Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Maker oorspronkelijke Petya-ransomware geeft privésleutel vrij'

Door , 53 reacties, submitter: Radiant

De maker van de oorspronkelijke Petya-ransomware, een persoon die zichzelf als Janus aanduidt, zegt de privésleutel te hebben vrijgegeven voor decryptie van systemen die met de oorspronkelijke Petya-ransomware zijn besmet. Deze werkt niet voor de recente NotPetya-variant.

Hij deelde de sleutel onder meer met een Malwarebytes-onderzoeker die bekendstaat als Hasherezade. Op haar GitHub-pagina schrijft zij: "Het lijkt erop dat dit de privésleutel van Janus is voor alle voorgaande Petya-versies." Deze zou niet werken met de NotPetya-variant, die vorige week werd verspreid via het Oekraïense bedrijf Intellect Service. Ze belooft een decryptietool te schrijven, zodra ze daar de tijd voor vindt.

Of de tool nog voor veel mensen van waarde zal zijn, is onduidelijk. De Petya-ransomware dook voor het eerst op in maart van vorig jaar en onderscheidde zich doordat het volledige systeem ontoegankelijk werd na infectie. Verspreiding vond vooral plaats via e-mails met nepsollicitaties. Voor de eerste variant, ook wel Petya Red genaamd, verscheen naderhand een decryptietool.

Volgens Hasherezade werkt deze niet op latere varianten, zoals Petya Green, Mischa en Goldeneye. De privésleutel zou hier wel voor moeten werken. Het zou niet de eerste keer zijn dat Janus de decryptiesleutels van ransomware vrijgeeft. In het verleden deed de persoon achter de naam dat al voor de concurrerende Chimera-ransomware. Janus bood bovendien aan te helpen met decryptie van NotPetya.

Kort na de internetaanvallen van vorige week leek het erop dat de gebruikte malware Petya was. Naderhand bleek dit niet zo te zijn, waardoor onder meer de naam NotPetya ontstond. Woensdag leegden de personen achter de aanval de aan de malware verbonden bitcoinwallet en publiceerden ze een bericht dat zij de privésleutel zouden prijsgeven voor honderd bitcoin, omgerekend 225.000 euro.

Motherboard vroeg degene achter het bericht een door NotPetya versleuteld bestand te ontsleutelen, wat met succes gebeurde. Dat bewijst dat de persoon in kwestie toegang heeft tot de code van de malware, aldus twee beveiligingsonderzoekers. Of dat ook betekent dat decryptie voor een groot aantal slachtoffers mogelijk is, blijft onduidelijk doordat bugs daarbij in de weg kunnen staan. Beveiligingsbedrijf F-Secure meldde eerder dat decryptie mogelijk is, maar alleen onder veel voorwaarden.

Verschillende bedrijven, waaronder Microsoft en ESET, kwamen tot de conclusie dat NotPetya was verspreid via updates van de MeDoc-boekhoudsoftware van het Oekraïense bedrijf Intellect Service. Hoewel het bedrijf in eerste instantie ontkende, gaf het woensdag toe dat aanvallers toegang hadden tot de updates. In een donderdag gepubliceerde analyse schrijft Cisco-beveiligingsonderdeel Talos dat de aanvaller toegang tot de servers van Intellect Service had via gestolen beheerdersgegevens.

Door Sander van Voorst

Nieuwsredacteur

06-07-2017 • 13:59

53 Linkedin Google+

Submitter: Radiant

Reacties (53)

Wijzig sortering
"In de Romeinse mythologie was Janus de god van het begin en het einde, van het openen en het sluiten."

Interessante keuze van username.
Aan de namen van de software te zien is het een referentie naar de film / het boek James Bond: Goldeneye. Petya en Mischa waren de satellieten, Janus de bad guy en Goldeneye de geheime derde satelliet.

[Reactie gewijzigd door PeSr op 6 juli 2017 15:42]

Aan de namen van de software te zien is het een referentie naar de film / het boek James Bond: Goldeneye. Petya en Mischa waren de satellieten, Janus een systeembeheerder en Goldeneye de geheime derde satelliet.
De eerste versie van Petya werd dan ook de Goldeneye-ransomware genoemd.

Goldeneye was trouwens niet de naam van de derde satelliet maar van het wapenproject waar Petya en Mischa onderdeel van waren. B)

[Reactie gewijzigd door Stoney3K op 6 juli 2017 15:20]

Wij geeft de naam aan de software? Is dat een beveiligingsbedrijf of zegt de software zelf "hoi ik ben petya en heb je files gegijzeld"?
't is ook een redelijk vaak voorkomende naam in oost europa.
En Janus had twee gezichten.
Zou ook gebaseerd kunnen zijn op een karakter in de Deus ex reboot series.
http://deusex.wikia.com/wiki/Janus
Waarschijnlijk een heel normale vent, meestal heeft hij niet zoveel te zeggen:
https://youtu.be/8S1fEnTjviU
Kan de NSA voor de andere varianten niet ff de keys brute forcen met hun supercomputer?

[Reactie gewijzigd door Bitmaster op 6 juli 2017 14:11]

Dat is nog niet zo eenvoudig, zelfs met een supercomputer... Dat is ook de reden dat encryptie uberhaupt zin heeft, je kunt het zonder de sleutels niet lezen. Als Amerika toch een manier heeft om dat binnen korte tijd te doen, dan willen ze dat waarschijnlijk als staatsgeheim bewaren. Reken er dus maar niet op dat ze dit gaan doen, zelfs als het mogelijk zou zijn.
Plot twist: Janus werkt bij de NSA.
In dat geval kun je er zeker rekening mee houden dat Amerika dat geheim wil houden :+
Tja, en wat ga je dan proberen brute force te achterhalen?

De decryption key van één PC?
Dat zet niet echt zoden aan de dijk.

Of de private key van de aanvallers?
Dat laatste is denk ik een stuk nuttiger. Maar is dat uberhaupt mogelijk, en heb je dan genoeg informatie om voor iedereen een decription key te maken?
Volgens mij had Snowden ook een keer gezegd dat de huidige encryptiestandaarden atm niet door de NSA gekraakt kunnen worden.
nee, de gebruikte keys zijn zo lang dat dat echt onbegonnen werk is.

Misschien zodra er volwaardige quantum computers zijn, maar dan zijn er weer andere encryptie technieken mogelijk.
Het idee van asymmetrische encryptie (waar het hier over gaat) is juist dat brute forcen dusdanig vrel tijd kost dat eer je de sleutel hebt gevonden het universum al drie keer is vergaan. Dit is vrijwel common knowledge hier en is vrij eenvoudig te vinden op de interwebs. Daarom wordt dit dan ook gezien als ongewenst. De vraag is namelijk niet of het kan. In theorie kan het namelijk, maar zelfs met alle rekenkracht ter wereld (dus alle supercomputers en normale pc's bij elkaar) is het praktisch gezien niet haalbaar.
dankje! was geen vraag btw hij kreeg ze gewoon.


of moet ik dan toestemming vragen?
Wat is de reden dat die 'Janus' vaker sleutels vrijgeeft, en in het bijzonder nu voor zijn eigen ransomware? Loopt hij zo geen 'inkomsten' mis? Wat is zijn motief hiervoor?
Hij heeft waarschijnlijk Petya geschreven en daarna de broncode verkocht aan iemand. Nu blijkt dat die persoon of groepering die deze broncode heeft gekocht, deze doorverkoopt en er winst mee maakt. Op deze manier probeert hij dit te stoppen.

Ik verzin dit nu ter plaatse en heb hier geen enkele aanwijzing voor. Dit is in het verleden ook wel bij andere malware eens gebeurd.
Petya is/was Ransomware As A Service: je kon bij Janus een licentie voor Petya kopen om je eigen aanvallen met die software te doen. Er zijn uitbraken van Petya geweest met gekraakte Petya (ransomware makers die ransomware van anderen kraken ja), dus misschien is er gewoon niet meer aan te verdienen. Piraterij raakt ook malwareschrijvers!
Tuurlijk is het makkelijk een hele sloot aan theorien te bedenken (Janus wordt onder druk gezet, de politie zit 'm op de hielen, hij heeft spijt etc), maar de waarheid zal waarschijnlijk niet boven water komen.

Hasherezade is overigens dé Petya-expert, een betere persoon om hiervoor een universele decryptor te schrijven kan ik niet bedenken
Dat is de belangrijkste vraag die niemand kan beantwoorden ... Of Janus nu 1 of meerdere personen is, en of deze al dan niet de maker is, is onduidelijk.
Denk dat als hij later toch wordt ontmaskerd dat er kan worden aangeven dat de prive sleutel is vrijgegeven en daarmee hoop is op strafvermindering.
Zo iemand moet toch te achterhalen zijn. Er moet altijd ergens een spoor te vinden zijn die naar een bepaald persoon of een groep van personen leidt. Niemand is volledig anoniem en er worden altijd wel ergens fouten gemaakt bij het wissen van de sporen.
bitcoins zijn wel annoniem.

enkel in het mechanism om na het betalen je computer te laten ontsleutelen zou je iets kunnen misschien, maar ik weet niet hoe dat in zijn werkt gaat...

En als ransom ware makers steeds via die weg worden gepakt dan is de kans alleen maar groter dat ze gewoon niet reageren na betaling.
Zodra die bitcoins gebruikt worden kun je ze aan een persoon koppelen, transacties staan immers in de blockchain en je weet naar welk adres het losgeld is overgemaakt.
en je weet vervolgens in bepaalde gevallen niet van wie dat adres is
Totdat het geld wordt uitgegeven, dan moet je natuurlijk weer weten wie achter dat adres zit etc. Maar echt relaxed uitgeven zal zomaar niet lukken. ;)

Zie http://www.sciencemag.org...-cant-hide-behind-bitcoin.
hmm, ik had ergens gelezen dat het met bepaalde versies wel helemaal anoniem kan
Willekeurige crimineel pro-editie zal zeggen: Neem een katvanger.
Iemand die financieel in de put zit is gevoelig voor 5-10% van jouw omzet om steeds transacties te gaan pinnen voor jou en willekeurige crimineel pro-editie is nog moeilijker te tracken.

Trieste praktijk, maar dat het een naam heeft zegt helaas al genoeg.
Dat is het probleem dan ook niet. Tuurlijk worden er sporen gevonden. Het gaat erom dat zulke sporen moeilijk te vinden zijn, en je vaak veel van dat soort kleine details (sporen) nodig hebt, wil je concreet bewijs hebben.

[Reactie gewijzigd door AnonymousWP op 6 juli 2017 14:15]

"Niemand is volledig anoniem en er worden altijd wel ergens fouten gemaakt bij het wissen van de sporen."
En dat is dan ook vaak het lastige aan dit soort zaken.
De heer(en) & dame(s) achter dit soort aanvallen, hebben vaak de prioriteit erg hoog liggen op het punt van het achteraf wissen van alle sporen bij het maken van dit soort "software"
Dus het zal misschien wel kunnen, maar ze maken je het uit eigen ervaring vaak heeeel erg lastig op dit punt.
Aan zijn schrijfstijl te zien op zijn Twitter pagina is het geen Engels native speaker: https://twitter.com/JanusSecretary
Wat ik niet helemaal volg is
Motherboard vroeg degene achter het bericht om een door NotPetya-bestand te ontsleutelen, wat met succes gebeurde.
Terwijl in eerdere berichten vermeld werd dat het ontsleutelen van bestanden niet meer mogelijk was.
nieuws: 'NotPetya is bedoeld om gegevens te wissen met schijn van ransomware'
Wat ik niet helemaal volg is
Twee verschillende dingen. Als je bij de maker van de ransomware een bestand laat ontsleutelen kan dat. Motherboard vroeg het en dat lukte.

Een thuisgebruiker/-slachtoffer kan het niet zelf omdat hij niet kan betalen en geen sleutel krijgt omdat betalingsmogelijkheid afgesloten is.
Waar ik op doelde is dat volgens onderzoek naar NotPetya de conclusie getrokken was dat decrypten met een key niet mogelijk was.
The ransomware was a lure for the media, this variant of Petya is a disguised wiper. Source: https://blog.comae.io/pet...a-ransomware-9ea1d8961d3b

[Reactie gewijzigd door EqutiX op 6 juli 2017 15:40]

De gehele schijf herstellen is niet mogelijk: de eerste 25 (??) sectoren worden met random troep overschreven (in plaats van geëncrypt) en dat is niet ongedaan te maken. De rest van de data wordt wel "gewoon" geëncrypt, dus daar zou het in theorie mogelijk zijn om te decrypten (wat dus kennelijk gelukt is).

Een ander probleem was dat de methode voor het controleren dat je betaald hebt niet kan werken: je "unieke ID" is random troep, dus de eigenaar heeft geen flauw idee welke sleutel ie je zou moeten sturen. Als er echter een master key wordt vrijgegeven, dan vervalt dat probleem, omdat die voor iedereen werkt en het "unieke ID" dus helemaal niet relevant is.
Bedankt voor je duidelijke uitleg.
Ik dacht dat de hele schijf daardoor onbruikbaar was.
Weer wat geleerd.
Omdat er geen tussensleutel bewaard was zodat je specifieke gebruikers hun bestanden kon laten ontsleutelen.
Maar, indien je de private key hebt (van de ontwikkelaar) kun je alles ontsleutelen.
Als die door de ontwikkelaar aan een eindgebruiker gegeven zou worden zouden mensen alles kunnen ontsleutelen en daar werdt natuurlijk niet vanuit gegaan in dat bericht.
Ik heb niet veel ervaring met encrypten en decrypten, dus misschien haal ik verschillende dingen door de war maar hoe zit het dan met het overschrijven van sector blocks waar ze het in het artikel over hebben?
2016 Petya modifies the disk in a way where it can actually revert its changes. Whereas, 2017 Petya does permanent and irreversible damages to the disk. Source: https://blog.comae.io/pet...a-ransomware-9ea1d8961d3b
Zorgt dit er niet juist voor dat geen enkele key meer werkt?
Ze belooft een decryptietool te schrijven, zodra ze daar de tijd voor vindt.
Wat ze werkelijk schreef:
I will write a decryptor soon, stay tuned!
"Zodra ze daar de tijd voor vindt" lijkt me eerder dat het er nooit zal van komen.
hasherezade‏ @hasherezade 4 uur4 uur geleden
Meer
when the time will allow me. I will announce it on twitter
Of de tool nog voor veel mensen van waarde zal zijn, is onduidelijk.
Als ik slachtoffer was, had ik mijn harde schijf gedemonteerd en gewaarborgd, in de hoop dat ooit de private key vrij zou komen. Al duurt dat een paar jaar.
... in de hoop dat ooit de private key vrij zou komen. Al duurt dat een paar jaar.
Met TeslaCrypt vorig jaar werkte dat inderdaad. Na 10 weken of zo.
Schijf aansluiten, ontsleutelen, klaar.
Wat ik niet snap is waarom je de private key zou vijgeven. Die man of vrouw zal toch geen gewetensprobleem hebben? Of denkt ie dat de rechtbanken milder zullen zijn bij een eventuele arrestatie?
Ik moet meteen hieraan denken

https://en.wikipedia.org/wiki/Alec_Trevelyan

met dit erbij

https://en.wikipedia.org/wiki/Cossacks

ooooooh de conspiracy theories !

Ik accepteer bijvoorbaat de minnetjes :)
Zo zou je bijna sympathie voor janus krijgen.....Not

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*