neprihlásený
|
Piatok, 22. novembra 2024, dnes má meniny Cecília |
|
Autor ransomvéru Petya, nie NotPetya, zverejnil privátny kľúč
Značky:
ransomvérWindows
DSL.sk, 7.7.2017
|
|
Autor ransomvéru Petya, vystupujúci pod menom Janus, aktuálne zverejnil privátny kľúč umožňujúci odšifrovať dáta zašifrované týmto ransomvérom.
Zašifrovaný MFT
Ransomvér Petya sa vo viacerých verziách šíril najmä minulý rok. Do pozornosti sa znovu dostal minulý týždeň s masovým útokom ransomvéru NotPetya.
Petya má v skutočnosti dva hlavné komponenty, nazvané antivírusovými spoločnosťami na základe označenia tvorcami Petya a Mischa. Petya šifruje MFT, Master File Table, tabuľku súborového systému NTFS obsahujúce nevyhnutné metadáta pre prístup k súborovému systému, Mischa samotné súbory.
Ransomvér NotPetya vzhľadom na podobnosť s Petya viaceré antivírusové spoločnosti pôvodne považovali za novú verziu Petya. V skutočnosti NotPetya využíval len jeho komponent označený Petya na šifrovanie MFT, podľa viacerých expertov len binárne upravený, a vlastné komponenty pre šifrovanie súborov a šírenie. Keďže komponent Petya je len zrejme binárne upravený, Janus s väčšou pravdepodobnosťou nebude autorom NotPetya.
Janus teraz ale zverejnil privátny kľúč asymetrickej šifry ECIES využívajúcej eliptické krivky, ktorý je možné použiť na odšifrovanie kľúča použitého na šifrovanie MFT algoritmom Salsa20 u pôvodnych verzií Petya. Jeho zašifrovaná podoba je uložená na disku a zobrazovaná tiež vo výzve po nabootovaní systému infikovaného Petyou, pričom Kaspersky Lab potvrdil funkčnosť kľúča pre všetky verzie Petya.
Zverejnený kľúč umožnil vytvoriť generátor kľúčov, ktorý jednoducho po zadaní tzv. osobného kódu zobrazovaného na infikovanom počítači vygeneruje kľúč a ten po zadaní do Petya vedie k odšifrovaniu MFT.
Janus kľúč zverejnil síce zašifrovaný, ale s evidentným zámerom a výzvou pre konkrétnych expertov aby ho rozšifrovali. Expertovi Hasherezade z Malwarebytes sa to včera aj podarilo.
Pre obete NotPetya tento kľúč ale nič nerieši. NotPetya síce tiež šifruje MFT pomocou Salsa20, podľa skorších explicitných zistení Malwarebytes ale použitý kľúč nie je žiadnym spôsobom ani v zašifrovanej podobe uchovaný. Na základe týchto informácií aspoň na základe doterajších informácií pravdepodobne pre obete NotPetya nebude k dispozícii riešenie ako bez problémov obnoviť kompletný súborový systém, ak sa ich počítač dostal do tohto stavu. Keďže ale k dispozícii nie sú kompletné analýzy kompletného kódu, zostávajú otvorené teoretické možnosti a navyše samotné dáta aj zašifrovaných súborov môžu byť obnoviteľné. Rozumným odporúčaným opatrením je tak minimálne si urobiť kompletnú binárnu zálohu zašifrovaného disku.
Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné.
Zašifrované súbory
Pôvodný Petya mal pribalený aj spomínaný komponent Mischa, ktorý šifroval podobne ako iné ransomvéry samotné súbory na súborovej úrovni.
V prvých verziách ransomvér použil len jedno šifrovanie, ak dokázal získať administrátorské oprávnenia zašifroval MFT, inak súbory. V poslednej verzii označovanej Goldeneye uskutočnil obe šifrovania.
Či sa v niektorých verziách Mischa používa rovnaký kľúč ako pre komponent Petya, ak nie prečo nezverejnil Janus aj kľúč pre Mischa respektíve akú šifrovaciu schému využívali všetky verzie Mischa nie je jasné.
V prípade NotPetya autori ponúkli vydanie ich privátneho RSA kľúča použiteľného na odšifrovanie kľúča, ktorým sú zašifrované samotné súbory. Na rozdiel od Janusa ale zaň požadujú 100 Bitcoinov, ako sme upozornili v tomto článku.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
virus je zly
Od: resear
|
Pridané:
7.7.2017 16:49
Konecne. Mam vsetky subory spat
|
|
Bravo
Od reg.: saruman
|
Pridané:
7.7.2017 16:55
Asi sa hokejový brankár Janus mimo sezóny nudí.
|
|
not not not petya
Od: gorgor
|
Pridané:
7.7.2017 17:13
autor PETYA, NOT NOTPETYA, not not NOTpetya, but still Petya :D
|
|
Petya vs NotPetya
Od: hmm.
|
Pridané:
7.7.2017 17:39
"Prečo Janus zverejnil kľúč práve teraz vzhľadom na stav šifrovania MFT v NotPetya nie je jasné."
Nechcel byť spájaný s tým druhým.
|
|
Heheh
Od: grr.
|
Pridané:
7.7.2017 17:42
Táto Januš je šikovná hackerka, kde sa s ňou dá zoznámiť? (Teda bez toho aby mi zašifrovala súbory) ? :D
|
|
Re: Heheh
Od: grr.
|
Pridané:
7.7.2017 17:44
Niečo mi hovorí že to bude tá naša Janka Hospodárová! :D
|
|
Re: Heheh
Od: syntaxterrorXXX
|
Pridané:
7.7.2017 18:16
To su vesmirny jasteri. Mne tiez obchvilu cosi naliehave oznamuju, preto toho tolko viem.
|
|
Re: Heheh
Od: Tulen
|
Pridané:
8.7.2017 10:05
Máš otvorenú srdečnú čakru?
|
|
Re: Heheh
Od: syntaxterrorXXX
|
Pridané:
8.7.2017 10:44
Podľa aktuálnych odborných informácií sú voči tomu výhody kôrnatenia srdcových tepien pomerne kontroverzne vnímané.
|
|
Re: Heheh
Od: Jupik
|
Pridané:
7.7.2017 18:42
To by ale potom trebalo ten kluc vytlacit vo velkom kancli cez wifi.
|
|
Re: Heheh
Od: čitateľ
|
Pridané:
8.7.2017 9:45
Ale nielen privátny, ale aj publicistický.
|
|
Re: Heheh
Od: čitateľ
|
Pridané:
8.7.2017 9:45
Alebo publikačný, treba si vybrať.
|
|
Zdrjojaky by sa nenasli niekde?
Od: rolh
|
Pridané:
7.7.2017 18:28
Zdrjojaky by sa nenasli niekde? Chcem si spravit svoju verziu
|
|
Re: Zdrjojaky by sa nenasli niekde?
Od: xyz.
|
Pridané:
7.7.2017 18:42
Skús servery NSA, minule tam čerpali nejakí hackeri.
|
|
Re: Zdrjojaky by sa nenasli niekde?
Od: rolh
|
Pridané:
7.7.2017 18:53
dik a nevies heslo na nsa admin?
|
|
Re: Zdrjojaky by sa nenasli niekde?
Od: xyz.
|
Pridané:
7.7.2017 18:56
Skús nsausr1
|
|
Re: Zdrjojaky by sa nenasli niekde?
Od: 'PPQ'
|
Pridané:
7.7.2017 21:54
po audite ho zmenili na nsausr123
|
|
pozor pozor
Od: chazar
|
Pridané:
7.7.2017 21:45
v subore je virus !
|
|
I see you.
Od: Tralala1
|
Pridané:
8.7.2017 20:19
Hello Bitcoin, my old friend
I've come to talk with you again
|
Pridať komentár
|
|
|
|