NotPetya, per le vittime c'è speranza

Positive Technologies ha trovato un modo per decifrare i dati sfruttando alcuni errori commessi dagli autori del virus. Tuttavia non è ancora efficace al 100 per cento. Nel frattempo l'autore del Petya originale rende pubblica la sua chiave di cifratura con l'intento di aiutare

Roma – Dmitry Sklyarov, leader del team di Reverse Engineering di Positive Technologies , società di sicurezza russa, ha pubblicato un procedimento che consente – sotto determinate circostanze – il recupero dei dati contenuti in un computer infetto dal ransomware/wiper NotPetya .

notpetya

La condizione principale affinché il procedimento possa avere luogo è che NotPetya abbia ottenuto i privilegi di amministratore nell’infettare la macchina: in questo caso il ransomware utilizza l’algoritmo Salsa20 per cifrare il disco, in caso contrario opta per AES-256 .

Entrambi gli algoritmi (il primo è un cifrario a flusso, il secondo un cifrario a blocchi) sono estremamente robusti, tuttavia i creatori del virus hanno commesso diversi errori che rendono fattibile, pur se complesso ed oneroso in termini di tempo e CPU, un processo di decifratura nel caso in cui venga utilizzato Salsa20.

Nel dettaglio, Sklyarov descrive due errori di implementazione relativi alle funzioni s20_crypt32 , che si occupa della cifratura dei settori del disco, e s20_rev_littleendian , che sposta il keystream generato all’interno di una word di 32 bit. Questi errori comportano il fatto che i keystream abbiano una periodicità di 2^16 bit, cioè 4 megabyte, e non siano in grado di cifrare completamente il dato, rendendo l’algoritmo vulnerabile ad un attacco con testo in chiaro noto . Un ulteriore aiuto al processo di decifratura è dato dal fatto che due settori limitrofi vengono cifrati per mezzo dello stesso keyframe, a meno di due byte indicanti l’offset .

Il ricercatore descrive anche le modalità di decifratura utilizzate, basate sul contenuto in chiaro presente su disco, che possono essere file di sistema “standard”, oppure i primi sedici record della MFT del file system NTFS. Tuttavia, le tempistiche della procedura possono durare diverse ore e l’efficacia, seppure possa raggiungere il 100 per cento, dipende fortemente da fattori come la dimensione del disco, lo spazio libero a disposizione e la frammentazione del file system.

Altra buona notizia, purtroppo non strettamente correlata a NotPetya, è il fatto che l’autore delle prime versioni del ransomware Petya (“Janus Cybercrime Solutions”) abbia deciso di rilasciare la chiave di decifratura attraverso un archivio cifrato caricato sul sito di file hosting Mega . La chiave, testata e funzionante, è in grado di decifrare i dati dei computer infettati dalle prime tre versioni di Petya, tuttavia non è efficace su NotPetya il quale, nonostante condivida buona parte del codice sorgente con il suo predecessore, diverge in alcuni dettagli di implementazione significativi .

Elia Tufarolo

Fonte Immagine

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Fabrizio scrive:
    OT Banner in homepage
    Scusate se sXXXXX i commenti (che sono sempre pacati e in topic su questo sito) ma non sapevo dove scrivere questa rimostranza facendo si che la vedano tutti gli utenti.E' possibile che un sito che spero voglia reputarsi serio in homepage pubblicizzi rimedi miracolosi per perdere 23 kg bevendo a digiuno acqua e arancia/limone per sciogliere i grassi (crepando nel frattempo)? Va bene che per guadagnare si fa tutto ma un po di decenza.Senza contare che il link riporta a un sito dall'url chilometrico sicuramente costruito ad arte per contenere virus, malware e similiChiedo nuovamente scusa per l'offtopic
    • rabarbarose cco scrive:
      Re: OT Banner in homepage
      - Scritto da: Fabrizio
      E' possibile che un sito che spero voglia
      reputarsi serio [img]https://beatingcowdens.files.wordpress.com/2013/02/lsughing-dog.gif[/img]
      Senza contare che il link riporta a un sito
      dall'url chilometrico sicuramente costruito ad
      arte per contenere virus, malware e
      similima Maruccia poi fa un bell'articolo sul malware e sugli hakkerussi che l'hanno inventato (rotfl)
      • ... scrive:
        Re: OT Banner in homepage
        - Scritto da: rabarbarose cco
        - Scritto da: Fabrizio


        E' possibile che un sito che spero voglia

        reputarsi serio

        [img]https://beatingcowdens.files.wordpress.com/20


        Senza contare che il link riporta a un sito

        dall'url chilometrico sicuramente costruito
        ad

        arte per contenere virus, malware e

        simili

        ma Maruccia poi fa un bell'articolo sul malware e
        sugli hakkerussi che l'hanno inventato
        (rotfl)uno dei miei preferiti era "sei il milionesimo visitatore, hai vinto un iphone, clicca qui". Allora capii che la misura era colma e da allora san "ublock" venne con la sua spada di fuoco a fare giustizia di questa immondizia.
    • rabarbarose cco scrive:
      Re: OT Banner in homepage
      - Scritto da: Fabrizio
      E' possibile che un sito che spero voglia
      reputarsi serio[img]http://dadandburied.com/wp-content/uploads/2012/07/funny-dog-laughing-poster-you-funny-kid1.jpg[/img]
    • ... scrive:
      Re: OT Banner in homepage
      - Scritto da: Fabrizio
      Scusate se sXXXXX i commenti (che sono sempre
      pacati e in topic su questo sito) ma non sapevo
      dove scrivere questa rimostranza facendo si che
      la vedano tutti gli
      utenti.

      E' possibile che un sito che spero voglia
      reputarsi serio in homepage pubblicizzi rimedi
      miracolosi per perdere 23 kg bevendo a digiuno
      acqua e arancia/limone per sciogliere i grassi
      (crepando nel frattempo)? Va bene che per
      guadagnare si fa tutto ma un po di
      decenza.
      Senza contare che il link riporta a un sito
      dall'url chilometrico sicuramente costruito ad
      arte per contenere virus, malware e
      simili

      Chiedo nuovamente scusa per l'offtopicma pi non e' serio. fine della discussione.
    • ... scrive:
      Re: OT Banner in homepage
      e secondo tutti quelli che scrivono per fare flame secondo te a cosa servono?la pubblicità paga e più click ci sono meglio è, più commenti ci sono meglio è poi se la pubblicità è ingannevole o ti può installare virus a p.i. non interessa niente.Ai flamer sarebbe meglio non rispondere a prescindere poi come ti hanno già detto p.i. non è un sito serio
      • Fabrizio scrive:
        Re: OT Banner in homepage
        - Scritto da: ...
        e secondo tutti quelli che scrivono per fare
        flame secondo te a cosa
        servono?
        la pubblicità paga e più click ci sono meglio è,
        più commenti ci sono meglio è poi se la
        pubblicità è ingannevole o ti può installare
        virus a p.i. non interessa
        niente.
        Ai flamer sarebbe meglio non rispondere a
        prescindere poi come ti hanno già detto p.i. non
        è un sito
        serioottimo ma se non è un sito serio noi che ci facciamo qui?
        • ... scrive:
          Re: OT Banner in homepage
          - Scritto da: Fabrizio
          - Scritto da: ...

          e secondo tutti quelli che scrivono per fare

          flame secondo te a cosa

          servono?

          la pubblicità paga e più click ci sono meglio è,

          più commenti ci sono meglio è poi se la

          pubblicità è ingannevole o ti può installare

          virus a p.i. non interessa

          niente.

          Ai flamer sarebbe meglio non rispondere a

          prescindere poi come ti hanno già detto p.i. non

          è un sito

          serio

          ottimo ma se non è un sito serio noi che ci
          facciamo
          qui?cazzeggiamo! :D
    • xte scrive:
      Re: OT Banner in homepage
      Mi associo a livello di concetto ma privoxy non fa passare questo banner :-)Quando un gestore di un sito capisce che mettere la pubblicità discreta vuol dire guadagnare perché degli utenti altrettanto razionali non la bloccano, altrimenti ognuno viva come vuole...
      • Il Fuddaro scrive:
        Re: OT Banner in homepage
        - Scritto da: xte
        Quando un gestore di un sito capisce che mettereSolo per utenti con un briciolo di capacità. Quelli che non sanno come fare perché hanno il blocco popup e compagnia cantante si beccano la pubblicità e sono la maggioranza
        • xte scrive:
          Re: OT Banner in homepage
          Vuoi dire che la maggioranza degli utenti di PI non dico che usi privoxy, ma per lo meno uBlock&c? Che oramai non conoscano privacyBadger, refresh-blocker, ... ?Oh, parlassimo di topgirl o autoblog... Ma PI...
  • ... scrive:
    luci e ombre
    complicare la vita agli attaccanti (NSA e CIA prima di tutti) e' sempre cosa buona e giusta. OpenBSD e' pero' S.O. tipico dei server e tenere i tool di compilazione/linking presenti su un server non mi sembra una grande idea, in quanto confligge pesantemente con la politica del "sui server esposti ad internet tieni sempre lo stretto indispensabile e usa solo kernel ricompilati ad hoc su una macchina diversa".PS: tufrolo, ma hai cambiato la foto? mi sembra un miglioramento, prima la foto da "quattrocchi nerd sfigat XXXXi*lo" faceva un po' brutto, ora sei passato alla modalita' "geek che piace alle donne". ohhh, si scherza, dai!
    • Patrizio Tufarolo scrive:
      Re: luci e ombre
      Se fossi un po' più scaltro ti accorgeresti che oltre alla faccia e alla foto, anche il nome è diverso perché siamo due persone diverse :D Io sarò sempre il quattrocchi nerd sfigato e XXXXi*lo!
      • Pico scrive:
        Re: luci e ombre
        Bravo! Ma non sminuirti troppo, nel senso del valore...
      • Il Fuddaro scrive:
        Re: luci e ombre
        - Scritto da: Patrizio Tufarolo
        Se fossi un po' più scaltro ti accorgeresti che
        oltre alla faccia e alla foto, anche il nome è
        diverso perché siamo due persone diverse :D Io
        sarò sempre il quattrocchi nerd sfigato e
        XXXXi*lo!Sappilo che quando vedi ... pallino ,o tre puntini, oppure tre palle o come tu lo voglia chiamare, stai tranquillo che e tutta XXXXX, che fuoriesce da una testa a forma di XXXXX.Voglio dire Tufarolo, goditi la tua giornata e spercila quel cerebroleso che per 'nostra' penitenza è h24 7/7 su questo sito a dare risposte di XXXXX alle sue stesse domande da cabrone.Spero di averti chiarito con chi ai a che fare.E per quanto riguarda i post sei l'unico che vale la pena di perdere quei due minuti per leggere quello che hai scritto, vista anche la tua giovane età. Che di questi tempi in piena esplosione di gioventù e giovani vuoti di cervello non è poca cosa.Saluti.
      • piaccapi scrive:
        Re: luci e ombre
        Intanto, a causa dei "tufaroli", ho ripreso a leggere articoli di PI come da anni nn mi capitava di fare, senza badare troppo ai commenti. Foto favolosa. Continua cosi
        • Patrizio Tufarolo scrive:
          Re: luci e ombre
          Vi ringrazio per i commenti di stima, ma il bello di commenti è che ognuno può scrivere e scherzare come vuole :) Di sicuro non me la prendo, ho assoluta stima nei confronti dei lettori assolutamente in grado di rendersi conto del valore degli articoli così come di quello dei commenti ;)-----------------------------------------------------------Modificato dall' autore il 12 luglio 2017 15.50-----------------------------------------------------------
          • bubba scrive:
            Re: luci e ombre
            - Scritto da: Patrizio Tufarolo
            Vi ringrazio per i commenti di stima, ma il bello
            di commenti è che ognuno può scrivere e scherzare
            come vuole :) Di sicuro non me la prendo, ho
            assoluta stima nei confronti dei lettori
            assolutamente in grado di rendersi conto del
            valore degli articoli così come di quello dei
            commenti
            ;)..... visto che sei ancora un giovane virgulto :D che risponde ai post... che ne diresti di riferire alla redazione che da una *decina d'anni* NON si puo' usare la tag [img con un sito httpS:// xche la XXXXXX... non sara' il caso di correggere questo bug prima che l'http sparisca del tutto dal globo terracqueo? :)
          • Patrizio Tufarolo scrive:
            Re: luci e ombre
            Vedrò che si può fare, ma non prometto nullaCiao!
          • ... scrive:
            Re: luci e ombre
            - Scritto da: Patrizio Tufarolo
            Vedrò che si può fare, ma non prometto nulla

            Ciao!Lascia perdere. Il sito che cade a pezzi è molto più divertente! :D
          • rockroll scrive:
            Re: luci e ombre
            annullamento di doppio intervento, chiedo scusa.-----------------------------------------------------------Modificato dall' autore il 14 luglio 2017 04.02-----------------------------------------------------------
          • rockroll scrive:
            Re: luci e ombre
            - Scritto da: Patrizio Tufarolo
            Vedrò che si può fare, ma non prometto nulla

            Ciao!Aspetta, non te ne andare, prima rispondi al quanto sto per dirti. Scombinare in modo imprevedibile la sequenza di istruzioni (ovviamente preservando la logica di esecuzione) può servire a rendere difficoltosa la comprensione del codice macchina (però un buon disassemblatore può risolvere il problema di reverse-engineering), ma non credo che gli hacker cattivoni si scervellino più di tanto sul codice oggetto, credo invece che i suddetti creino solo applicazioni malevole, che una volta entrate fanno la loro azione (guastatrice nel nostro caso) al pari di qualunque altro programma caricato in memoria e mandato in esecuzione, indipendentemente dall'apparente scombinamento del codice di sistema base e delle sue aree operative. Certamente la comprensione del codice di sistema può servire per identificare eventuali vulnerabilità, utili magari per far entrare in qualche modo galeotto il SW malevolo e magari per compiere operazioni che il SW di sistema dovrebbe impedire, ma il mio discorso è diverso: il sistema è tutto corretto e non ha buchi (supponiamolo per una volta), ma è soggetto lo stesso ad attacchi hacker, io dico, perchè il codice malevolo, ovviamente arrivato via rete, viene installato come un qualsiasi programma saricato consapevolmente (download, P2P, ...) o inconsapevolmente (sito WEB compromesso, allegati eseguibili mascherati, ...) e quindi mandato in una prima esecuzione "di installazione" con l'inganno ma sempre dietro ad una specifica azione dell'utente ingenuo, io dico. La prima installazione provvede anche a modificare registri e parametri affinchè il SW galeotto installato entri in esecuzione secondo i voleri dei malandrini. Stando così le cose nulla possono le tecniche KARL e KASLR ed ancor meno possono le patch di sicurezza, perchè il malware che entra si presenta come eseguibile legittimo, e non fa differenza se il sistema è perfettamente patchato o pieno di buchi. Solo un antivirus, se il malware è già stato preso in carico, può difenderci.In ultima analisi, gli updates di sicurezza non garantiscono un bel nulla, e tento meno lo scombinamento del codice di base. Sbaglio clamorosammente o m'inganno come un pisquano o cado miseramente in errore facendo la più barbina figura di nutella?
          • Patrizio Tufarolo scrive:
            Re: luci e ombre
            Un binario, quando eseguito, ha permessi, privilegi e capabilities legate all'utente che lo lancia.Il discorso affrontato nell'articolo di Elia è molto più a basso livello, e prescinde dall'esistenza di programmi nocivi installati ed eseguiti consapevolmente dall'utente. Li ovviamente non è sfruttato alcun exploit.L'obiettivo di KARL e KASLR non è quello di fermare tali software; per quello esistono già approcci preventivi (controllo degli accessi severo, anche con politiche mandatorie, così da impedire al software di "evadere" i propri permessi) e misure adottabili a posteriori (ad esempio le soluzioni antivirus).Posto che, al contrario di quanto asserisci, gli "hacker cattivoni" si concentrano soprattutto sul codice oggetto, la randomizzazione degli indirizzi serve a impedire attacchi al codice mediante attacchi di buffer overflow/overrun ed è normalmente applicata, ad esempio, come meccanismo di protezione dello stack nei software lanciati in user-space; in questo caso è usata invece per proteggere il kernel da rootkit e altri malware che possono attaccarlo a basso livello iniettando codice da eseguire in kernel space, e quindi con i massimi privilegi acquisibili.
        • ulderico scrive:
          Re: luci e ombre
          - Scritto da: piaccapi
          Intanto, a causa dei "tufaroli", ho ripreso a
          leggere articoli di PI come da anni nn mi
          capitava di fare, senza badare troppo ai
          commenti. Foto favolosa. Continua
          cosisono rimasto piacevolmente sorpreso anch'io da Patrizio
      • ... scrive:
        Re: luci e ombre
        - Scritto da: Patrizio Tufarolo
        Se fossi un po' più scaltro ti accorgeresti che
        oltre alla faccia e alla foto, anche il nome è
        diverso perché siamo due persone diverse :D Io
        sarò sempre il quattrocchi nerd sfigato e
        XXXXi*lo!ah che figura! va beh dai, sono un lettore di PI, non puoi mica pretendere piu' di tanto: ho una cache cerebrale da 64 bit, giusti giusti solo per il cognome, poi vado in overflow :)ps: siamo almeno 4 o 5 ad usare "..." come nick, quindi potrai vedere comportamenti schizofrenici associati al nick... comunque io sono quello dell'errore nome/foto :-)
        • Patrizio Tufarolo scrive:
          Re: luci e ombre
          Ahahah!! Però dai distinguetevi, ce ne saranno di caratteri unicode da usare al posto dei puntini? :D
          • ... scrive:
            Re: luci e ombre
            - Scritto da: Patrizio Tufarolo
            Ahahah!! Però dai distinguetevi, ce ne saranno di
            caratteri unicode da usare al posto dei puntini?
            :D!Il campo nome e cognome contiene dei caratteri non ammessi.!
          • ... scrive:
            Re: luci e ombre
            - Scritto da: Patrizio Tufarolo
            Ahahah!! Però dai distinguetevi, ce ne saranno di
            caratteri unicode da usare al posto dei puntini?
            :DNon e' un vezzo ma una necessita': prima venivo perennemente preso di mira dal T-100 (chiedi in redazione al "signor" L. A.), ora nella promisquita' del nick "...", sono piu' tranquillo. Inoltre essendo postatori diversi e quindi con personalita' estili di scrittura ed argomenti diversi, scombiniamo le carte ai profilatori automatici, la nostra piccolissima battagli a contro il Grande Fratello :-)
    • qwerty scrive:
      Re: luci e ombre
      - Scritto da: ...
      complicare la vita agli attaccanti (NSA e CIA
      prima di tutti) e' sempre cosa buona e giusta.
      OpenBSD e' pero' S.O. tipico dei server e tenere
      i tool di compilazione/linking presenti su un
      server non mi sembra una grande idea,Qui è tutto diverso. Il "tool" è sostanzialmente un modulo per il kernel che riordina le funzioni pre-compilate in precedenza in un ordine diverso a ogni boot.In pratica si stà parlando di una funzione memmove... che viene usata per fare lo swap su indirizzi diversi di codice già esistente.Successivamente deve modificare tutti gli indirizzi presenti nei jump in modo da farli funzionare.Non è un vero linker e non è per niente un compilatore. Pero' il compilatore e linker che viene usato inizialmente per creare il kernel deve generare del codice adhoc in modo da facilitare la procedura di mixing.
      • ... scrive:
        Re: luci e ombre
        - Scritto da: qwerty
        - Scritto da: ...

        complicare la vita agli attaccanti (NSA e CIA

        prima di tutti) e' sempre cosa buona e
        giusta.

        OpenBSD e' pero' S.O. tipico dei server e
        tenere

        i tool di compilazione/linking presenti su un

        server non mi sembra una grande idea,

        Qui è tutto diverso. Il "tool" è sostanzialmente
        un modulo per il kernel che riordina le funzioni
        pre-compilate in precedenza in un ordine diverso
        a ogni
        boot.
        In pratica si stà parlando di una funzione
        memmove... che viene usata per fare lo swap su
        indirizzi diversi di codice già
        esistente.
        Successivamente deve modificare tutti gli
        indirizzi presenti nei jump in modo da farli
        funzionare.
        Non è un vero linker e non è per niente un
        compilatore. Pero' il compilatore e linker che
        viene usato inizialmente per creare il kernel
        deve generare del codice adhoc in modo da
        facilitare la procedura di
        mixing.adesso la cosa e' chiara, grazie.
    • xte scrive:
      Re: luci e ombre
      OpenBSD != {Free,Net}BSD. OpenBSD non è port-based è pkg-based, niente compilatori nei deploy. Senza contare che anche su FreeBSD nessuno compila port in produzione, fai il pkg dai port sul mulo, lo provi e lo installi dal repo personale dell'azienda.
Chiudi i commenti