'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij'

De maker van de oorspronkelijke Petya-ransomware, een persoon die zichzelf als Janus aanduidt, zegt de privésleutel te hebben vrijgegeven voor decryptie van systemen die met de oorspronkelijke Petya-ransomware zijn besmet. Deze werkt niet voor de recente NotPetya-variant.

Hij deelde de sleutel onder meer met een Malwarebytes-onderzoeker die bekendstaat als Hasherezade. Op haar GitHub-pagina schrijft zij: "Het lijkt erop dat dit de privésleutel van Janus is voor alle voorgaande Petya-versies." Deze zou niet werken met de NotPetya-variant, die vorige week werd verspreid via het Oekraïense bedrijf Intellect Service. Ze belooft een decryptietool te schrijven, zodra ze daar de tijd voor vindt.

Of de tool nog voor veel mensen van waarde zal zijn, is onduidelijk. De Petya-ransomware dook voor het eerst op in maart van vorig jaar en onderscheidde zich doordat het volledige systeem ontoegankelijk werd na infectie. Verspreiding vond vooral plaats via e-mails met nepsollicitaties. Voor de eerste variant, ook wel Petya Red genaamd, verscheen naderhand een decryptietool.

Volgens Hasherezade werkt deze niet op latere varianten, zoals Petya Green, Mischa en Goldeneye. De privésleutel zou hier wel voor moeten werken. Het zou niet de eerste keer zijn dat Janus de decryptiesleutels van ransomware vrijgeeft. In het verleden deed de persoon achter de naam dat al voor de concurrerende Chimera-ransomware. Janus bood bovendien aan te helpen met decryptie van NotPetya.

Kort na de internetaanvallen van vorige week leek het erop dat de gebruikte malware Petya was. Naderhand bleek dit niet zo te zijn, waardoor onder meer de naam NotPetya ontstond. Woensdag leegden de personen achter de aanval de aan de malware verbonden bitcoinwallet en publiceerden ze een bericht dat zij de privésleutel zouden prijsgeven voor honderd bitcoin, omgerekend 225.000 euro.

Motherboard vroeg degene achter het bericht een door NotPetya versleuteld bestand te ontsleutelen, wat met succes gebeurde. Dat bewijst dat de persoon in kwestie toegang heeft tot de code van de malware, aldus twee beveiligingsonderzoekers. Of dat ook betekent dat decryptie voor een groot aantal slachtoffers mogelijk is, blijft onduidelijk doordat bugs daarbij in de weg kunnen staan. Beveiligingsbedrijf F-Secure meldde eerder dat decryptie mogelijk is, maar alleen onder veel voorwaarden.

Verschillende bedrijven, waaronder Microsoft en ESET, kwamen tot de conclusie dat NotPetya was verspreid via updates van de MeDoc-boekhoudsoftware van het Oekraïense bedrijf Intellect Service. Hoewel het bedrijf in eerste instantie ontkende, gaf het woensdag toe dat aanvallers toegang hadden tot de updates. In een donderdag gepubliceerde analyse schrijft Cisco-beveiligingsonderdeel Talos dat de aanvaller toegang tot de servers van Intellect Service had via gestolen beheerdersgegevens.

IT-banen

Reacties (53)

Poenzkie 6 juli 2017 14:34

"In de Romeinse mythologie was Janus de god van het begin en het einde, van het openen en het sluiten."

Interessante keuze van username.

Verwijderd @Poenzkie • 6 juli 2017 14:58

Aan de namen van de software te zien is het een referentie naar de film / het boek James Bond: Goldeneye. Petya en Mischa waren de satellieten, Janus de bad guy en Goldeneye de geheime derde satelliet.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 17:20]

Stoney3K @Verwijderd • 6 juli 2017 15:16

Aan de namen van de software te zien is het een referentie naar de film / het boek James Bond: Goldeneye. Petya en Mischa waren de satellieten, Janus een systeembeheerder en Goldeneye de geheime derde satelliet.

De eerste versie van Petya werd dan ook de Goldeneye-ransomware genoemd.

Goldeneye was trouwens niet de naam van de derde satelliet maar van het wapenproject waar Petya en Mischa onderdeel van waren.

[Reactie gewijzigd door Stoney3K op 27 juli 2024 17:20]

kjast @Verwijderd • 7 juli 2017 07:13

Wij geeft de naam aan de software? Is dat een beveiligingsbedrijf of zegt de software zelf "hoi ik ben petya en heb je files gegijzeld"?

Devion @Poenzkie • 6 juli 2017 14:40

't is ook een redelijk vaak voorkomende naam in oost europa.

AlterEgo @Poenzkie • 6 juli 2017 15:01

En Janus had twee gezichten.

encryped @Poenzkie • 6 juli 2017 14:41

Zou ook gebaseerd kunnen zijn op een karakter in de Deus ex reboot series.
http://deusex.wikia.com/wiki/Janus

Verwijderd @Poenzkie • 6 juli 2017 18:29

Waarschijnlijk een heel normale vent, meestal heeft hij niet zoveel te zeggen:
https://youtu.be/8S1fEnTjviU

Bitmaster 6 juli 2017 14:11

Kan de NSA voor de andere varianten niet ff de keys brute forcen met hun supercomputer?

[Reactie gewijzigd door Bitmaster op 27 juli 2024 17:20]

BRAINLESS01 @Bitmaster • 6 juli 2017 14:15

Dat is nog niet zo eenvoudig, zelfs met een supercomputer... Dat is ook de reden dat encryptie uberhaupt zin heeft, je kunt het zonder de sleutels niet lezen. Als Amerika toch een manier heeft om dat binnen korte tijd te doen, dan willen ze dat waarschijnlijk als staatsgeheim bewaren. Reken er dus maar niet op dat ze dit gaan doen, zelfs als het mogelijk zou zijn.

matroosoft @BRAINLESS01 • 6 juli 2017 15:02

Plot twist: Janus werkt bij de NSA.

BRAINLESS01 @matroosoft • 6 juli 2017 15:08

In dat geval kun je er zeker rekening mee houden dat Amerika dat geheim wil houden

Verwijderd @BRAINLESS01 • 7 juli 2017 05:24

Tja, en wat ga je dan proberen brute force te achterhalen?

De decryption key van één PC?
Dat zet niet echt zoden aan de dijk.

Of de private key van de aanvallers?
Dat laatste is denk ik een stuk nuttiger. Maar is dat uberhaupt mogelijk, en heb je dan genoeg informatie om voor iedereen een decription key te maken?

Oerdond3r @BRAINLESS01 • 6 juli 2017 15:13

Volgens mij had Snowden ook een keer gezegd dat de huidige encryptiestandaarden atm niet door de NSA gekraakt kunnen worden.

Countess @Bitmaster • 6 juli 2017 14:21

nee, de gebruikte keys zijn zo lang dat dat echt onbegonnen werk is.

Misschien zodra er volwaardige quantum computers zijn, maar dan zijn er weer andere encryptie technieken mogelijk.

supersnathan94 @Bitmaster • 6 juli 2017 14:57

Het idee van asymmetrische encryptie (waar het hier over gaat) is juist dat brute forcen dusdanig vrel tijd kost dat eer je de sleutel hebt gevonden het universum al drie keer is vergaan. Dit is vrijwel common knowledge hier en is vrij eenvoudig te vinden op de interwebs. Daarom wordt dit dan ook gezien als ongewenst. De vraag is namelijk niet of het kan. In theorie kan het namelijk, maar zelfs met alle rekenkracht ter wereld (dus alle supercomputers en normale pc's bij elkaar) is het praktisch gezien niet haalbaar.

killzonex @Bitmaster • 12 juli 2017 12:19

dankje! was geen vraag btw hij kreeg ze gewoon.

of moet ik dan toestemming vragen?

BramVroy 6 juli 2017 14:15

Wat is de reden dat die 'Janus' vaker sleutels vrijgeeft, en in het bijzonder nu voor zijn eigen ransomware? Loopt hij zo geen 'inkomsten' mis? Wat is zijn motief hiervoor?

biglia @BramVroy • 6 juli 2017 14:36

Hij heeft waarschijnlijk Petya geschreven en daarna de broncode verkocht aan iemand. Nu blijkt dat die persoon of groepering die deze broncode heeft gekocht, deze doorverkoopt en er winst mee maakt. Op deze manier probeert hij dit te stoppen.

Ik verzin dit nu ter plaatse en heb hier geen enkele aanwijzing voor. Dit is in het verleden ook wel bij andere malware eens gebeurd.

anargeek @biglia • 6 juli 2017 14:49

Petya is/was Ransomware As A Service: je kon bij Janus een licentie voor Petya kopen om je eigen aanvallen met die software te doen. Er zijn uitbraken van Petya geweest met gekraakte Petya (ransomware makers die ransomware van anderen kraken ja), dus misschien is er gewoon niet meer aan te verdienen. Piraterij raakt ook malwareschrijvers!
Tuurlijk is het makkelijk een hele sloot aan theorien te bedenken (Janus wordt onder druk gezet, de politie zit 'm op de hielen, hij heeft spijt etc), maar de waarheid zal waarschijnlijk niet boven water komen.

Hasherezade is overigens dé Petya-expert, een betere persoon om hiervoor een universele decryptor te schrijven kan ik niet bedenken

svennd @BramVroy • 6 juli 2017 14:25

Dat is de belangrijkste vraag die niemand kan beantwoorden ... Of Janus nu 1 of meerdere personen is, en of deze al dan niet de maker is, is onduidelijk.

HollowGamer @BramVroy • 6 juli 2017 16:59

Denk dat als hij later toch wordt ontmaskerd dat er kan worden aangeven dat de prive sleutel is vrijgegeven en daarmee hoop is op strafvermindering.

Verwijderd 6 juli 2017 14:11

Zo iemand moet toch te achterhalen zijn. Er moet altijd ergens een spoor te vinden zijn die naar een bepaald persoon of een groep van personen leidt. Niemand is volledig anoniem en er worden altijd wel ergens fouten gemaakt bij het wissen van de sporen.

Countess @Verwijderd • 6 juli 2017 14:19

bitcoins zijn wel annoniem.

enkel in het mechanism om na het betalen je computer te laten ontsleutelen zou je iets kunnen misschien, maar ik weet niet hoe dat in zijn werkt gaat...

En als ransom ware makers steeds via die weg worden gepakt dan is de kans alleen maar groter dat ze gewoon niet reageren na betaling.

Verwijderd1 @Countess • 6 juli 2017 14:25

Zodra die bitcoins gebruikt worden kun je ze aan een persoon koppelen, transacties staan immers in de blockchain en je weet naar welk adres het losgeld is overgemaakt.

mjz2cool @Verwijderd1 • 6 juli 2017 14:40

en je weet vervolgens in bepaalde gevallen niet van wie dat adres is

Verwijderd1 @mjz2cool • 6 juli 2017 14:46

Totdat het geld wordt uitgegeven, dan moet je natuurlijk weer weten wie achter dat adres zit etc. Maar echt relaxed uitgeven zal zomaar niet lukken.

Zie http://www.sciencemag.org...-cant-hide-behind-bitcoin.

mjz2cool @Verwijderd1 • 6 juli 2017 15:28

hmm, ik had ergens gelezen dat het met bepaalde versies wel helemaal anoniem kan

Waterbeesje @Verwijderd1 • 6 juli 2017 16:30

Willekeurige crimineel pro-editie zal zeggen: Neem een katvanger.
Iemand die financieel in de put zit is gevoelig voor 5-10% van jouw omzet om steeds transacties te gaan pinnen voor jou en willekeurige crimineel pro-editie is nog moeilijker te tracken.

Trieste praktijk, maar dat het een naam heeft zegt helaas al genoeg.

Anonymoussaurus

Security

@Verwijderd • 6 juli 2017 14:14

Dat is het probleem dan ook niet. Tuurlijk worden er sporen gevonden. Het gaat erom dat zulke sporen moeilijk te vinden zijn, en je vaak veel van dat soort kleine details (sporen) nodig hebt, wil je concreet bewijs hebben.

[Reactie gewijzigd door Anonymoussaurus op 27 juli 2024 17:20]

SSDtje

@Verwijderd • 6 juli 2017 14:17

"Niemand is volledig anoniem en er worden altijd wel ergens fouten gemaakt bij het wissen van de sporen."
En dat is dan ook vaak het lastige aan dit soort zaken.
De heer(en) & dame(s) achter dit soort aanvallen, hebben vaak de prioriteit erg hoog liggen op het punt van het achteraf wissen van alle sporen bij het maken van dit soort "software"
Dus het zal misschien wel kunnen, maar ze maken je het uit eigen ervaring vaak heeeel erg lastig op dit punt.

biglia @Verwijderd • 6 juli 2017 14:17

Aan zijn schrijfstijl te zien op zijn Twitter pagina is het geen Engels native speaker: https://twitter.com/JanusSecretary

EqutiX 6 juli 2017 15:01

Wat ik niet helemaal volg is

Motherboard vroeg degene achter het bericht om een door NotPetya-bestand te ontsleutelen, wat met succes gebeurde.

Terwijl in eerdere berichten vermeld werd dat het ontsleutelen van bestanden niet meer mogelijk was.
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'

stresstak @EqutiX • 6 juli 2017 15:24

Wat ik niet helemaal volg is

Twee verschillende dingen. Als je bij de maker van de ransomware een bestand laat ontsleutelen kan dat. Motherboard vroeg het en dat lukte.

Een thuisgebruiker/-slachtoffer kan het niet zelf omdat hij niet kan betalen en geen sleutel krijgt omdat betalingsmogelijkheid afgesloten is.

EqutiX @stresstak • 6 juli 2017 15:40

Waar ik op doelde is dat volgens onderzoek naar NotPetya de conclusie getrokken was dat decrypten met een key niet mogelijk was.

The ransomware was a lure for the media, this variant of Petya is a disguised wiper. Source: https://blog.comae.io/pet...a-ransomware-9ea1d8961d3b

[Reactie gewijzigd door EqutiX op 27 juli 2024 17:20]

robvanwijk

Netwerk en systeembeheer

@EqutiX • 6 juli 2017 22:20

De gehele schijf herstellen is niet mogelijk: de eerste 25 (??) sectoren worden met random troep overschreven (in plaats van geëncrypt) en dat is niet ongedaan te maken. De rest van de data wordt wel "gewoon" geëncrypt, dus daar zou het in theorie mogelijk zijn om te decrypten (wat dus kennelijk gelukt is).

Een ander probleem was dat de methode voor het controleren dat je betaald hebt niet kan werken: je "unieke ID" is random troep, dus de eigenaar heeft geen flauw idee welke sleutel ie je zou moeten sturen. Als er echter een master key wordt vrijgegeven, dan vervalt dat probleem, omdat die voor iedereen werkt en het "unieke ID" dus helemaal niet relevant is.

EqutiX @robvanwijk • 7 juli 2017 09:21

Bedankt voor je duidelijke uitleg.
Ik dacht dat de hele schijf daardoor onbruikbaar was.
Weer wat geleerd.

Mr.Aargh @EqutiX • 6 juli 2017 15:40

Omdat er geen tussensleutel bewaard was zodat je specifieke gebruikers hun bestanden kon laten ontsleutelen.
Maar, indien je de private key hebt (van de ontwikkelaar) kun je alles ontsleutelen.
Als die door de ontwikkelaar aan een eindgebruiker gegeven zou worden zouden mensen alles kunnen ontsleutelen en daar werdt natuurlijk niet vanuit gegaan in dat bericht.

EqutiX @Mr.Aargh • 6 juli 2017 17:13

Ik heb niet veel ervaring met encrypten en decrypten, dus misschien haal ik verschillende dingen door de war maar hoe zit het dan met het overschrijven van sector blocks waar ze het in het artikel over hebben?

2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk. Source: https://blog.comae.io/pet...a-ransomware-9ea1d8961d3b

Zorgt dit er niet juist voor dat geen enkele key meer werkt?

biglia 6 juli 2017 14:04

Ze belooft een decryptietool te schrijven, zodra ze daar de tijd voor vindt.

Wat ze werkelijk schreef:

I will write a decryptor soon, stay tuned!

"Zodra ze daar de tijd voor vindt" lijkt me eerder dat het er nooit zal van komen.

Verwijderd @biglia • 6 juli 2017 15:18

hasherezade‏ @hasherezade 4 uur4 uur geleden
Meer
when the time will allow me. I will announce it on twitter

Aurora 6 juli 2017 14:38

Of de tool nog voor veel mensen van waarde zal zijn, is onduidelijk.

Als ik slachtoffer was, had ik mijn harde schijf gedemonteerd en gewaarborgd, in de hoop dat ooit de private key vrij zou komen. Al duurt dat een paar jaar.

stresstak @Aurora • 6 juli 2017 15:26

... in de hoop dat ooit de private key vrij zou komen. Al duurt dat een paar jaar.

Met TeslaCrypt vorig jaar werkte dat inderdaad. Na 10 weken of zo.
Schijf aansluiten, ontsleutelen, klaar.

Verwijderd 6 juli 2017 14:37

Wat ik niet snap is waarom je de private key zou vijgeven. Die man of vrouw zal toch geen gewetensprobleem hebben? Of denkt ie dat de rechtbanken milder zullen zijn bij een eventuele arrestatie?

smellysock 6 juli 2017 15:10

Ik moet meteen hieraan denken

https://en.wikipedia.org/wiki/Alec_Trevelyan

met dit erbij

https://en.wikipedia.org/wiki/Cossacks

ooooooh de conspiracy theories !

Ik accepteer bijvoorbaat de minnetjes

pauldaytona 6 juli 2017 14:09

Zo zou je bijna sympathie voor janus krijgen.....Not

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (53)

Sorteer op:

Weergave: