NotPetya-bagmænd dekrypterer fil: Vi har nøglen

Mystikken breder sig om NotPetya-angrebet, efter gruppen angiveligt har givet sig til kende og dekrypteret en fil.

NotPetya-angrebet var på mange måder usædvanligt for et ransomware-angreb, og måden, hvorpå malwaren krypterede i to omgange fik flere sikkerhedseksperter til at vurdere, at der mere var tale om en destruktiv disk-wiper end egentlig ransomware.

Men Vice Motherboard har været i kontakt med en gruppe, som hævder at stå bag NotPetya-ransomwaren og mod et krav på 1,6 millioner kroner tilbyder at udlevere den private nøgle, som er nødvendig for at dekryptere filerne.

Motherboard tog kontakt til gruppen og udleverede en krypteret tekstfil fra en inficeret pc, som mediet fik retur korrekt dekrypteret. Det ser altså ud til, at dem, der nu har meldt sig, faktisk er i besiddelse af den private nøgle, som bruges til NotPetya-krypteringen.

Det er her væsentligt at slå fast, at NotPetya krypterer i to omgange. Her er der tale om at låse en fil op efter den første kryptering.

Denne kryptering bruger ligesom mange andre typer ransomware en RSA-algoritme, hvor malwaren indeholder en offentlig nøgle, som bruges til at kryptere en nøgle, der genereres for det enkelte offer. For at dekryptere nøglen, skal man bruge den private nøgle. Med en RSA-2048-algoritme, som den NotPetya anvender, er det i praksis umuligt at gætte den private nøgle.

Kan kun kryptere op til 1 MB af en fil

Men der er flere væsentlige fodnoter, for NotPetyas kryptering er implementeret på en måde, som kan gøre det særdeles vanskeligt at dekryptere, selv hvis man får dekrypteret nøglen, skriver F-Secure.

Et af problemerne er, at NotPetya bruger Windows File Mapping til at læse og skrive til disken, og den måde, det er gjort på, betyder, at NotPetya kun vil kryptere op til 1 megabyte af en fil. Men hvis filen er større end 1 megabyte, så bliver krypteringen ikke nulstillet inden den næste fil bliver krypteret. Derfor kan det være særdeles svært at dekryptere filerne, hvis der er flyttet, slettet eller ændret i filer på disken, efter krypteringen.

Den fil, Motherboard fik dekrypteret som demonstration, fyldte cirka 200 kilobytes.

Det kan desuden være problematisk, hvis den samme maskine bliver inficeret flere gange, fordi krypteringen kan blive overskrevet, og det bliver helt umuligt at dekryptere filerne.

Endelig vil NotPetya også forsøge at lave en kryptering af filtabellen efter en genstart, og i denne kryptering bliver nøglen ikke gemt, skriver Malware Bytes.

I den første runde af krypteringen af brugerens filer, bliver der gemt en krypteret nøgle, men det gør der ikke i anden runde.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017