News - Malware & Hoax - TG Soft Cyber Security Specialist

10/04/2016
09:31

Il punto debole di Petya Ransomware!

Come determinare la chiave utilizzata da Petya per cifrare la Master File Table.

Il 31 marzo scorso il C.R.A.M. di TG Soft aveva analizzato il funzionamento a basso livello di Petya Ransomware, la cui analisi può essere consultata dall'informativa: "Petya Ransomware ai raggi X !!".

Vediamo ora come è possibile determinare la chiave utilizzata per la cifratura della MFT (Master File Table).

Abbiamo visto che la lunghezza della key inserita deve essere compresa tra 16 e 73 caratteri. Solo i caratteri compresi tra lo spazio ' ' asc(0x20) e la '~' asc (0x7e) saranno stampati a video.

Ma dalla key inserita vengono presi solo i primi 16 caratteri che appartengono al seguente insieme:
123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX

questa nuova key sarà chiamata Key da 16 byte: B₀, B₁, B₂, B₃, B₄, B₅, B₆, B₇, B₈, B₉, B₁₀, B₁₁, B₁₂, B₁₃, B₁₄, B₁₅

Dalla Key da 16 byte si ottiene una Key da 32 byte come rappresentato in figura:

La Key da 32 byte sarà utilizzata per decifrare da Petya.

Petya usa una versione "ibrida" di Salsa20. Esso crea una tabella "master" di partenza di 0x40 byte (come mostrata in figura), dove viene inizializzata con i seguenti valori:

"expand 32-byte k"
Key da 32 byte
Vettore da 8 byte del settore 0x36
8 byte con valore 0

come vediamo da questo schema:

Dalla "Master Table" di 0x40 byte vengono create 2 tabelle (vettori) uguali di 0x20 byte: Tab_1 e Tab_2.
Tab_1 e Tab_2 sono ottenute prendendo la parte bassa (WORD) delle 16 DWORD della "Master Table".
In questo modo si andranno ad utilizzare solo i byte K₀, K₁, K₄, K₅, ..., K₂₈, K₂₉ della Key a 32 byte.
La Tab_1 sarà rimescolata dall'algoritmo di Salsa e sommata a 16 bit con la Tab_2 ottenendo una tabella di 16 DWORD contenenti le chiavi XOR per la cifratura (Tab_3).

Da questo si evince che Petya utilizza solo 8 dei 16 Byte inseriti nella chiave iniziale, questo ci perme di determinare in modo più agevole la chiave di cifratura utilizzata.
I byte della chiave utilizzati nell'algoritmo di cifratura saranno: B₀, B₂, B₄, B₆, B₈, B₁₀, B₁₂, B₁₄
In questo modo siamo passati da una chiave inserita di 16 Byte ad una chiave di 8 Byte, abbassando notevolmente il numero delle possibili combinazioni (54⁸⁾.
Con l'ausilio di tecniche di "Brute Force" o algoritmi geneteci sarà possibile determinare la chiave inserita e decriptare la Master File Table.

Aggiornamento del 11/04/2016: Il ricercatore Leo Stone ha realizzato un decodifcatore di Petya all'indirizzo: https://petya-pay-no-ransom.herokuapp.com/

Aggiornamento del 12/04/2016: Con l'aggiornamento 8.1.50 di VirIT (versione LITE e PRO) abbiamo rilasciato una nuova versione del modulo "Ninjavir" che permette di calcolare la chiave di cifratura utlizzata di Petya.

E' necessario collegare il disco infetto da Petya come secondario in un altro computer e installare la versione LITE (free) o PRO di VirIT.
La versione Lite di VirIT è scaricabile dalla pagina di download.
Dopo aver installato VirIT e aggiornato alla 8.1.50 (dopo l'aggiornamento si consiglia di riavviare il pc).

Aprire un cmd (prompt del dos) con i diritti di administrator:
Dal prompt eseguire il comando: c:\vexplite\ninjavir.exe /gui

Si aprirà il programma "Ninjavir", attendere qualche secondo per la sua inizializzazione.
Clickare sul menu "Decoder->Petya Ransomware" e selezionare l'unità infetta da "Petya Ransomware". Ninjavir visualizzerà una finestra con la key utilizzata da Petya per la cifratura:

Autore: Ing. Gianfranco Tonello

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

Il punto debole di Petya Ransomware!

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: