r   e   k   l   a   m   a
r   e   k   l   a   m   a

Odzyskasz dane zaszyfrowane przez MarsJoke/Polyglot – twórcy ransomware byli słabi z kryptografii

Strona główna AktualnościBEZPIECZEŃSTWO

Osoby, które padły ofiarą ransomware MarsJoke (znanego też niekiedy jako Polyglot) mogą odzyskać zaszyfrowane przez szkodnika dane, i to bez płacenia okupu. To zasługa specjalistów Kaspersky Lab, którzy przyjrzeli się szkodnikowi dokładnie i odkryli, że jest jedynie namiastką CTB-Lockera, efekty jego działania można siłowo odwrócić.

MarsJoke/Polyglot rozpowszechniany był standardową drogą – przez spam mailowy, w załącznikach z archiwum RAR. Jeśli uda się nakłonić użytkownika do uruchomienia zawartości archiwum, trojan rozpoczyna szyfrowanie, blokując dostęp do plików na zaszyfrowanej maszynie. Po zakończeniu tego procesu, szkodnik podmienia tapetę Windowsa na żądanie okupu i łączy się z serwerem dowodzenia i kontroli w sieci Tor, by uzyskać kwotę okupu w bitcoinach i numer konta, na który okup ma być przelany. Zapłacić trzeba w wyznaczonym terminie: jeśli ofiara nie zapłaci, na zawsze straci dostęp do swoich plików.

A może nie na zawsze? MarsJoke jest wizualnie bardzo podobny do słynnego CTB-Lockera. Ma praktycznie taki sam interfejs, taką samą tapetę z żądaniem okupu, taką samą stronę płatności – jakby bardzo chciał przekonać użytkowników, że jest poważnym ransomware, którego zlekceważenie oznacza utratę wszystkiego. Specjaliści z Kaspersky Lab zbadali szkodnika od środka, odkrywając, że nawet mechanizm szyfrowania naśladuje słynne ransomware. Zawartość plików pakowana jest ZIP-em, szyfrowana AES-256, a przy wymianie kluczy stosowany jest algorytm Diffie-Hellmana na krzywych eliptycznych (z tą samą krzywą curve25519) i SHA256.

r   e   k   l   a   m   a

Sprawa byłaby beznadziejna, gdyby naśladowcy nie popełnili kilku poważnych błędów. Tworzone klucze pochodziły z losowo wygenerowanej tablicy znaków. Po raz kolejny okazuje się, że (pseudo)losowość jest trudna – generator okazał się bardzo słaby, sam nie wykorzystując funkcji randomizującej, tak że odtworzenie całej przestrzeni kluczy zajmuje na typowym pececie kilka minut. Po zdobyciu właściwego klucza AES pozostaje jedynie złamać zaszyfrowane archiwum ZIP, ale i tu okazało się, że to trywialnie proste – hasłem były poszczególne cyfry z ciągu unikatowego identyfikatora MachineGuid, przyznawanego przez Windows komputerowi.

W tej sytuacji nie było trudno napisać deszyfrator, który wygeneruje właściwy klucz AES i automatycznie odkoduje pobrane pliki. Siłowy atak na efekt pracy MarsJoke zajmuje na typowym pececie około minuty. Anton Iwanow z Kaspersky Lab skomentował to następująco:

Przypadek ten uczy nas, aby nigdy się nie poddawać: oprogramowanie ransomware stało się poważnym problemem dla wszystkich użytkowników, czasem jednak rozwiązanie istnieje. W tym przypadku autorzy szkodliwego oprogramowania dopuścili się błędu, który umożliwił złamanie szyfrowania. Jednak jeśli chodzi o ransomware, użytkownicy nie powinni polegać jedynie na szczęściu. Przypadek ten stanowi bardziej wyjątek niż regułę, dlatego zalecamy wszystkim, aby chronili swoje urządzenia w sposób proaktywny poprzez wykorzystywanie niezawodnego rozwiązania bezpieczeństwa i dopilnowanie, aby wszystkie technologie ochrony przed szyfrowaniem były włączone. Nie można także zapominać o regularnym wykonywaniu kopii zapasowej najważniejszych danych

Narzędzie deszyfrujące MarsJoke/Polyglot pobierzecie z naszej bazy oprogramowania. Warto też pamiętać o projekcie Kaspersky Lab o nazwie No More Ransom, realizowanym we współpracy z holenderską policją, Europolem oraz Intel Security. Ma on pomóc ofiarom ransomware w odzyskaniu swoich danych bez konieczności płacenia okupu cyberprzestępcom.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.