Ratunek dla ofiar Petya? Odszyfrowali przykładowy plik – prawdopodobnie posiadają uniwersalny klucz prywatny

Dzisiaj pojawiła się możliwość kupna uniwersalnego klucza prywatnego użytego w najnowszym wariancie Petya. Cena – 100 BTC. Jak owy klucz miałby działać?

W pierwszej fazie Petya szyfruje pliki o wybranych rozszerzeniach za pomocą algorytmu AES. Klucz do AES-a jest losowany i szyfrowany kluczem publicznym twórcy malware. Mając więc klucz prywatny można by zdeszyfrować klucz AES i dalej odszyfrować pliki. Czy to zadziała?

Załoga serwisu Motherboard we współpracy z ESET wykonała mały eksperyment. Z maszyny wirtualnej zainfekowanej Petya pobrali wybrany, zaszyfrowany plik Worda i razem tworzonym przez malware plikiem readme.txt i wysłali go do oferujących na sprzedaż klucz prywatny (zaoferowali oni „testowe” odszyfrowanie jednego pliku). Po dwóch godzinach otrzymali… prawidłowy zdeszyfrowany plik:

zaszyfrowany/zdeszyfrowany plik Word

Czy to dowodzi możliwości zdeszyfrowania całego dysku? Ciężko powiedzieć, bo mamy jeszcze choćby błędy w samej procedurze szyfrowania. Wg F-Secure,  pliki większe niż 1 MB mają zaszyfrowany tylko początek (czyli tylko pierwszy 1 MB, co akurat jest pozytywne); ale wkradł się tu jeszcze problem z IV – który jest używany do szyfrowania nowego pliku (w standardowej sytuacji powinien być używany zupełnie nowy IV):

Note: there is a “bug” in this function: if the file is larger than 1 MB, the Initialization Vector will not be reset for the next file (i.e. the encryption “continues” there), making decryption more prone to failure.

Pozostaje też problem z fazą drugą szyfrowania (po reboocie), gdzie szyfrowany jest MFT (w skrócie: metadane o plikach). Niektórzy twierdzą, że jest to klasyczne FDE (czyli szyfrowana jest zawartość plików), inni że tylko metadane.

–ms