NotPetya-bakmennene dekrypterer fil: – Vi har nøkkelen

NotPetya-angrepet var på mange måter uvanlig til å være et utpressingsvare-angrep (ransomware). Metoden hvor skadevaren krypterte i to omganger gjorde at flere sikkerhetseksperter vurderte dette til å være mer en destruktiv disk-wiper enn egentlig utpressingsvare.

Men Vice Motherboard har vært i kontakt med en gruppe som hevder å stå bak NotPetya, og mot et krav på 100 bitcoins – rundt 2 millioner norske kroner – tilbyr å levere fra seg den private nøkkelen som er nødvendig for å dekryptere filene. 

Motherboard tok kontakt med gruppen og utleverte en kryptert tekstfil fra en infisert PC, som nettstedet fikk i retur – korrekt dekryptert. Det ser altså ut til at de som nå har meldt seg, faktisk er i besittelse av den private nøkkelen som brukes til NotPetya-krypteringen.

Det er her viktig å gjøre oppmerksom på at NotPetya krypterer i to omganger. Her er det snakk om å låse opp en fil etter den første krypteringen.

Denne krypteringen bruker i likhet med mange andre typer utpressingsvare en RSA-algoritme, der skadevaren inneholder en offentlig nøkkel som benyttes til å kryptere en nøkkel som genereres for hvert enkelt offer. For å dekryptere nøkkelen skal man bruke den private nøkkelen. Med en RSA-2048-algoritme, som den NotPetya bruker, er det i praksis umulig å gjette den private nøkkelen.

Kan kun kryptere opp til 1 MB av en fil

Men det er flere vesentlige «fotnoter» her. NotPetyas kryptering er implementert på en måte som kan gjøre det særdeles vanskelig å dekryptere, selv om man får dekryptert nøkkelen, skriver F-Secure.

Ett av problemene er at NotPetya bruker Windows File Mapping til å lese og skrive til disken, og den måten det er gjort på betyr at NotPetya kun vil kryptere opp til 1 megabyte av en fil. Men hvis filen er større enn 1 megabyte, så blir krypteringen ikke nullstilt innen den neste filen blir dekryptert. Derfor kan det være særdeles vanskelig å dekryptere filene hvis det er flyttet, slettet eller endret i filer på disken etter krypteringen.

Den filen Motherboard fikk dekryptert som en demonstrasjon var på rundt 200 kilobytes.

Det kan dessuten være problematisk hvis den samme maskinen blir infisert flere ganger, fordi krypteringen kan bli overskrevet, og det blir da helt umulig å dekryptere filene.

Til sist så vil NotPetya også forsøke å kryptere filtabellen etter en omstart, og i denne krypteringen blir ikke nøkkelen lagret, skriver Malware Bytes.

I den første runden med kryptering av brukerens filer blir det lagret en kryptert nøkkel, men det gjør det ikke i andre runde.

Denne artikkelen er levert av Version2.dk

Kommentarer (8)

Kommentarer (8)
Til toppen