neprihlásený
|
Utorok, 26. novembra 2024, dnes má meniny Kornel |
|
Autori NotPetya porobili viac programátorských chýb, črtá sa možnosť odšifrovať dáta
Značky:
ransomvérWindows
DSL.sk, 8.7.2017
|
|
V otázke možného odšifrovania dát zašifrovaných ransomvérom NotPetya, ktorý minulý týždeň ochromil množstvo ukrajinských organizácií ale tiež najmä množstvo nadnárodných firiem, nastáva v krátkom čase ďalší posun.
Autori ransomvéru NotPetya respektíve plus autori pôvodného Petya, od ktorých NotPetya prevzal časť kódu, totiž spravili viacero programátorských chýb, ktoré minimálne čiastočne umožňujú dáta zašifrované jedným zo spôsobov šifrovania odšifrovať.
Avizuje to bezpečnostný expert Dmitrij Skljarov z ruskej spoločnosti Positive Technologies.
Šifrovanie NotPetya
Aj jeho informácie bohužial ukazujú ako boli a sú informácie antivírusových spoločností o schéme šifrovania použitej NotPetya neúplné a rozporuplné, keď prichádza opäť s novou doplnenou verziou informácií o tom čo a ako sa šifruje.
V každom prípade NotPetya používa v princípe dve šifrovania, na úrovni súborov pomocou AES šifruje maximálne 1 MB zo súborov mnohých typov a pri administrátorských oprávneniach po nahradení zavádzacieho sektora MBR po reštarte šifrovaním vychádzajúcim zo Salsa20 šifruje MFT, Master File Table, tabuľku súborového systému NTFS obsahujúcu nevyhnutné metadáta pre prístup k súborovému systému.
Obrazovka zobrazovaná NotPetya po reštarte, kliknite pre zväčšenie (screenshot: Microsoft)
Podľa doterajších informácií antivírusových spoločností prichádza k šifrovaniu súborov pomocou AES vždy, podľa formulácií Skljarova to má byť podobne ako u niektorých verzií Petya zrejme len v prípade, že NotPetya nemá administrátorské oprávnenia a teda neuskutoční druhé šifrovanie.
Šifrovanie súborov
V šifrovaní súborov pomocou AES zatiaľ neboli objavené chyby, ktoré by umožňovali súbory odšifrovať. Použitý AES kľúč je uložený na disku zašifrovaný 2048-bitovým RSA kľúčom tvorcov.
Tvorcovia NotPetya tento týždeň ponúkli na predaj za 100 Bitcoinov privátny RSA kľúč k tomuto kľúču, ktorý umožní súbory vo všeobecnosti odšifrovať. V šifrovaní sa ale nachádza jedna programátorská chyba, ktorá odšifrovanie komplikuje a vyžaduje špecifický postup.
Ponuku tvorcov je zrejme možné považovať za autentickú, keď jednak na ukážku odšifrovali jeden súbor ale zároveň verejne publikovali podpis RSA kľúčom. Podpis sme overili ako platný a uskutočnený skutočne privátnym RSA kľúčom ku kľúču, ktorý sedí s kľúčom zverejneným Microsoftom ako kľúč použitý podľa neho v NotPetya.
Ak napríklad niektorá antivírusová spoločnosť kľúč kúpi, bude môcť skonštruovať nástroj na dešifrovanie súborov samozrejme s prihliadnutím na problémy vyplývajúce z prítomnej programátorskej chyby.
Šifrovanie MFT
Zistenia Skljarova sa týkajú ale druhého šifrovania MFT, pre ktoré bola doteraz pomerne negatívna prognóza pre odšifrovanie.
Podľa skorších explicitných zistení Malwarebytes totiž použitý kľúč na toto šifrovanie nie je žiadnym spôsobom ani v zašifrovanej podobe uchovaný, respektíve aspoň nie spôsobom ako tomu bolo u predchádzajúcich verzií Petya. Vzhľadom na to, že informácie antivírusových spoločností o šifrovaní boli doteraz vždy čiastočné, ani túto informáciu pre istotu nie je vhodné považovať za stopercentnú, dostupné informácie ale naznačujú, že kľúč pre odšifrovanie sa nebude dať priamo získať.
Skljarov prichádza s jednou novou informáciou o tomto šifrovaní, keď sa podľa neho nešifruje len MFT ale v skutočnosti aj prvých 1024 bajtov každého súboru väčšieho ako táto veľkosť. Hoci sa teda šifrovaním poškodzuje viac dát, pre ďalšie okolnosti to paradoxne uľahčuje dešifrovanie dát.
Chyby v Salsa20
NotPetya používa na šifrovanie symetrický algoritmus Salsa20, respektíve pre viaceré chyby jeho modifikáciu a zároveň ho aplikuje inak ako je bezpečné.
Tento komponent NotPetya bol na základe zistení expertov prevzatý zo skompilovanej verzie Petya a binárne upravený, tvorcovia teda pravdepodobne nemali prístup k zdrojovým kódom Petya. Zatiaľ nie je jasné, ktoré všetky chyby boli prevzaté z ktorej verzie Petya a ktoré vznikli pre modifikácie autormi NotPetya.
Skljarov v každom prípade identifikoval a informuje o viacerých chybách respektíve aspektoch aplikácie znižujúcich bezpečnosť.
Salsa20 pre daný kľúč a iniciačné hodnoty generuje stream dát, ktorý sa aplikuje operáciou XOR na šifrované dáta a tie sa tým šifrujú. Keďže dvojnásobné aplikovanie XOR obnoví pôvodné dáta, odšifrovanie prebieha tým istým spôsobom. Salsa20 umožňuje začať generovať dáta na ľubovoľnej pozícii, keď ako parameter dostáva pozíciu v streame respektíve číslo 64-bajtového bloku.
V originálnej Salsa20 sa stream práve pre 64 bitov tejto pozície začne opakovať po 2 na 70 bajtov, čo je bezpečná hodnota cca 10 na 21 bajtov. Pre implementačné chyby v NotPetya pri spracovaní pozície v streame sa stream generovaný jeho implementáciou Salsa20 začína opakovať už po 4 MB.
Ak sa šifrovací stream takto rýchlo opakuje, je ním zašifrované väčšie množstvo dát ako 4 MB a sú šifrované aj dáta, ktoré sú známe, to umožňuje rekonštruovať jednotlivé časti generovaného streamu a následne ich použiť na odšifrovanie neznámych zašifrovaných dát.
Dáta sa tak odšifrujú aj bez znalosti kľúča získaním generovaného šifrovacieho streamu.
Skljarov popisuje, aké všetky známe dáta sa nachádzajú v MFT a kontrolnom sektore zašifrovanom NotPetya a koľko bajtov zo streamu je možné priamo získať. Kľúčové pri získaní podstatnej časti šifrovacieho streamu je ale práve šifrovanie 1024 bajtov zo súborov.
NotPetya šifruje aj DLL a EXE súbory podľa Skljarova vrátane súborov z inštalácie Windows na danom disku. Keďže šifruje len ich začiatok, zo zvyšku typicky 4 KB bloku je možné identifikovať o ktorý súbor z inštalácie Windows rovnaký na všetkých počítačoch ide, poznať jeho prvých 1024 bajtov a takto získať 1 KB dát streamu iba z jedného súboru. Keďže v moderných verziách Windows sú desiatky tisícov súborov, to môže umožniť získať podstatnú časť alebo dokonca celý 4 MB šifrovací stream.
Zároveň v implementácii je ďalšia chyba a NotPetya šifrovacej funkcii nedáva pozíciu vo virtuálnom streame dát, ktorým je pre NotPetya celý disk, ale číslo sektora. Pre šifrovanie typicky po 1024 bajtov sa tak u dvoch susedných 1 KB úsekov používa stream posunutý o dva bajty, čo môže tiež pomôcť pri zisťovaní streamu a dešifrovaní.
Nástroj na dešifrovanie
Funkčný nástroj na dešifrovanie dát zatiaľ Skljarov evidentne neimplementoval.
Implementácia úplne spoľahlivého nástroja bude zároveň podľa neho komplikovaná, keďže v NotPetya sa majú nachádzať aj chyby v algoritmoch rozhodujúcich o tom ktoré sektory sa šifrujú.
Podľa Skljarova bude potrebné použiť istú heuristiku, v ktorých aspektoch ale nie je jasné. U diskov s množstvom štandardných súborov ako sú súbory Windows bude podľa neho možné obnoviť ale sto percent dát.
Obetiam NotPetya je tak odporúčané určite si zašifrované disky respektíve teda kompletné dáta na nich uchovať.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
odkial siiii
Od: ivanaaa
|
Pridané:
8.7.2017 13:21
Asi boli z Indie
|
|
Re: odkial siiii
Od: _Buržuj
|
Pridané:
8.7.2017 17:31
Vtipné. Z vlastnej skúsenosti si dovolím tvrdiť, že programátori z Indie sú na vyššej úrovni ako Slováci. A ani korupcia tam nie je taká vysoká.
|
|
Re: odkial siiii
Od: grr.
|
Pridané:
8.7.2017 17:43
V Indii nie je žiadna korupcia, tam sú všetci dostatočne uvedomelí a disciplinovaní nato aby si plnili čo sa od nich očakáva aj bez uplácania.
|
|
Re: odkial siiii
Od: huanggg
|
Pridané:
8.7.2017 21:43
na vyssej urovni tak maximalne seru na uliciach
|
|
Re: odkial siiii
Od: Adrique1
|
Pridané:
9.7.2017 2:19
Ale pokiaľ na ulici serú,tak len na korupciu! :-)
|
|
Re: odkial siiii
Od: fihaaaa
|
Pridané:
9.7.2017 7:46
Skvelý príklad obmedzeného zovšeobecňovania.
Si z východu tak si ožran.
Si z Bratislavy tak si Maďar.
Si ze Žiliny tak si slotovec.
...
|
|
Re: odkial siiii
Od: Ján Slota
|
Pridané:
9.7.2017 22:46
Čo je na tom zovšeobecňujúce? Zovšeobecňoval by si keby si povedal že si z východu tak si ožran, si z Bratislavy tak si ožran, si zo Žiliny tak si ožran, ale keď povieš že jeden je ožran, druhý Maďar a tretí Slotovec, to nie je zovšeobecňovanie a kľudne to všetci môžu byť ožrani.
|
|
Re: odkial siiii
Od: -...-
|
Pridané:
10.7.2017 9:08
Si zo Robert tak si kkt
|
|
Re: odkial siiii
Od: vrrrrrrrrrrrrr
|
Pridané:
9.7.2017 7:52
Keď je Ukrajina v neoficiálnej vojne s ruskom a Putin pochválil hackerov, že to robia zadarmo a sú vlastenci, tak logicky to urobil niekto z Indie, lebo ich nepriateľ Pakistan nemá žiadne Pc, ktoré by poškodili.
|
|
Re: odkial siiii
Od: lujzaaa
|
Pridané:
9.7.2017 7:55
No to by si sa čudoval
|
|
Re: odkial siiii
Od: PatrikV
|
Pridané:
9.7.2017 1:14
LOL
|
|
Re: odkial siiii
Od: lujzaaa
|
Pridané:
9.7.2017 7:54
Tu nejde len o programátorov ale celkovo.. napr. Pracujem ako Support v nemenovanej firme, kde sa snažíme vypadat profesionálne a dát zákazníkovi kvalitu pretože co od nich vieme je ze Support nášho typu v Indii funguje spôsobom: niečo sa posere, počkáme 3 mesiace, logy zrotuju, ticket o probléme zatvoria pretože nemajú logy, problem solved
|
|
Re: odkial siiii
Od: xxxxxs
|
Pridané:
9.7.2017 13:41
nie nadarmo maju v IT vysoke platy, cakat tri mesiace da kopec roboty
|
|
Re: odkial siiii
Od: Dimitrij
|
Pridané:
10.7.2017 10:42
T-Systems?
|
|
Re: odkial siiii
Od: Lolololololololol
|
Pridané:
10.7.2017 11:44
Skôr by som to tipoval na IBM
|
|
Re: odkial siiii
Od reg.: KillerM
|
Pridané:
10.7.2017 15:28
mam presne rovnaku skusenost s indickym "supportom" niektorych nasich zakaznikov
|
|
Rekonštrukcia
Od: xyz.
|
Pridané:
8.7.2017 17:41
Keď jeden sprostý niečo pokazí, ani sto múdrych to neopraví.
Tuto to platí dvojnásobne, nielen že vám zašifrujú dáta, ale ešte aj v tom šifrovaní porobia chyby takže odšifrovanie je ťažšie než malo pôvodne byť a ešte chcú zato peniaze! Hanba im! To už tu naozaj nikto nič negarantuje? Ani tvorcovia vírusov? Už ani tí autori šifrovacích ransomvérov niesu to čo bývali?!
https://youtu.be/ivmoSLUXtjA
|
|
Re: Rekonštrukcia
Od: achee
|
Pridané:
9.7.2017 0:02
Starí autori šifrovacích ronsomvérov boli lepši :)
|
|
Re: Rekonštrukcia
Od: roob_zabanovany
|
Pridané:
9.7.2017 9:22
len kto je ten sprosty... ked ides autom, tak vies, ze mozes dostat defekt. Dostanes defekt a nemas nahradne koleso. Nasraty mozes byt akurat tak sam na seba! Pri pouzivani pocitaca je zaloha dat nutnost presne ako nahradne koleso. Mozno tie zalohy nikdy nevyuzijes, a mozno...
|
|
Re: Rekonštrukcia
Od: syntaxterrorXXX
|
Pridané:
9.7.2017 9:36
Presne tak. Eventualne dokonca ked ides autom, tak vies, ze moze dojst benzin a nemas benzinku. Nasraty mozes byt akurat tak sam na seba!
|
|
Re: Rekonštrukcia
Od: roob_zabanovany
|
Pridané:
9.7.2017 9:45
benzin je elektrina v tomto pripade, nie zaloha. Zaloha je bandaska, ked ides niekam kde urcite nieje benzinka v ramci dojazdu auta. Ako na tesle si vzdy so sebou musis brat dieselgenerator a 50l nafty :)
|
|
Re: Rekonštrukcia
Od: syntaxterrorXXX
|
Pridané:
9.7.2017 10:43
Vzhladom k autu je to rovnako ina uroven ako koleso. Zaloha k autu je nahradne auto.
|
|
Re: Rekonštrukcia
Od: xyz.
|
Pridané:
9.7.2017 15:38
No a keď sme už teda pri tej elektrine, keď nezaplatíš a odpoja ťa od elektriny, tiež môžeš byť nasratý len sám na seba, ovšem keď nezaplatia tebe za vykonanú prácu keď si živnostník a kvôli tomu nezaplatíš ty niekomu ďaľšiemu, napr. tú elektrinu lebo nemáš z čoho, potom síce už byť nasratý sám na seba nemáš dôvod, ale aj tak ti to hovno pomôže.
|
|
porobili viac programátorských chýb
Od: +-/
|
Pridané:
9.7.2017 9:47
Tak a teraz, ked im urobili zadara test a odhalili chyby, mozme cakat opravenu verziu...
|
|
Re: porobili viac programátorských chýb
Od: -...-
|
Pridané:
10.7.2017 9:10
Nemaju github? Mali by ho spravit opensource aby sa nabuduce predislo takymto chybam, je to neprofesionalne. Normalne clovek aby sa az hanbil co mu to zasifrovalo disk :/
|
|
Slovenčina...
Od: DusanK
|
Pridané:
11.7.2017 7:08
Akúže to írečitú slovenčinu používate? "porobiť", "črtať sa"...
|
|
Re: Slovenčina...
Od: Not Petya, Genya
|
Pridané:
11.7.2017 16:09
Priekazne používajú anglicko-slovenský slovník vydaný v roku 1954.
|
Pridať komentár
|
|
|
|