Elia Tufarolo

NotPetya, per le vittime c'Ŕ speranza

Positive Technologies ha trovato un modo per decifrare i dati sfruttando alcuni errori commessi dagli autori del virus. Tuttavia non Ŕ ancora efficace al 100 per cento. Nel frattempo l'autore del Petya originale rende pubblica la sua chiave di cifratura con l'intento di aiutare

Roma - Dmitry Sklyarov, leader del team di Reverse Engineering di Positive Technologies, società di sicurezza russa, ha pubblicato un procedimento che consente - sotto determinate circostanze - il recupero dei dati contenuti in un computer infetto dal ransomware/wiper NotPetya.

notpetya

La condizione principale affinché il procedimento possa avere luogo è che NotPetya abbia ottenuto i privilegi di amministratore nell'infettare la macchina: in questo caso il ransomware utilizza l'algoritmo Salsa20 per cifrare il disco, in caso contrario opta per AES-256.

Entrambi gli algoritmi (il primo è un cifrario a flusso, il secondo un cifrario a blocchi) sono estremamente robusti, tuttavia i creatori del virus hanno commesso diversi errori che rendono fattibile, pur se complesso ed oneroso in termini di tempo e CPU, un processo di decifratura nel caso in cui venga utilizzato Salsa20.
Nel dettaglio, Sklyarov descrive due errori di implementazione relativi alle funzioni s20_crypt32, che si occupa della cifratura dei settori del disco, e s20_rev_littleendian, che sposta il keystream generato all'interno di una word di 32 bit. Questi errori comportano il fatto che i keystream abbiano una periodicità di 2^16 bit, cioè 4 megabyte, e non siano in grado di cifrare completamente il dato, rendendo l'algoritmo vulnerabile ad un attacco con testo in chiaro noto. Un ulteriore aiuto al processo di decifratura è dato dal fatto che due settori limitrofi vengono cifrati per mezzo dello stesso keyframe, a meno di due byte indicanti l'offset.

Il ricercatore descrive anche le modalità di decifratura utilizzate, basate sul contenuto in chiaro presente su disco, che possono essere file di sistema "standard", oppure i primi sedici record della MFT del file system NTFS. Tuttavia, le tempistiche della procedura possono durare diverse ore e l'efficacia, seppure possa raggiungere il 100 per cento, dipende fortemente da fattori come la dimensione del disco, lo spazio libero a disposizione e la frammentazione del file system.

Altra buona notizia, purtroppo non strettamente correlata a NotPetya, è il fatto che l'autore delle prime versioni del ransomware Petya ("Janus Cybercrime Solutions") abbia deciso di rilasciare la chiave di decifratura attraverso un archivio cifrato caricato sul sito di file hosting Mega. La chiave, testata e funzionante, è in grado di decifrare i dati dei computer infettati dalle prime tre versioni di Petya, tuttavia non è efficace su NotPetya il quale, nonostante condivida buona parte del codice sorgente con il suo predecessore, diverge in alcuni dettagli di implementazione significativi.

Elia Tufarolo

Fonte Immagine
Notizie collegate
  • SicurezzaUltime novità del wiper NotPetyaAlcune analisi provenienti dalle maggiori aziende di sicurezza ne studiano la correlazione con altri malware, nel frattempo iniziano a diffondersi strumenti difensivi specifici
  • AttualitàRansomware, minacce e soluzioniMicrosoft annuncia l'implementazione di nuove misure di sicurezza pensate per bloccare la piaga dei malware cripta-file, mentre nel mondo reale NotPetya continua a far danni e ispira nuovi "emuli". E ce l'hanno tutti con l'Ucraina
  • SicurezzaPetya, considerazioni tecnicheIl vettore di attacco iniziale Ŕ una distribuzione infetta di MEDoc, software di contabilitÓ molto popolare in Ucraina, ma EternalBlue ha permesso al malware di propagarsi sui sistemi di tutta l'Europa. Analizziamone i dettagli tecnici
  • AttualitàPetya/NotPetya tra vaccini e analisiLe societÓ di sicurezza stanno analizzando la minaccia e hanno scoperto qualcosa di interessante: il nuovo ransomware non Ŕ Petya ma gli somiglia, esiste la possibilitÓ di "vaccinarsi" e provare a pagare il riscatto Ŕ oramai inutile
  • AttualitàPetya, il nuovo attacco globale del ransomwareUna nuova, virulenta epidemia di malware cripta-file sembra essere scoppiata in giro per il mondo. Un problema di non facile soluzione che potrebbe avere effetti comparabili a quelli di WannaCry
14 Commenti alla Notizia NotPetya, per le vittime c'Ŕ speranza
Ordina
  • la speranza si chiama
    Clicca per vedere le dimensioni originali
    un mese e neanche una riga

    Clicca per vedere le dimensioni originali
    non+autenticato
  • Backup su disco esterno via USB, da connettere SOLO per il backup. Nel remoto caso in cui facessi una caxxata e fossi abbastanza fesso da infettarmi allora basterebbe un semplice restore e passa la paura...
    non+autenticato
  • i ricercatori dovrebbero avvisare i realizzatori del virus del bug trovato in modo che rilascino una patch per correggere il problema.
    non+autenticato
  • per le vittime c'è una SOLA speranza: aver imparato la lezione. Lasciare quindi Windows (ed OSX, per buona misura), fare un backup decente, usare fs non così arcaici da non avere gli snapshot, cercare di usare FreeBSD (securelevel&c) anche se tra ferro e ports è un po' un problema lato desktop, fare pressione affinché diventi illegale ogni fw closed-source non facilmente compilabile e flashabile dall'utente e VIETARE la "vendita in licenza d'uso" (ossimorica e assurda) e VIETARE l'assenza di garanzie sul software closed.

    Altrimenti le vittime han solo speranza di trovare cetrioli di diametri più gradevoli, vischio al posto della sabbia e roba simile. Perdonate la volgarità.
    non+autenticato
  • x chi debba per forza usare windows...almeno usatelo sotto QubeOS.
    non+autenticato
  • - Scritto da: xx tt
    > x chi debba per forza usare windows...almeno
    > usatelo sotto
    > QubeOS.
    Spammone. Noto nel sito che perseguono la moda quasi solo italica di non pubblicare un listino, seppure parziale, dei servizi. A me sta cosa non piace.

    By(t)e
  • - Scritto da: xte
    > per le vittime c'è una SOLA speranza: aver
    > imparato la lezione. Lasciare quindi Windows (ed
    > OSX, per buona misura), fare un backup decente,
    > usare fs non così arcaici da non avere gli
    > snapshot, cercare di usare FreeBSD
    > (securelevel&c) anche se tra ferro e ports è un
    > po' un problema lato desktop, fare pressione
    > affinché diventi illegale ogni fw closed-source
    > non facilmente compilabile e flashabile
    > dall'utente e VIETARE la "vendita in licenza
    > d'uso" (ossimorica e assurda) e VIETARE l'assenza
    > di garanzie sul software
    > closed.
    >
    > Altrimenti le vittime han solo speranza di
    > trovare cetrioli di diametri più gradevoli,
    > vischio al posto della sabbia e roba simile.
    > Perdonate la
    > volgarità.

    ma non hai ancora capito non e' colpa di windows ma degli hacker russi Ficoso
    non+autenticato
  • - Scritto da: xte
    > per le vittime c'è una SOLA speranza: aver
    > imparato la lezione. Lasciare quindi Windows (ed
    > OSX, per buona misura), fare un backup decente,
    > usare fs non così arcaici da non avere gli
    > snapshot, cercare di usare FreeBSD
    > (securelevel&c) anche se tra ferro e ports è un
    > po' un problema lato desktop


    Incredibile... un altro che suggerisce di non usare Linux.A bocca aperta
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: xte
    > > per le vittime c'è una SOLA speranza: aver
    > > imparato la lezione. Lasciare quindi Windows
    > (ed
    > > OSX, per buona misura), fare un backup
    > decente,
    > > usare fs non così arcaici da non avere gli
    > > snapshot, cercare di usare FreeBSD
    > > (securelevel&c) anche se tra ferro e ports è
    > un
    > > po' un problema lato desktop

    >
    > Incredibile... un altro che suggerisce di non
    > usare Linux.
    >A bocca aperta

    non capisco, a questo punto perché non consigliare OpenBSD?
    non+autenticato
  • - Scritto da: capitan quotone
    > - Scritto da: ...
    > > - Scritto da: xte
    > > > per le vittime c'è una SOLA speranza: aver
    > > > imparato la lezione. Lasciare quindi
    > Windows
    > > (ed
    > > > OSX, per buona misura), fare un backup
    > > decente,
    > > > usare fs non così arcaici da non avere gli
    > > > snapshot, cercare di usare
    > FreeBSD
    > > > (securelevel&c) anche se tra ferro e ports
    > è
    > > un
    > > > po' un problema lato desktop

    > >
    > > Incredibile... un altro che suggerisce di non
    > > usare Linux.
    > >A bocca aperta
    >
    > non capisco, a questo punto perché non
    > consigliare OpenBSD?

    perche OpenBSD e' ok a livello di server, ma per dirlo in francese, e' un assurdo palo nel culo per quanto riguarda il desktop. quantomeno, quelli di FreeBSD uno sforzo verso il desktop lo hanno fatto, qeulli di OpenBSD, no. Sono S.O. pensati per cose diverse.
    non+autenticato
  • No, suggerisce di non usare windows ed osx.
    Leggi bene.
    non+autenticato
  • - Scritto da: xte
    ...

    > cercare di usare FreeBSD

    Non ce la faranno MAI ad installarlo, il loro destino è passare dai cetrioli alle angurie.
    non+autenticato
  • - Scritto da: xte
    > per le vittime c'è una SOLA speranza: aver
    > imparato la lezione. Lasciare quindi Windows (ed
    > OSX, per buona misura), fare un backup decente,
    > usare fs non così arcaici da non avere gli
    > snapshot,

    Due domande:
    1) ma se uno fa un backup decente, perché allora dovrebbe fare il resto che suggerisci? Vorresti dire che alcuni sistemi sono inviolabili?
    2) a che FS arcaici che non hanno snapshot ti riferisci?
    non+autenticato