Celem przestępców w ataku ransomware było zniszczenie danych, nie zarobek

dodał 29 czerwca 2017 o 10:05 w kategorii Złośniki  z tagami:
Celem przestępców w ataku ransomware było zniszczenie danych, nie zarobek

Wraz z postępem analiz najnowszego ransomware którego atak obserwowaliśmy we wtorek coraz wyraźniej widać, że celem atakujących była destrukcja a ofiary nigdy nie miały szansy odzyskać swoich danych.

Przypomnijmy skrót wtorkowych wydarzeń (wszystkie godziny czasu polskiego). O godzinie 9:30 tysiące komputerów na Ukrainie pobierają złośliwą aktualizację z serwera firmy produkującej oprogramowanie do celów podatkowych (analogiczne jak np. polski Płatnik). Dochodzi do infekcji i jej rozprzestrzenienia się w sieciach wewnętrznych. Infekujący kod konfiguruje zadanie szyfrowania komputerów na 13:30 i o tej porze do mediów trafiają pierwsze doniesienia o katastrofie. Godzinę później jest już po wszystkim. W ciągu kilkunastu minut zaszyfrowane zostają wszystkie zainfekowane komputery. Atak się kończy, zostaje pobojowisko i zdjęcia ekranów z komunikatem o konieczności wpłacenia 300 dolarów okupu. Nie o okup jednak tutaj chodziło.

Autorzy ataku nie planowali odszyfrowywania plików ofiar

Analiza firmy Kaspersky pokazuje jasno, że autorzy ataku nie przewidywali odszyfrowania plików ofiar. Skąd o tym wiemy? Aby zaszyfrować dane złośliwy program generował losowy klucz. Przestępcy go nie znają – jest na komputerze ofiary i nie był nigdzie wysyłany. Aby dane odszyfrować, trzeba go najpierw poznać. Zazwyczaj ransomware podaje ten klucz (w zaszyfrowanej formie) ofierze, by ta przekazała go przestępcom. Tutaj do tego nie dochodzi. Zapytacie pewnie czym w takim razie jest klucz widoczny na ekranie po zaszyfrowaniu komputera? To losowy ciąg znaków, bez związku z kluczem szyfrującym.

Tak, w emailu do przestępców zamiast podać ten ciąg znaków równie dobrze można było przepisać „Wlazł kotek na płotek” wspak – efekt byłby identyczny, brak możliwości odszyfrowania danych.

Choć pierwszy argument w zupełności wystarczy, to są także kolejne. Przestępcy powinni mieć interes w ułatwieniu ofierze dokonania płatności i przesłania danych. Z reguły ransomware szyfruje cenne pliki, ale po ataku komputer nadal działa i ofiara może kupować bitcoiny i wysyłać emaile. Tu ransomware (jeśli tylko ma odpowiednie uprawnienia) nadpisuje sektory startowe dysku by wyświetlić swój komunikat i unieruchomić w 100% komputer.

Notatka na marginesie
Jeśli uwierzyliście w magiczną poradę promowaną przez niektóre serwisy o treści „wyłącz komputer jak tylko zobaczysz ten komunikat to pliki nie zostaną zaszyfrowane” – była to nieprawda, ponieważ pliki były szyfrowane przed restartem komputera a komunikat udający chkdsk na ekranie był tylko zmyłką. Gdy go ktoś zobaczył, to było już za późno. Na dokładkę wszystkie porady „co robić by nie zostać ofiarą” był spóźnione o kilkanaście godzin – atak skończył się przed godziną 15 we wtorek i nie było potem nowych infekcji.

W wypadku tego ataku ofiara nie miała żadnych szans. Aby próbować odzyskać dane musiała korzystać z innego komputera, co znacząco obniżało szansę, że przestępca otrzyma swój okup. Dodajmy do tego ręczne przepisywanie skomplikowanego kodu z ekranu drugiego komputera – kto zrobi to bezbłędnie? Trzeci, znany już wcześniej argument – przestępcy jako sposób kontaktu wskazali skrzynkę pocztową, która została bardzo szybko zablokowana. Prawdziwi autorzy ransomware dbają o bezpieczeństwo kanału komunikacji, bo od niego zależy poziom ich zysków. Tym najwyraźniej nie zależało na wynagrodzeniu.

Gdyby tych argumentów nie wystarczyło do przekonania Was o prawdziwym celu działania ransomware, warto spojrzeć także do analizy firmy Comae, która odkryła, że podczas gdy oryginalna wersja Petya szyfrowała pierwsze sektory dysku twardego w odwracalny sposób, to opisywana właśnie nowa wersja zwyczajnie je nadpisuje, nie dbając o możliwość ich przywrócenia. To działanie destrukcyjne, wskazujące po raz kolejny na fakt, że w tym ataku chodziło o jak największe szkody po stronie ofiar.

Aktualizacja: Wg niektórych badaczy to nadpisanie pierwszych 24 sektorów nie ma negatywnych skutków dla możliwości odzyskania danych – w tych sektorach nie ma żadnych istotnych informacji. Najważniejsze jest zaszyfrowanie oryginalnego MBR, które bardzo znacząco utrudnia „ręczne” odzyskiwanie plików.

Nie zawsze zatem porady typu „Jeśli nie macie innego wyjścia to zapłaćcie okup” mają sens.

Czy dane da się odzyskać

Nie chcemy budzić niepotrzebnych nadziei, ale jakiś cień szansy jest. Po pierwsze robak szyfruje w każdym pliku tylko pierwszy megabajt danych. Jeśli zatem uszkodzona została baza danych korzystająca z dużych plików, to część informacji można próbować odzyskać (choć proces rekonstrukcji nie będzie prosty). Druga nutka nadziei leży w użytym kluczu. Nie znaleźliśmy jeszcze dokładnego opisu metody szyfrowania, ale wstępne wnioski badaczy wskazują, że kluczem do odzyskania danych jest klucz RSA o długości 800 bitów. To daje pewną nadzieję – już w 2009 roku udało się (po dwóch latach prac) obliczyć składniki klucza o długości 768 bitów, zatem możliwe, ze dzisiaj 800 bitów leży w zasięgu dostępnych chmur obliczeniowych. Mamy nadzieję, że gdzieś jakaś chmura już się nad tym kluczem poci i wkrótce pojawi się zbawca z narzędziem pozwalającym odzyskać chociaż część danych. Zatem nie wyrzucajcie zaszyfrowanych dysków – mogą się jeszcze przydać.

Aktualizacja: Niestety wszystko wskazuje na to, że danych nie da się odzyskać. Klucz AES 128 użyty do szyfrowania plików, zaszyfrowany jest kluczem publicznym RSA o długości 2048 bitów (a nie jak wcześniej donoszono 800 bitów) co czyni jego odzyskanie bardzo mało prawdopodobnym. Z kolei klucz Salsa20 użyty do szyfrowania MBR i tablicy partycji nie jest zapisywany na dysku.

Nasze wcześniejsze artykuły o tym ataku: