Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr sądziliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci.
Potwierdza to teorię, zgodnie z którą kampania ta nie została zaplanowana jako atak z wykorzystaniem oprogramowania ransomware w celu uzyskania korzyści finansowych. Wygląda na to, że miał to być atak z wykorzystaniem programu wiper, który udaje ransomware.
Poniżej przedstawiamy szczegóły techniczne. Po pierwsze, w celu odszyfrowania dysku ofiary osoby atakujące potrzebują identyfikator instalacji:
We wcześniejszych wersjach “podobnego” oprogramowania ransomware, jak Petya/Mischa/GoldenEye, ten identyfikator instalacji zawiera istotne informacje dla odzyskania klucza. Po wysłaniu takich informacji do osoby atakującej może ona uzyskać klucz deszyfracji przy użyciu swojego prywatnego klucza.
W ten sposób generowany jest identyfikator instalacji w oprogramowaniu ransomware ExPetr:
Identyfikator instalacji w naszym przypadku testowym jest tworzony przy użyciu funkcji CryptGenRandom, która zasadniczo polega na generowaniu losowych danych.
Poniższy bufor zawiera losowo wygenerowane dane w zakodowanym formacie “BASE58” :
Porównując losowo wygenerowane dane oraz ostateczny identyfikator instalacji na pierwszym ekranie, można zauważyć, że są takie same. W normalnej konfiguracji ciąg ten powinien zawierać zaszyfrowane informacje, które zostaną wykorzystane do przywrócenia klucza deszyfracji. W przypadku ExPet, identyfikator widniejący na ekranie z żądaniem okupu stanowi po prostu losowe dane.
To oznacza, że osoba atakująca nie może wydobyć żadnych informacji deszyfrujących z takiego losowo wygenerowanego ciągu wyświetlanego na ekranie ofiary, a w efekcie ofiary nie będą w stanie odszyfrować żadnych zaszyfrowanych dysków przy użyciu identyfikatora instalacji.
Co to oznacza? Po pierwsze, jest to najgorsza z możliwych wiadomość dla ofiar – nawet gdy zapłacą okup, nie odzyskają swoich danych. Po drugie, potwierdza to teorię, według której głównym celem ataku ExPetr nie były korzyści finansowe ale niszczenie.
Nasz przyjaciel Matt Suiche z Comae Technologies doszedł do tego samego wniosku.
Analizy
Blog