Petya: Die Ransomware, die komplette Festplatten verschlüsselt

Sicherheit & Privatsphäre

Anstatt Dateien auf der Festplatte zu verschlüsseln, sperrt sie die gesamte Festplatte und macht diese damit quasi nutzlos. Petya verschlüsselt speziell die Master File Table (MFT) des Dateisystems, wodurch das Betriebssystem nicht mehr in der Lage ist, Dateien zu lokalisieren.

Unsere Kollegen aus dem F-Secure Lab haben sich mal die Ransomware Petya genauer angeschaut und ihren Eindruck auf dem Labsblog veröffentlicht. Der vollständige Artikel ist hier zu finden: https://labsblog.f-secure.com/2016/04/01/petya-disk-encrypting-ransomware/

Petya ist eine Ransomware mit einer bösartigen Besonderheit: Anstatt Dateien auf der Festplatte zu verschlüsseln, sperrt sie die gesamte Festplatte und macht diese damit quasi nutzlos. Petya verschlüsselt speziell die Master File Table (MFT) des Dateisystems, wodurch das Betriebssystem nicht mehr in der Lage ist, Dateien zu lokalisieren. Die Ransomware installiert sich selbst auf der Master Boot Record (MBR) der Festplatte wie ein Bootkit. Statt der Ausführung verdeckter Aktionen, teilt sie auf einem roten Bildschirm mit, wie das System wiederhergestellt werden kann.

Die Taktik mit der MFT ermöglicht einen schnelleren Angriff als bei der Verschlüsselung von Datendateien, aber der Effekt ist der gleiche. Benutzer können nicht mehr auf ihre Daten zugreifen.

Petya geht in zwei Stufen vor. Bei der ersten Stufe kommt der Main Dropper zum Einsatz:

  • Er infiziert die MBR direkt durch Manipulation des physischen Laufwerks.
  • Er generiert einen Satz von Krypto-Schlüsseln:
    • EG (Elliptic Curve) Keypair nutzt die secp192k1-Kurve.
    • Der Festplattenverschlüsselungsschlüssel ist ein 16-Byte-Schlüssel aus ASCII-Zeichen.
    • Er verpackt seinen eigenen EC Public Key, der später dem Server vorgelegt wird.
  • Er speichert den Krypto-Schlüssel auf der Festplatte für die spätere Verwendung im MBR-Infektionscode.
  • Er fährt den Rechner herunter, ohne Vorwarnung, den MBR-Code zu booten.

Die Verwendung des ECDH (Elliptic Curve Diffie-Hellman)-Schemas wurde bisher noch nicht in vollem Umfang bestätigt, aber im Moment sieht es nach diesem Schema oder etwas sehr ähnlichem aus. Tatsache ist, dass der Dropper mit einem 192-Bit Public Key und secp192k1-Kurvenparameter, hartcodiert in der Binärdatei, operiert.

Bei jedem Diffie-Hellman-Schema ist der Austausch des Public Key zwischen beiden Parteien erforderlich und die Schlüsselzeichenfolge, die später auf dem Startbildschirm erscheint, hat sicherlich die richtige Größe für einen solchen Schlüssel. Wir sind dabei, die genauen Details noch zu analysieren.

Nach der Infektion bootet die Maschine zum MBR-Code:

  • Dieser prüft zuerst, ob die Festplatte infiziert ist.
  • Wenn nicht, stellt er einen gefälschten CHKDSK-Bildschirm dar und verschlüsselt die MFT mit dem gemeinsamen Geheimnis als Verschlüsselungsschlüssel.
  • Er nutzt Salsa20 für die Festplattenverschlüsselung und zerstört den Schlüssel nach der Verschlüsselung.
  • Er stellt den rote „Schädel-Bildschirm“ dar und zeigt dann Tor-URLs und den „Entschlüsselungscode“ an, was der ECC Public Key der infizierten Maschinen ist.
  • Jetzt kann nur der Server den Verschlüsselungsschlüssel wiederherstellen, indem er

den ECC-Algorithmus nutzt, um das gemeinsame Geheimnis mit dem Malware Public Key herzustellen. Dies liegt daran, dass der Schlüssel von der Malware zerstört wird – und auch, wenn es nicht so wäre, wird die Maschine gesperrt und bleibt unbrauchbar. Auch die Wiederherstellung der MBR mit Wiederherstellungs-CD wird nicht helfen, weil die MFT noch verschlüsselt ist. Das gemeinsame Geheimnis ist immer 16 Bytes lang und nutzt nur ASCII-Zeichen [0-9, a-x, A-X].

Die einzige Möglichkeit, die Maschine ohne die Hilfe des Servers wiederherzustellen, ist, den Salsa20-Schlüssel innerhalb des Infektionsprozesses abzufangen, mithilfe von Debuggern. Dies ist keine sehr attraktive Gegenmaßnahme für den durchschnittlichen Computerbenutzer.

Schlagwörter

#Petya #Ransomware

Diesen Beitrag bewerten

0 Bewertungen

0 Kommentare

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Könnte Ihnen ebenfalls gefallen