Bir güvenlik firması, enfekte olmuş bir bilgisayarda, son Petya fidye saldırısı nedeniyle hasar gören dosyaların şifresini çözmeyi başarabildiğini açıkladı.
Siber saldırı , dünyanın dört bir yanındaki işletmeler için ancak çoğunlukla Ukrayna’da tahribata neden oldu .
Potansiyel çözüm, fidye yazılımının makineye yönetim ayrıcalıkları sağlaması durumunda çalışır.
Ancak Positive Technologies, konseptin şu ana kadar en çok ortalama bilgisayar kullanıcısı için çok teknik olduğunu söyledi.
Dan Tara, “Verilerin nasıl çözüleceği konusundaki kanıtlarına sahip olduğunuzda, bilgi güvenliği topluluğu bu bilgiyi alabilir ve otomatik araçlar geliştirebilir veya şifrelemeyi tersine çevirme metodolojisini basitleştirebilir” dedi.
Şirket, bir blogda, fidye yazılımının yaratıcılarının, yönetim hakları ile kullanılan şifreleme algoritması Salsa 20’yi programlamada hatalar yaptığını söylüyor .
Bay Tara, ekibinin salgını araştırmaya başladığında bu sonuca ulaşmasını beklemediğini söyledi.
“Bu yöntemle bir sabit sürücüdeki verileri kurtarmak heuristik uygulamayı gerektirir ve birkaç saat sürebilir” dedi Ters Mühendislik Şefi Dmitry Sklyarov.
“Veri kurtarma işleminin bütünlüğü, birçok faktöre (disk boyutu, boş alan ve parçalanma) bağlıdır ve OS [İşletim Sistemleri] ve aynı olan uygulama bileşenleri gibi birçok standart dosya içeren büyük diskler için% 100’e erişebilmektedir Birçok makinada ve bilinen değerleri vardır. ”
Kaç mağdurun idare imtiyazlarını devralması kaçınılmazdı.
Bu olmadan, fidan yazılımında, arkasındaki suçluların elde edebileceği özel bir anahtarla değiştirilebilen farklı bir şifreleme yöntemi uygulanmaktadır.
Bununla birlikte, sağlanan e-posta adresi başlangıçta kapatıldı ve ödeme yapmayı seçen mağdurlar tarafından temasa geçilemedi.
‘Çünkü umut için’
Araştırma ekibinin bulması, yalnızca son Petya ürün bilgisi ve türevleri üzerinde çalışıyor.
Surrey Üniversitesi’nden güvenlik uzmanı Prof Alan Woodward, “Henüz bir çalışma çözümü gibi görünmüyor ancak umut kaynağı oluyor” dedi.
Şansözü, yönetici ayrıcalıklarına sahip olduğunda aktive olan Salsa20, bir cihazın Ana Dosya Tablosunu (MFT) bozuyor; bu, dosyaların sonsuza dek kaybolduğu anlamına geliyor.
Prof. Woodward, “keşfedilen şey, MFT’nin bozulmuş bir kısmı olması ve bunu düzeltmenin bir yolunu bulmuş olabileceğini düşündükleri anlamına geliyor” diye ekledi.
“Bu doğruysa, bu önemli bir bulgudur. Aslında insanlara, önyükleme diskleri olarak adlandırılan, orijinal işletim sistemini içeren, bunu yapamayacağınızı varsayıyorduk.”
Bu haftanın başlarında saldırının failleri fidye ödemelerine eriştikleri ve yeni talepler gösterdikleri ortaya çıktı.
Financial Times’ın bildirdiğine göre Nurofen ağrı kesicilerinden Dettol temizleyicisi ve Durex prezervatifi yapan tüketici malları devi Reckitt Benckiser, üretimin ve teslimat süresinin kısatıldığı saldırının 110 milyon avroya mal olabileceğini bildirdi.
