‘Door NotPetya gegijzelde data kan worden ontsleuteld’
Het blijkt in sommige gevallen mogelijk te zijn data die is versleuteld door Petya/NotPetya te ontsleutelen. Dit kan echter alleen als de malware op het getroffen systeem beheerdersrechten had.
Dit meldt Positive Technologies in een blogpost. Het bedrijf meldt dat NotPetya zonder beheerdersrechten data van slachtoffers versleuteld met AES-encryptie, terwijl het besturingssysteem niet wordt aangetast. In dit geval is het alleen mogelijk de data te ontsleutelen met behulp van de private RSA-sleutel, die vooralsnog niet beschikbaar is.
Salsa20-algoritme
Indien NotPetya echter beheerdersrechten heeft weten te verkrijgen is het Salsa20-algoritme gebruikt om de volledige harde schijf van slachtoffers te versleutelen. De makers van NotPetya hebben volgens Positive Technologies echter fouten gemaakt bij de implementatie van dit algoritme. Door deze fouten is de harde schijf versleuteld met een 128-bit sleutel, in plaats van een 256-bit variant. Het kraken van een 128-bit sleutel is echter nog steeds zeer tijdrovend.
Door de wijze waarop het Salsa20-algoritme is geïmplementeerd is het echter mogelijk de harde schijf van getroffen systemen zonder sleutel te ontsleutelen. Salsa20 is een 'synchronous stream cipher' die voor het versleutelen van bestanden gebruik maakt van keystream. NotPetya blijkt bestanden die groter zijn dan 4MB in veel gevallen met dezelfde keystream-fragmenten te hebben versleuteld.
Keystream achterhalen
Deze keystream kan worden achterhaald aan de hand van bekende bestanden waarvan zeker is dat die kunnen worden teruggevonden op de versleutelde harde schijf. Zo wijst Positive Technologies erop dat een schone installatie van Windows 8.1 uit meer dan 200.000 bestanden bestaat, waarvan een flink deel terug te vinden zijn op de versleutelde harde schijf van slachtoffers. Aan de hand van deze Windows-bestanden is het volgens het bedrijf mogelijk de keystream te achterhalen, waardoor vervolgens de bestanden kunnen worden ontsleuteld.
Momenteel is er nog geen tool beschikbaar waarmee die proces kan worden geautomatiseerd. Positive Technologies verwacht dat datarecovery specialisten echter hiervoor tools zullen ontwikkelen.
Meer over
Lees ook
Hackers verstoppen malware in metadata van PNG-bestand
Hackers zijn erin geslaagd malware te verstoppen in PNG-afbeeldingen. De malware nestelt zich in de metadata van de afbeeldingen en worden hierdoor op dit moment nog niet door virusscanners gedetecteerd. De nieuwe distributiemethode voor malware is ontdekt door de analist Peter Gramantik van het beveiligingsbedrijf Securi. Gramantik beschrijft de1
Europol: 'Ransomware is een miljoenenbusiness'
Het in gijzeling nemen van data van zowel bedrijven als consumenten en eisen van losgeld is een miljoenenbusiness. Tienduizenden slachtoffers van ransomware hebben inmiddels losgeld betaald. Dit stelt Europol, dat in samenwerking met het Nederlandse Nationale High Tech Crime Unit (NHTCU) ransomware heeft onderzocht. De opsporingsinstanties stellen1
Supermalware The Mask vormt meest geavanceerde cyberbedreiging
Stuxnet was tot nu toe de meest geavanceerde malware. Het lijkt er echter op dat Stuxnet door een nieuw ontdekte vorm van malware van de troon is gestoten. De 'supermalware' The Mask wordt omschreven als 'de meest geavanceerde cyberbedreiging van dit moment'. De malware Stuxnet is wereldberoemd. De malware viel gericht Iraanse nucleaire installati1