image

"Petya-ransomware ontwikkeld om gegevens te wissen"

donderdag 29 juni 2017, 08:12 door Redactie, 2 reacties
Laatst bijgewerkt: 29-06-2017, 10:28

De Petya-ransomware die wereldwijd systemen van organisaties infecteerde is geen echte ransomware, maar een "wiper" die als doel heeft om gegevens te wissen. Dat melden het Russische anti-virusbedrijf Kaspersky Lab en Comae Technologies, een securitybedrijf uit de Verenigde Arabische Emiraten.

Petya versleutelt zowel bestanden als de MFT (Master File Table) en de MBR (Master Boot Record) van de harde schijf. Daardoor kan Windows niet meer worden gestart. Slachtoffers krijgen een melding te zien dat ze een installatie-ID naar een opgegeven e-mailadres moeten mailen om de decryptiesleutel te ontvangen. Dit zogenaamde installatie-ID is echter een reeks willekeurige karakters en heeft geen enkele relatie met de encryptiesleutel die is gebruikt om de gegevens te versleutelen.

Verder blijkt Petya 24 sector blocks van de harde schijf opzettelijk te overschrijven, zonder die ergens anders op te slaan. Een opmerkelijk detail, aangezien de originele versie van Petya die vorig jaar verscheen de harde schijf op zo'n manier aanpaste dat aangepaste sector blocks wel konden worden hersteld. "We kunnen zien dat de huidige versie van Petya duidelijk is herschreven om een wiper te zijn en geen ransomware", aldus Matt Suiche van Comae Technologies. In 2012 werd de Shamoon-wiper nog gebruikt om 30.000 computers van de Saoedische oliegigant Saudi Aramco te beschadigen.

Volgens Suiche moest het ransomware-gedeelte als dekmantel fungeren. Eerder kwam een beveiligingsonderzoekers met het alias The Grugq al met de conclusie dat het werkelijke doel van Petya het veroorzaken van schade was, aangezien het betaalmodel slecht in elkaar zat. Zo werd het e-mailadres dat de aanvallers gebruikten om met slachtoffers te communiceren al vrij snel geblokkeerd. Slachtoffers die het gevraagde losgeld van 300 dollar betalen kunnen hun bestanden dan ook niet terugkrijgen, tenzij ze over back-ups beschikken. Inmiddels heeft het bitcoin-adres dat de aanvallers gebruiken 45 transacties ontvangen met een waarde van ruim 8900 euro.

Update

De onderzoeker met het alias MalwareTech die de killswitch voor de WannaCry-ransomware activeerde stelt dat de conclusie dat de nieuwe Petya-versie de MBR vernietigt niet klopt. Hij krijgt bijval van een onderzoekster met het alias Hasherezade, die in het verleden veel onderzoek deed naar Petya. Zij stelt dat er niet veel veranderd is tussen de GoldenEye-variant van Petya en de nu actieve versie.

Reacties (2)
29-06-2017, 08:24 door Anoniem
Dus het is visueel een exacte kopie van goldeneye, maar functioneert niet.
begin het idee te krijgen dat de community bij iedere uitbraak een groot media offensief inzet om mensen te overtuigen dat de malware niet werkt, terwijl..... [redacted]
29-06-2017, 10:10 door Anoniem
De MBR aanpassing is niet gewijzigd sinds andere GoldenEye varianten die eerder al rond gingen. https://twitter.com/hasherezade/status/880148844998164482

Ander detail. MBR van windows gebruikt een beperkt deel en de rest van de ruimte is niet in gebruik. Het schrijven op dat vrije deel is geen vernielen van de MBR.
https://twitter.com/MalwareTechBlog/status/880170234497380352

The Grugq en Suiche mogen zich samen met de media die hun verhaaltjes zonder verificatie overschrijven diep gaan schamen voor hun prioriteit voor krijgen van aandacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.