image

Onderzoekers: Door Petya versleutelde data is te ontsleutelen

maandag 10 juli 2017, 11:20 door Redactie, 7 reacties
Laatst bijgewerkt: 10-07-2017, 13:33

Bestanden die door de Petya-ransomware zijn versleuteld kunnen door fouten die de ontwikkelaars bij het encryptieproces maakten worden ontsleuteld. Dat claimen onderzoekers van Positive Technologies. De methode die ze beschrijven werkt echter alleen op systemen waar de malware beheerdersrechten had.

In het geval de Petya-ransomware geen beheerdersrechten kon krijgen werden alleen bestanden van de gebruikers via AES-encryptie versleuteld. De bestanden zijn in deze situatie alleen via de private RSA-sleutel te ontsleutelen. Werd de Petya-ransomware wel met beheerdersrechten uitgevoerd, dan maakte het gebruik van het Salsa20-algoritme voor het versleutelen van het systeem.

De ontwikkelaars van de ransomware, die op 27 juni allerlei organisaties wist te infecteren, maakten echter verschillende fouten bij hun implementatie van het Salsa20-algoritme. Door één van deze fouten is de encryptie geen 256-bits, maar 128-bits. Normaliter zou het kraken van 128-bits encryptie nog steeds de nodige tijd in beslag nemen. De manier waarop het Salsa20-algoritme binnen Petya is toegepast maakt het echter mogelijk om de data ook zonder de encryptiesleutel te herstellen.

Het Salsa20-algoritme maakt voor het versleutelen van bestanden gebruik van een keystream. In het geval van de Petya-ransomware blijken veel bestanden die groter dan 4MB zijn met dezelfde keystream-fragmenten te zijn versleuteld, wat helpt met het achterhalen van de keystream. Daarnaast kan de keystream worden achterhaald aan de hand van bekende bestanden. De onderzoekers stellen dat een schone installatie van Windows 8.1 uit meer dan 200.000 bestanden bestaat. De kans is groot dat veel van deze bestanden overeenkomen met de bestanden op de versleutelde schijf.

Via de Windows-bestanden is het mogelijk om voldoende informatie te vinden waarmee de keystream kan worden achterhaald. Zodra de keystream is achterhaald zijn de bestanden te ontsleutelen. Op dit moment zijn er nog geen tools die het achterhalen van de keystream en het ontsleutelen van bestanden automatiseren, maar de onderzoekers denken dat bedrijven die in datarecovery zijn gespecialiseerd uiteindelijk wel met software hiervoor zullen komen.

Reacties (7)
10-07-2017, 11:52 door Anoniem
Maar betreft dit de eerdere Petya variant of de nieuwere NotPetya variant (welke een wiper zou zijn) want voor de eerst was de masterkey toch al vrijgegeven?

http://www.tomshardware.com/news/petya-ransomware-master-key-released,34961.html
10-07-2017, 13:34 door Anoniem
Door Anoniem: Maar betreft dit de eerdere Petya variant of de nieuwere NotPetya variant (welke een wiper zou zijn) want voor de eerst was de masterkey toch al vrijgegeven?

http://www.tomshardware.com/news/petya-ransomware-master-key-released,34961.html
Het gaat hier om de variant van de wereldwijde aanval ( NotPetya / Petya / Petya.A / ExPetr)
10-07-2017, 14:14 door Anoniem
In het geval de Petya-ransomware geen beheerdersrechten kon krijgen werden alleen bestanden van de gebruikers via AES-encryptie versleuteld. De bestanden zijn in deze situatie alleen via de private RSA-sleutel te ontsleutelen.

Dus je versleutelt een bestand met een symmetrisch algoritme, en een totaal ongerelateerde asymmetrische sleutel verzorgt het ontsleutelproces? Ik denk dat hier wat stappen worden overgeslagen.
10-07-2017, 14:31 door [Account Verwijderd]
[Verwijderd]
10-07-2017, 17:05 door Anoniem
Door Anoniem: Maar betreft dit de eerdere Petya variant of de nieuwere NotPetya variant (welke een wiper zou zijn) want voor de eerst was de masterkey toch al vrijgegeven?

http://www.tomshardware.com/news/petya-ransomware-master-key-released,34961.html

Het gaat daar over een oudere variant. Uitgelegd wordt dat de broncode is gedeeld en gebruikt door derden.

De naam die de sleuteldelende persoon gebruikt is opvallend: "Janus Cybercrime Solutions". De Romeinse god Janus kennen we als de tweekoppige figuur.

https://en.wikipedia.org/wiki/Janus
10-07-2017, 18:00 door Anoniem
inmiddels is wel duidelijk uit welk kamp de petya aanval kwam... NATO staat al te springen om hardware te leveren om digitale aanvallen af te slaan.

klinkt een beetje als de marshal hulp aka creditcard waar je nooit meer vanaf komt die wij met domme ogen en grote voeten aannamen van de VS...
11-07-2017, 09:58 door Anoniem
De key op 7de is vrij gegeven:
Private Decryption Key For Original Petya Ransomware Released (http://thehackernews.com/2017/07/petya-ransomware-decryption-key.html)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.