Wouter Hoeffnagel - 10 juli 2017

‘NotPetya-data kan in sommige gevallen toch worden ontsleuteld’

Ondanks eerdere berichtgeving blijkt het in sommige gevallen toch mogelijk data die door de Petya/NotPetya malware is versleuteld te ontsleutelen. Dit kan echter alleen als de malware beheerdersrechten had op het getroffen systeem.

Dit meldt Positive Technologies in een blogpost. Indien Petya/NotPetya geen beheerdersrechten heeft verkregen, is een AES-encryptie gebruikt om data van slachtoffers te versleutelen. In dit geval is het alleen mogelijk de data te ontsleutelen met behulp van de private RSA-sleutel. 

Salsa20

Indien de malware echter beheerdersrechten heeft weten te verkrijgen op het getroffen systeem is gebruik gemaakt van het Salsa20-algoritme om de volledige harde schijf van het systeem te versleutelen. Positive Technologies meldt dat de makers van de malware echter fouten hebben gemaakt bij de implementatie van dit algoritme, waardoor de harde schijf is versleuteld met een 128-bit in plaats van een 256-bit sleutel. Positive Technologies merkt op dat het kraken hiervan echter zeer tijdrovend is.

Het is echter ook mogelijk de harde schijf zonder sleutel te ontsleutelen. Dit is te danken aan de werkwijze van Petya/NotPetya. Salsa20 maakt voor het versleutelen van bestanden gebruik van een zogeheten ‘keystream’. De malware blijkt bestanden die groter zijn dan 4MB in veel gevallen te hebben voorzien van dezelfde keystream-fragmenten.

Keystream

Deze keystream kan worden achterhaald aan de hand van bekende bestanden waarvan gebruikers zeker weten dat deze terug te vinden zijn op de versleutelde harde schijf. Bestanden die zich hiervoor lenen zijn onder meer Windows-bestanden. Zo wijst Positive Technologies erop dat een schone Windows 8.1 installatie bestaat uit ruim 200.000 bestanden, waarvan een fors deel terug te vinden is op de versleutelde harde schijf. Door met behulp van deze bestanden de keystream te achterhalen is het mogelijk de versleutelde harde schijf te ontsleutelen en data weer toegankelijk te maken.

Op dit moment is er helaas nog geen tool beschikbaar waarmee dit proces kan worden geautomatiseerd. Positive Technologies verwacht dat datarecovery specialisten op termijn met tools zullen komen die dit mogelijk maken.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!