涔愯儢浠ｈ喘鍏嶄唬鐞嗙増

　4奉3泣构糠。芭规步スキ〖ムについてより拒しく纳淡した。

　Petyaは假碍なひねりが裁えられている糠しいランサムウェアだ。ディスク惧のファイルを芭规步する洛わりに、ディスク链挛をロックしてほとんど蝗い湿にならない觉轮にする。恶挛弄には、ファイルシステムのMFT∈master file table∷を芭规步する。つまりOSからファイルの疤弥が泼年できなくなることを罢蹋する。Petyaは、ブ〖トキットと票屯に极咳をディスクのMBR∈master boot record∷にインスト〖ルする。ただし、入泰微に宠瓢するのではなく、乐い茶烫惧にシステムを牲奠する数恕についての棱汤を山绩する。

　MFTを晾うと燎玲く苟封できる。デ〖タファイルを芭规步するより端めて没箕粗で貉むのだ。それでも链挛弄な冯蔡としては芭规步と票じ、すなわちデ〖タにアクセスできなくなる。

　Petyaは2檬超で悸乖する。妈1檬超はメインのドロッパ〖で、笆布を悸乖する。

\\.\PhysicalDriveを木儡拎侯してMBRに炊厉させる
办息の芭规キ〖を栏喇する。これには16バイトのランダムなディスク芭规脱のキ〖と率边芭规∈EC、Elliptic Curve∷のキ〖ペアが崔まれる。この箕爬で、泼侍な≈牲规コ〖ド∽も脱罢される
あとでMBRに炊厉したコ〖ドで蝗うため、ディスクの芭规キ〖と牲规コ〖ドをディスクに瘦赂する。その戮の栏喇された芭规デ〖タはすべて撬逮される
なんの焚桂もなしにマシンをシャットダウンし、MBRのコ〖ドでブ〖トする

　Petyaは润滦疚キ〖による芭规步と嚷流のために、率边妒俐芭规スキ〖ムを脱いている。192ビットの给倡赴とsecp192k1妒俐パラメ〖タは、ドロッパ〖のバイナリにハ〖ドコ〖ディングされて芹慨される。Petyaはサ〖バの给倡赴を艰评し、ECDH∈Elliptic Curve Diffie-Hellman∷アルゴリズムを脱いて鼎铜の入泰赴を菇蜜する。この鼎铜入泰赴を脱いて16バイトのディスク芭规キ〖をAES芭规步する。鼎铜入泰赴はこのマルウェアとサ〖バしか蝗脱できない。バイナリをASCIIにエンコ〖ディングするBase58により、このマルウェアの率边妒俐の给倡赴といっしょにディスク芭规キ〖をパッケ〖ジする。ここで评られるパッケ〖ジが、稿に乐いスクリ〖ン惧で捏绩される≈牲规コ〖ド∽である。

Petyaドロッパ〖によるPhysicaldriveの拎侯

ドロッパ〖柒婶にあるPetyaサ〖バの率边妒俐芭规の给倡赴

ドロッパ〖柒婶にあるPetyaのsecp192k1の妒俐パラメ〖タ

ASCIIエンコ〖ディングのPetyaドロッパ〖の率边妒俐芭规の给倡赴

Petyaドロッパ〖のsalsa20バイト误の栏喇

　炊厉稿、マシンはMBRのコ〖ドでブ〖トする。これは笆布のようになる。

まずディスクが炊厉しているかを澄千する
炊厉していなければ刀のCHKDSK茶烫を山绩し、芭规キ〖に鼎铜入泰キ〖を脱いてMFTを芭规步する
ディスクの芭规步にsalsa20を脱いる。芭规步稿は碰澈キ〖を撬逮する
乐い≈スカルスクリ〖ン∽、鲁いてTorの保しサ〖ビスのURLがある茶烫と≈牲规コ〖ド∽を山绩する。≈牲规コ〖ド∽とは、サ〖バでしか倡けない芭规步されたメッセ〖ジである

Petyaが茨董を艰り提すところ

salsa20でディスクを芭规步する狠の、刀の≈CHKDSK∽に簇するMBRのコ〖ド

MBRに弥かれるsalsa20のコ〖ド

　率边妒俐アルゴリズムを脱いて芭规キ〖を牲规できるのは、もはやサ〖バしかない。これはマルウェアによってキ〖が撬逮されたためだ。また、たとえ撬逮されていなかったとしても、マシンがロックされて蝗えないままだ。リカバリディスクでMBRを牲奠したとしても舔には惟たないだろう。なぜならMFTがいまだ芭规步されているからだ。妄侠惧は鼎铜入泰赴を牲奠して、リカバリディスクでディスク芭规步キ〖を牲规して提すことは材墙だ。しかしそのためには、傅」の率边妒俐芭规のキ〖ペアを掐缄しなければならないのだが、涩妥な率边妒俐のデ〖タはすべてドロッパ〖が撬逮してしまっている。これはまるで踩に掐るための赴が2つあって、罢哭弄に室数を痰くしたようなものだ。

　サ〖バ娄では、牲规コ〖ドのデコ〖ドが嫡の界戎で乖われることが鳞年される。

Base58で射规步されたバイナリデ〖タをデコ〖ドする
マルウェアの给倡赴と芭规步されたデ〖タを鸥倡する
给倡赴を脱いて、鼎铜入泰赴を菇蜜する
この鼎铜入泰赴を脱いると、サ〖バはAESを蝗ってディスク芭规步キ〖を牲规できる
ここで苟封荚は、ロックされたマシンを豺庶できる芭规步キ〖を傅に提すことができる

　办毋として、碰家のラボのマシン惧の牲规コ〖ドの1つは肌のように斧える∈ハイフンと黎片の2矢机は猴近。サ〖バはこれをデコ〖ドに蝗脱しない∷。

Q5rL1YMqnJPCsCgji4KcDv5XnQrtqttBQ7tfbAq7QStmTXNQ6Voepeaiem8uzaQxYq3LwpvMCXBvMx2Mmqkdt8Fi

　このコ〖ドを筛洁のBase58アルゴリズムを脱いてデコ〖ドすると、笆布のデ〖タが栏喇される∈棱汤のために、マルウェアが栏喇する给倡赴を涡で、ディスクを芭规步するキ〖を乐で绩す∷。

　サ〖バのヘルプ痰しでマシンを牲奠する停办の数恕は、デバッガを蝗って炊厉プロセスの庞面でsalsa20のキ〖を梳陋することだ。これは奶撅のコンピュ〖タユ〖ザにとっては、あまり胎蜗弄な滦钩缄檬ではない。

トリビア¨

Petyaはこちら∈https://github.com/alexwebr/salsa20∷のsalsa20の悸刘を脱いているようだ
Petyaは澄悸に≈Evil Maid CHKDSK∈https://github.com/alexwebr/evilmaid_chkdsk∷∽の逼读を减けている

′′付矢へのリンク

Petya¨ディスク芭规步ランサムウェア

トラックバックURL

Petya¨ディスク芭规步ランサムウェア

≈ヘルシンキ券∽カテゴリの呵糠淡祸

≈by¨ヤルコˇツルクレイネン∽カテゴリの呵糠淡祸

トラックバックURL