Po przeanalizowaniu procedury szyfrowania szkodliwego oprogramowania wykorzystywanego w atakach Petya/ExPetr sądziliśmy, że odpowiedzialne za nie ugrupowanie cyberprzestępcze nie może odszyfrować dysku ofiary, nawet jeśli ta zapłaci.

Potwierdza to teorię, zgodnie z którą kampania ta nie została zaplanowana jako atak z wykorzystaniem oprogramowania ransomware w celu uzyskania korzyści finansowych. Wygląda na to, że miał to być atak z wykorzystaniem programu wiper, który udaje ransomware.   

Poniżej przedstawiamy szczegóły techniczne. Po pierwsze, w celu odszyfrowania dysku ofiary osoby atakujące potrzebują identyfikator instalacji: 

We wcześniejszych wersjach “podobnego” oprogramowania ransomware, jak Petya/Mischa/GoldenEye, ten identyfikator instalacji zawiera istotne informacje dla odzyskania klucza. Po wysłaniu takich informacji do osoby atakującej może ona uzyskać klucz deszyfracji przy użyciu swojego prywatnego klucza.     

W ten sposób generowany jest identyfikator instalacji w oprogramowaniu ransomware ExPetr:

Identyfikator instalacji w naszym przypadku testowym jest tworzony przy użyciu funkcji CryptGenRandom, która zasadniczo polega na generowaniu losowych danych.

Poniższy bufor zawiera losowo wygenerowane dane w zakodowanym formacie “BASE58” :

Porównując losowo wygenerowane dane oraz ostateczny identyfikator instalacji na pierwszym ekranie, można zauważyć, że są takie same. W normalnej konfiguracji ciąg ten powinien zawierać zaszyfrowane informacje, które zostaną wykorzystane do przywrócenia klucza deszyfracji. W przypadku ExPet, identyfikator widniejący na ekranie z żądaniem okupu stanowi po prostu losowe dane.

To oznacza, że osoba atakująca nie może wydobyć żadnych informacji deszyfrujących z takiego losowo wygenerowanego ciągu wyświetlanego na ekranie ofiary, a w efekcie ofiary nie będą w stanie odszyfrować żadnych zaszyfrowanych dysków przy użyciu identyfikatora instalacji. 

Co to oznacza? Po pierwsze, jest to najgorsza z możliwych wiadomość dla ofiar – nawet gdy zapłacą okup, nie odzyskają swoich danych. Po drugie, potwierdza to teorię, według której głównym celem ataku ExPetr nie były korzyści finansowe ale niszczenie.   

Nasz przyjaciel Matt Suiche z Comae Technologies doszedł do tego samego wniosku.