Kauza škodlivého kódu typu ransomvér NotPetya, ktorý minulý týždeň infikoval mnohé firmy na Ukrajine ale aj mimo nej a zašifroval dáta na počítačoch s Windows, nabrala v stredu ďalší vývoj.
Evidentne tvorcovia NotPetya respektíve osoby s prístupom k ich dátam ponúkli na predaj privátny RSA kľúč, ktorého verejná časť bola použitá pri šifrovaní súborov.
Spravili tak v tejto výzve na Pastebin, kde prezentovali aj digitálny podpis. Či kľúč, ktorým uskutočnili daný podpis skutočne zodpovedá RSA kľúču použitému ransomvérom, overujeme.
V každom prípade tieto osoby pre Motherboard odšifrovali súbor zašifrovaný NotPetya a prístup k použitému privátnemu kľúču evidentne majú.
O použitom šifrovaní v NotPetya prichádzali od antivírusových spoločností analyzujúcich kód rozporuplné informácie. Podľa ústálených informácií NotPetya ale jednak zrejme vždy zašifruje súbory užívateľa viacerých desiatok typov pomocou šifrovacieho algoritmus AES-128, pričom pre všetky súbory na danom PC použije jeden kľúč a ten uloží na disk v súbore README.TXT zašifrovaný verejným 2048-bitovým RSA kľúčom prítomným v ransomvéri.
Obrazovka zobrazovaná NotPetya po reštarte s tzv. inštalačným kľúčom, kliknite pre zväčšenie (screenshot: Kaspersky Lab)
Príslušný privátny RSA kľúč tak umožňuje získať použitý AES kľúč na infikovaných PC a súbory odšifrovať, ak to nekomplikujú ďalšie okolnosti.
V šifrovaní je ale prítomná chyba pri šifrovaní súborov dlhších ako 1 MB, pre ktorú je ich odšifrovanie výrazne komplikovanejšie a pre úspešné odšifrovanie musí byť zrejme známe poradie v akom sa súbory šifrovali. V akých prípadoch to je a nie je možné nie je jasné.
Zároveň ale ak mal NotPetya na počítači administrátorské oprávnenia, nahradil zavádzací záznam MBR, reštartoval Windows a po reštarte zašifroval MFT, Master File Table, systémového disku so súborovým systémom NTFS. Aká šifrovacia schéma je použitá v tomto prípade, či sú na disku uložené potrebné informácie a či je možné MFT odšifrovať nie je jasné. Ako totiž zistila antivírusová spoločnosť Kaspersky Lab už minulý týždeň, zobrazovaný inštalačný kľúč na základe ktorého mali obete získať dešifrovací kľúč je generovaný náhodne a neumožnil poskytnúť dešifrovací kľúč pre akúkoľvek bezpečnú šifrovaciu schému.
V MFT sú ale uložené všetky metadáta súborov vrátane umiestnenia ich blokov na disku, v prípade veľmi malých súborov je tu dokonca priamo ich obsah. Ak nie je možné odšifrovať MFT, rekonštrukcia pôvodných súborov na systémovom disku aj pri znalosti privátneho RSA kľúča bude veľmi komplikovaná ak nie vždy automaticky možná.
Do takejto fázy sa pritom zrejme dostala veľká časť infikovaných počítačov, keď obete často hovoria a fotografie dokumentujú počítače s čiernymi obrazovkami a červeným textom, teda v stave už po reštarte Windows so zašifrovaným MFT.
Do akej miery týmto obetiam pomôže privátny RSA kľúč je v súčasnosti vzhľadom na vyššie informácie otázne.
Pri pôvodnom útoku získali aj pre upozornenia, že zaplatenie výkupného nepovedie k obnove dát, tvorcovia od obetí len niekoľko Bitcoinov. Svoj RSA kľúč ponúkajú teraz za 100 Bitcoinov, v prepočte cca 260 tisíc dolárov. Či ho napríklad niektorá antivírusová spoločnosť už kúpila nie je zatiaľ známe.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
Nepochopiteľné
Od: Menovec
|
Pridané:
6.7.2017 11:01
Je také ťažké takýchto zločincov vypátrať?
Keď našli Ládina, nájdu aj tieto prašiny!
|
| |
Re: Nepochopiteľné
Od reg.: mika_
|
Pridané:
6.7.2017 11:06
ty uz sa preber prosim ta
|
| |
sa naučíš
Od: cha cha
|
Pridané:
6.7.2017 15:08
Zálohovať, zálohy, záloh.
Pracovné Pc s originálnym obsahom jedine offline.
Človek sa učí na vlastných chybách.
Myslím že na Ukrajine nebude žiadny problém, keď zmizne niekomu účtovníctvo.
|
| |
Re: Nepochopiteľné
Od: Menovec
|
Pridané:
7.7.2017 7:53
Tak inak šumienok.
Ako je možné, že beztrestne páchajú čoraz väčšie zločiny?
A to mám uveriť tomu, že vo svete Internetu niečo nejde vypátrať???
|
| |
Re: Nepochopiteľné
Od: hmm.
|
Pridané:
6.7.2017 11:54
Myslíš toho starého muža ktorý zomrel kvôli smrteľnej chorobe ešte skôr než ho údajne zastrelili Americkí vojaci v prestrelke v jeho údajnom úkryte v Pakistane?
|
| |
Re: Nepochopiteľné
Od: G vývod
|
Pridané:
6.7.2017 12:01
Ty budeš nejaký pojebaný expert, keď máš takéto insider info. Škoda ťa tu.
|
| |
Re: Nepochopiteľné
Od: hmm.
|
Pridané:
6.7.2017 13:01
Človek by povedal že toto už dnes patrí medzi verejne známe fakty. Rovnako tak to, že zbraňe hromadného ničenia ktoré mal údajne Saddám Husajn v Iraku a kvôli ktorým USA zaútočilo na Irak sa v skutočnosti nikdy nenašli a keď s tým ľudia neskôr konfrontovali vtedajšieho prezidenta Busha, že kde teda tie zbrane sú ak sa naozaj našli, tak pri rečníckom pultíku s úsmevom prehlásil, že ich má ukryté pod pultom. Mimochodom, ten človek doteraz nesedí v base. Možno mal skôr byť umiestnený na psychiatriu ak nie rovno do väzenia, v každom prípade nemal sedieť na prezidentskej stoličke, ale to už je tragédia a prekliatie USA ktoré tak nejak vždy presiaknu do zvyšku sveta a tá pliaga potom spôsobuje celosvetové problémy.
|
| |
Re: Nepochopiteľné
Od: cbhgsdhn
|
Pridané:
6.7.2017 13:20
co ma Digitalny Svet pod Lupou spolocne s politikou na blizkom vychode, ale ked nedas kiez by zrovnali zo zemou aj asada, ktory je zodpovedny za smrt 350 000 tisic ludi aj bez usa
|
| |
radšej Maďar ako Rus
Od: milujem NATO
|
Pridané:
6.7.2017 15:00
Škoda že nás v 45. neoslobodili americký imperialisti ale ruské svine, banda primitívnych nekultúrnych zlodejov.
Najviac mi je ľúto Ukrajiny, držím im palce.
|
| |
Re: radšej Maďar ako Rus
Od: xxxxxs
|
Pridané:
6.7.2017 15:05
ked posudis ze v usa vysudis aj nemozne a v rusku nevysudis ani prrd, tak radsej zivot v systeme v ktorom sa aj niecoho domozes
|
| |
Re: radšej Maďar ako Rus
Od: cha cha
|
Pridané:
6.7.2017 15:19
Lenže v USA je minimum mongolov a kocovnikov.
|
| |
Re: radšej Maďar ako Rus
Od: IntelHQ
|
Pridané:
6.7.2017 20:57
V US si nikdy nebol, ze? Odporucam FL a CA.
|
| |
Re: radšej Maďar ako Rus
Od: fuj rusko
|
Pridané:
6.7.2017 21:07
Ale bol som v rusku.
|
| |
Re: radšej Maďar ako Rus
Od: IntelHQ
|
Pridané:
6.7.2017 21:18
Ako potom vies, ze v US je menej "kocovnikov" a "mongolov"? Navyse, co je take zle na kocovnikoch a mongoloch? Nezapada to do tvojho videnia blondatych modrookych Starych Slovakov ako vladcov Atlantidy?
Ako povedal nedavno zosnuly Abraham Lincoln pre portal Vice.com, "Grass is always greener on the other side."
|
| |
Re: radšej Maďar ako Rus
Od: fuj rusko
|
Pridané:
6.7.2017 21:53
Nič tiež budem na dôchodku kočovať.
Rusi niesu Slovania, sú to Mongoli a tatári.
A neznášam vymyslený nacionalizmus niečoho čo národ ani nieje.
|
| |
Re: radšej Maďar ako Rus
Od: _Anonym
|
Pridané:
6.7.2017 16:05
Ty idiot, radšej budem žit v slobode než ako otrok pre kolonizátorov z USA a EÚ, pre anglosasov sú slovania nič, to si zapamätaj.
|
| |
Re: radšej Maďar ako Rus
Od: radšej Maďar ako Rus
|
Pridané:
6.7.2017 20:40
Ja chcem tiež žiť v slobode, tak ma láskavo neobťažuj jednobunkovou propagandou z ruska, doplnenou o primitívne vulgarizmy.
|
| |
Re: radšej Maďar ako Rus
Od: za 300EUR
|
Pridané:
6.7.2017 21:10
Mal by si dať vymeniť výfuk.
|
| |
Re: radšej Maďar ako Rus
Od: hmmmmmmm
|
Pridané:
6.7.2017 15:05
Keby mala Ukrajina normálnych susedov bola by to fajn krajina, kde by sa veľmi dobre žilo. Úrodná zem, krajina bohatá na prírodné suroviny. Až na tých tatarov a mongolov čo majú na východe.
|
| |
Re: radšej Maďar ako Rus
Od: xxxxxs
|
Pridané:
6.7.2017 15:08
pre slovenskeho podnikatela je silna ekonomicky zdatna ukrajina v eu lepsi kseft, bo ma 40 milionovy trh, v rusku za tebou pride slusne mafia a oznami ti slusne ze preberaju tvoj podnik a ty mas proste smolu ze si drel cely zivot
|
| |
Re: radšej Maďar ako Rus
Od: hnusni Rusi k
|
Pridané:
6.7.2017 15:12
Však partizánska tradícia.
Vyžrať gazdovstvo zabyť gazdu.
|
| |
Re: radšej Maďar ako Rus
Od reg.: Iguso
|
Pridané:
6.7.2017 15:45
si zabYeu brácho
|
| |
Re: radšej Maďar ako Rus
Od: jaaaaaaaaaaj
|
Pridané:
6.7.2017 18:41
No ako oné - si myslíš, že na Ukrajine je menšia mafia, než v Rusku?
|
| |
Re: radšej Maďar ako Rus
Od: vieeem
|
Pridané:
6.7.2017 20:37
Samozrejme, že ruska mafia je aj na ukrajine.
|
| |
Re: Nepochopiteľné
Od: elevation
|
Pridané:
6.7.2017 14:45
Zabudol si spomenúť aj ostatných pravdepodobných vrahov vyhýbajúcim sa spravodlivosti: Kima, Putina, Madura a i.
|
| |
Ne: pochopiteľné
Od: syntaxterrorXXX
|
Pridané:
6.7.2017 16:26
Ale aspon nenapisal nespravne Maduar!
|
| |
Re: Nepochopiteľné
Od: MuadDib
|
Pridané:
6.7.2017 20:22
Áno, stále sú nažive vrahovia, ktorí sa vyhýbajú spravodlivosti Kima, Putina, Madura, ale Kim, Putin, Maduro si tých vrahov raz nájdu a potrestajú ich!
|
| |
Re: Nepochopiteľné
Od: dj_v
|
Pridané:
7.7.2017 7:02
este si zabudol orbana ty trulo :D
|
| |
Re: Nepochopiteľné
Od: gvjmghm
|
Pridané:
6.7.2017 15:11
to ale bola vytáčka boha jeho bin ladina!
|
| |
Re: Nepochopiteľné
Od: JankaDSKA
|
Pridané:
8.7.2017 23:30
tu a tu
|
| |
Re: Nepochopiteľné
Od: 78999651577
|
Pridané:
6.7.2017 14:42
Pán bude pravdepodobne z tajných služieb. Len pozor na trest za vyzradenie tajných informácií verejnosti.
|
| |
Re: Nepochopiteľné
Od: syntaxterrorXXX
|
Pridané:
6.7.2017 11:56
To nebol Ládin, ale Recycle, čo našli.
|
| |
Re: Nepochopiteľné
Od: hdwes
|
Pridané:
6.7.2017 17:15
mazané , šifru zabaliť do šifry
|
| |
Re: Nepochopiteľné
Od: Zlosyn
|
Pridané:
7.7.2017 10:21
ťažko vypátrať zločinča, keď nevieš, ako vypatra.
|
| |
Install arch?
Od reg.: M.Miiicho
|
Pridané:
6.7.2017 11:09
Install Arch nebude?
|
| |
Re: Install arch?
Od: Nasr
|
Pridané:
6.7.2017 11:12
Ti co maju Arch tento clanok necitaju.
|
| |
Re: Install arch?
Od: rolh
|
Pridané:
6.7.2017 11:21
Ani ti co maju MAC, ich takato blbost nezaujima
|
| |
Re: Install arch?
Od: kekeket
|
Pridané:
6.7.2017 11:41
a co ti co maju windows na MACu?
|
| |
Re: Install arch?
Od: Re: Install arch?
|
Pridané:
6.7.2017 11:45
to neviem, ale tych co maju na Windowse MAC a pripojeny sietovy kabel by to zaujimat urcite mohlo
|
| |
Re: Install arch?
Od: H bhgjvhhi
|
Pridané:
6.7.2017 12:07
Tí maju Time Capsule zalohy...teda, ak to nesifruje aj tie
|
| |
Re: Install arch?
Od: mbiow
|
Pridané:
6.7.2017 17:16
a ty co maju MAK okno MAK
|
| |
Re: Install arch?
Od: JankaDSKA
|
Pridané:
8.7.2017 23:31
žerú mak
|
| |
Re: Install arch?
Od: tojejednozas
|
Pridané:
6.7.2017 11:59
Lebo maju problem s pripojenim na net?
|
| |
Re: Install arch?
Od: JankaDSKA
|
Pridané:
8.7.2017 23:31
a ešte gentoo
|
| |
Obnova dat
Od: Rur
|
Pridané:
6.7.2017 12:51
Ak je zmeneny MBR sektor kde su data o ulozenych suboroch napriklad formatovanim alebo len beznym mazanim suborov, je mozne pouzit program na obnovu fotiek napriklad z SD kariet, USB klucov a funguje to aj na diskoch. Bolo by mozne pouzit tento program ak by bol len zasifrovany MBR ako to pisu hore, ze ak mal ten ransomware admin. prava ?
|
| |
Re: Obnova dat
Od: reg.: Houston
|
Pridané:
6.7.2017 17:23
Citame s porozumenim.
1) v MBR sektore nie su informacie o ulozenych suboroch
2) Nikde sa nepise, ze bol zasifrovany MBR (sifruje MFT)
3) Virus zrejme len nahradi kod v MBR, informacie o rozdeleni disku ponechava, vsak vsetky subory aj MFT su zakodovane, takze nie je dovod informacie z MBR mazat.
|
| |
.....
Od: čorv
|
Pridané:
6.7.2017 15:22
1. naformátovať
2. obnoviť zo zálohy
3. tešiť sa
|
| |
deň pred si mal povedať
Od: deň pred si mal povedat
|
Pridané:
7.7.2017 14:05
:)
|
neprihlásený 
