne Od: Kontrolko | Pridané: 29.6.2017 19:52 no mam pre teba smutnu spravu, uctovnictvo si povinny mat aj v papierovej forme a ked sa ti take nieco stane , musis si to do kompu do urcitej doby dohadzat z tych papierov :( Kamaratovi sa to stalo takze viem ze na Slovensku to tak je. Odpovedať Hodnotiť:

ako?? no ako?? Od: obivous | Pridané: 29.6.2017 17:48 ako ziskali zdrojovy kod? je niekde zverejneny? nevyznam sa v tom, ale so myslel, ze po kompilacii nie je mozne ziskat povodny zdrojak, este aj s peknymi nazvami premennych Odpovedať Známka: 0.0 Hodnotiť:

Re: ako?? no ako?? Od: rolh | Pridané: 29.6.2017 18:47 Reverse engineering ti nic nehovori? Z asembleru to prelozili do pseudo jazyka koli porozumeniu Odpovedať Známka: 10.0 Hodnotiť:

Re: ako?? no ako?? Od: Rura | Pridané: 30.6.2017 0:09 Takzvane disassemblovanie s porozumenim... :) Odpovedať Známka: 10.0 Hodnotiť:

win10 Od: win10meh | Pridané: 29.6.2017 21:27 Win 10 sa uz nepredava, treba zatlacit... Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár