Halbwegs gute Nachrichten von Opfern der Ransomware NotPetya, die ja Ende Juni 2017 Rechner in Firmen unbrauchbar machte und Dateien verschlüsselte. Einem Sicherheitsforscher ist es gelungen, verschlüsselte Dateien wiederherzustellen (indem der Code analysiert wurde und verschlüsselte Daten geknackt wurden). Die schlechte Nachricht: Das Ganze ist sehr aufwändig, ein einfaches Tool zum Entschlüsseln steht (bisher) nicht zur Verfügung.
Über den Angriff des Verschlüsselungstrojaners NotPetya, den einige Sicherheitsforscher als Wiper bezeichnen, da er auf Zerstörung und maximalen Schaden ausgelegt war, hatte ich im Blog ja umfassend berichtet (siehe Link-Liste am Artikelende).
Fehler des Malwareentwicklers hilft
Die Malware NotPetya war wohl recht ausgeklügelt, weist im Code aber zahlreiche Bugs auf. Sicherheitsforschern der Firma Positive Technologies ist es nun gelungen, Dateien zu entschlüsseln. Problem: Die brauchten keinen Key, sondern konnte das Ganze per Plain Text-Angriff bewerkstelligen. Die Info über den Erfolg findet sich in Blog-Beitrag (Englisch) der Firma. Die Forscher schreiben:
It turned out that the creators of NotPetya made an error in their implementation of the Salsa20 algorithm. Due to this error, half of the encryption key bytes were not used in any way. This reduction in key length from 256 to 128 bits, unfortunately, still does not leave any hope of decrypting data in a reasonable time.
Den Autoren der Malware ist ein Fehler in der Implementierung des zur Berechnung der Schlüssel verwendeten Salsa20-Algorithmus unterlaufen. Die Hälfte der möglichen Schlüssel wurde nicht verwendet. Damit wurde die Schlüssellänge von 256 auf 128 Bit reduziert. Allerdings ist dort der Aufwand zur Berechnung der Schlüssel immer noch so hoch, dass sich das Ganze nicht in absehbarer Zeit abwickeln lässt.
Allerdings gab es weitere Einschränkungen in der Art, wie der Salsa20-Algorithmus angewendet wurde. Am Ende des Tages war es möglich, Dateien ohne Key zu entschlüsseln. In ihrem Blog-Beitrag gehen die Sicherheitsforscher auf die Funktionsweise des Salsa20-Algorithmus ein – was aber nicht so interessant ist. Spannender ist, dass dem Entwickler der Malware weitere Fehler unterlaufen sind. So konnten viele Werte mit einem einfache Plain-Text-Angriff ausprobiert werden.
Am Ende des Tages konnten verschlüsselte Informationen und Dateien an Hand einer bekannten Datei restauriert werden. Das ist der gute Teil der Nachricht. Der schlechtere Teil: Da die Schlüssel wohl nicht geknackt werden konnten, ist das Restaurieren der verschlüsselten Dateien wohl recht aufwändig. Es gibt die Hoffnung, dass Spezialfirmen zur Datenrettung eine entsprechende Software entwickeln. Dies wird sich aber nur bei sehr wertvollen Daten finanziell lohnen. Die Schäden durch Produktionsausfälle sind da wohl höher und viele Betroffene haben (hoffentlich) Backups der betreffenden Dateien. (via, via)
Ähnliche Artikel:
Master-Key der Petya Ransomware freigegeben
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Neues zu Petya: Zahl der Infektionen, Ziele und mehr …
Neues zur Petya Ransomware – Gegenmittel gefunden?
Achtung: Petya Ransomware befällt weltweit Systeme