Bestanden die door de Petya-ransomware zijn versleuteld kunnen door fouten die de ontwikkelaars bij het encryptieproces maakten worden ontsleuteld. Dat claimen onderzoekers van Positive Technologies. De methode die ze beschrijven werkt echter alleen op systemen waar de malware beheerdersrechten had.
In het geval de Petya-ransomware geen beheerdersrechten kon krijgen werden alleen bestanden van de gebruikers via AES-encryptie versleuteld. De bestanden zijn in deze situatie alleen via de private RSA-sleutel te ontsleutelen. Werd de Petya-ransomware wel met beheerdersrechten uitgevoerd, dan maakte het gebruik van het Salsa20-algoritme voor het versleutelen van het systeem.
De ontwikkelaars van de ransomware, die op 27 juni allerlei organisaties wist te infecteren, maakten echter verschillende fouten bij hun implementatie van het Salsa20-algoritme. Door één van deze fouten is de encryptie geen 256-bits, maar 128-bits. Normaliter zou het kraken van 128-bits encryptie nog steeds de nodige tijd in beslag nemen. De manier waarop het Salsa20-algoritme binnen Petya is toegepast maakt het echter mogelijk om de data ook zonder de encryptiesleutel te herstellen.
Het Salsa20-algoritme maakt voor het versleutelen van bestanden gebruik van een keystream. In het geval van de Petya-ransomware blijken veel bestanden die groter dan 4MB zijn met dezelfde keystream-fragmenten te zijn versleuteld, wat helpt met het achterhalen van de keystream. Daarnaast kan de keystream worden achterhaald aan de hand van bekende bestanden. De onderzoekers stellen dat een schone installatie van Windows 8.1 uit meer dan 200.000 bestanden bestaat. De kans is groot dat veel van deze bestanden overeenkomen met de bestanden op de versleutelde schijf.
Via de Windows-bestanden is het mogelijk om voldoende informatie te vinden waarmee de keystream kan worden achterhaald. Zodra de keystream is achterhaald zijn de bestanden te ontsleutelen. Op dit moment zijn er nog geen tools die het achterhalen van de keystream en het ontsleutelen van bestanden automatiseren, maar de onderzoekers denken dat bedrijven die in datarecovery zijn gespecialiseerd uiteindelijk wel met software hiervoor zullen komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.