Come funziona la crittografia MFT?

Naviga le tue risposte
3

Qualche settimana fa c'era un ransomware chiamato Petya distribuito tramite link Dropbox. Il nuovo ransomware viene inserito nel record di avvio principale (MBR) del computer della vittima e il sistema si riavvia. Al riavvio, il disco rigido verrà crittografato. La soluzione è descritta qui :

Computer experts from the popular tech support forum BleepingComputer.com confirmed that the technique works, but it requires extracting some data from an affected hard drive: 512 bytes starting at sector 55 (0x37h) with an offset of 0 and an 8-byte nonce from sector 54 (0x36) offset 33 (0x21).

Come funziona la crittografia / decrittografia della tabella file master (per utenti non esperti)?

    
posta GAD3R 13.04.2016 - 16:28
fonte

1 risposta

2

Questo articolo su malwarebytes è molto istruttivo.

Il ransomware usa un piccolo kernel con un motore di crittografia incorporato e, quando finge di eseguire chkdsk, crittografa effettivamente la MFT usando una chiave generata per quella macchina e inviata all'autore dell'attacco.

Lo stesso motore eseguirà la decrittografia in base a una chiave fornita quando paghi l'attaccante.

Siccome la MFT è il riferimento per ogni blocco di ogni file, senza di esso puoi ancora vedere tutti i dati se analizzi l'unità, ma non sai come si combina, quale blocco fa parte di quale file ecc. .

L'algoritmo Salsa20 funziona in questo modo: 

uint8_t *key = 128_bit_key_generation();
uint8_t *nonce = unique_message_number();
unsigned len = 500;
uint8_t buf[len];

// Position (in bytes) in the stream
uint32_t sindex = 0;

for (sindex = 0; sindex < 5000; sindex += len) {
    // recv 'len' bytes into 'buf'
    s20_crypt(key, S20_KEYLEN_128, nonce, sindex, buf, len);
    // copy 'len' bytes from 'buf' elsewhere
}
    
risposta data 13.04.2016 - 16:45
fonte

Leggi altre domande sui tag

File di log di Linux per il backup e la revisione per sicurezza Prova di concetti per exploit pubblicati