‘Door NotPetya gegijzelde data kan worden ontsleuteld’

  1. 10 jul 2017
  2. 0 reacties

encryptie

Het blijkt in sommige gevallen mogelijk te zijn data die is versleuteld door Petya/NotPetya te ontsleutelen. Dit kan echter alleen als de malware op het getroffen systeem beheerdersrechten had.

Dit meldt Positive Technologies in een blogpost. Het bedrijf meldt dat NotPetya zonder beheerdersrechten data van slachtoffers versleuteld met AES-encryptie, terwijl het besturingssysteem niet wordt aangetast. In dit geval is het alleen mogelijk de data te ontsleutelen met behulp van de private RSA-sleutel, die vooralsnog niet beschikbaar is.

Salsa20-algoritme

Indien NotPetya echter beheerdersrechten heeft weten te verkrijgen is het Salsa20-algoritme gebruikt om de volledige harde schijf van slachtoffers te versleutelen. De makers van NotPetya hebben volgens Positive Technologies echter fouten gemaakt bij de implementatie van dit algoritme. Door deze fouten is de harde schijf versleuteld met een 128-bit sleutel, in plaats van een 256-bit variant. Het kraken van een 128-bit sleutel is echter nog steeds zeer tijdrovend.

Door de wijze waarop het Salsa20-algoritme is geïmplementeerd is het echter mogelijk de harde schijf van getroffen systemen zonder sleutel te ontsleutelen. Salsa20 is een 'synchronous stream cipher' die voor het versleutelen van bestanden gebruik maakt van keystream. NotPetya blijkt bestanden die groter zijn dan 4MB in veel gevallen met dezelfde keystream-fragmenten te hebben versleuteld.

Keystream achterhalen

Deze keystream kan worden achterhaald aan de hand van bekende bestanden waarvan zeker is dat die kunnen worden teruggevonden op de versleutelde harde schijf. Zo wijst Positive Technologies erop dat een schone installatie van Windows 8.1 uit meer dan 200.000 bestanden bestaat, waarvan een flink deel terug te vinden zijn op de versleutelde harde schijf van slachtoffers. Aan de hand van deze Windows-bestanden is het volgens het bedrijf mogelijk de keystream te achterhalen, waardoor vervolgens de bestanden kunnen worden ontsleuteld.

Momenteel is er nog geen tool beschikbaar waarmee die proces kan worden geautomatiseerd. Positive Technologies verwacht dat datarecovery specialisten echter hiervoor tools zullen ontwikkelen.

Meer over
Lees ook
Recruiters slachtoffer van malware door lures van TA4557

Recruiters slachtoffer van malware door lures van TA4557

Cybersecuritybedrijf Proofpoint brengt onderzoek naar buiten over nieuwe activiteit van TA4557. Dit is een financieel gemotiveerde dreigingsactor die bekend staat om het gebruik van lures met sollicitatiethema’s. Ook verspreidt het de More_Eggs backdoor, een strategische loop gemaakt voor het verlengen van de uitvoeringstijd wat de ontwijkingsmoge1

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Fortinet waarschuwt voor online feestdagen-criminaliteit: vier veelgebruikte scams

Security leverancier Fortinet waarschuwt voor feestdagen-cyberscams en geeft een top 4 van veel gebruikte online-oplichtpraktijken. Sinterklaas en kerst komen eraan, en cybercriminelen zijn al druk bezig met het bedenken van slimme trucs waarmee ze dit winkelseizoen zelfs de meest beveiligingsbewuste consumenten om de tuin kunnen leiden. De feestd1

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoek Proofpoint: TA571 levert IcedID Forked Loader

Onderzoekers van Proofpoint ontdekten dat TA571 de Forked-variant van IcedID levert in twee campagnes. Dit vond plaats op 11 en 18 oktober 2023. Beide campagnes bevatten meer dan 6.000 berichten die allemaal een impact hadden op meer dan 1.200 klanten in verschillende sectoren verspreid over heel de wereld.