Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Dateien entschlüsseln: Petya…

Unrealistisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Unrealistisch

    Autor: Wallbreaker 11.04.16 - 17:58

    Die Berichte hinsichtlich dieser Trojaner werden von Mal zu Mal lächerlicher. Und dazu noch derart unrealistisch, dass jedes Mal immer irgendein Hansel auftaucht, der etwas auf wundersame Weise entschlüsseln kann. Hier überhaupt noch von Verschlüsselung zu sprechen entbert jeder Grundlage. Dazu kommt noch diese hier beschriebene Methode um einen Schlüssel abzuleiten. Bei allem Verständnis aber ohne essentielles Wissen des Urhebers, wäre so ein Weg vollkommener Nonsens. Ich glaube nicht daran das die Urgeber stetig derart dämlich sind. Zumal es fix und fertige Krypto-Libraries gibt inkl. freier Programme, mit denen man in Sachen Verschlüsselung schon keinen Mist mehr bauen kann. Sprich die essentiellen Teile sind vorgegeben, ohne das hier eine 0815 Eigenbau-Lösung gebraucht wird. Selbst ein stupides Script welches direkt Betriebssystem APIs anspricht, könnte eine sichere Verschlüsselung ermöglichen. Also warum passiert das immer wieder? Auf mich wirkt das sehr konstruiert, als wäre das unmittelbar beabsichtigt.



    2 mal bearbeitet, zuletzt am 11.04.16 18:00 durch Wallbreaker.

  2. Re: Unrealistisch

    Autor: SoniX 11.04.16 - 19:39

    Sehe ich auch so.

    Mit n paar Werten einer verschlüsselten Datei den key rückrechnen sollte nicht möglich sein.

  3. Re: Unrealistisch

    Autor: Gelegenheitssurfer 11.04.16 - 20:01

    Einer der werte ist das codierte Passwort zum entschlüsseln, aber nein, damit lässt sich nichts berechnen. Keine Ahnung was für Werte ausgelesen werden, aber es ist erstmal unrealistisch.
    Wer keine Ahnung hat und so...

  4. Unrealistisch: Nicht unbedingt

    Autor: jkow 11.04.16 - 20:06

    Die Verschlüsselung ist das Eine, das Andere ist der Key-Austausch. Jeder befallene Rechner hat einen eindeutigen Key und das (offizielle) Entschlüsselungstool muss den irgendwie bekommen. Da wäre natürlich die einfachste Lösung, wenn dieser Key in irgend einer Form auf der Platte versteckt wird.

    Vielleicht hat leostone sich die Bootloader verschiedener befallener Systeme angeschaut und hat gesehen dass dort bestimmte Bytesequenzen ohne Bezug zur Funktionalität unterschiedlich sind. Da kann man schon drauf kommen, dass da vielleicht der rechnerspezifische Schlüssel steckt. Der liegt dort vielleicht nicht im "Klartext", aber mit genug befallenen Systemen konnte leostone u.U. ein Schema entdecken.

    Vielleicht folgenden die Schlüssel bzw. die Schlüssel-Codes einer bestimmten Reihe, so dass man mit der Kenntnis von einem oder mehreren Schlüsseln weitere Schlüssel extrapolieren kann. Und vielleicht dauert das auch ein paar Minuten, um zu einem Schlüssel-Code per Brute-Force den entsprechenden Schlüssel zu finden.

    Finde ich echt nicht abwegig.

  5. Re: Unrealistisch: Nicht unbedingt

    Autor: Xiut 11.04.16 - 21:48

    Das ist alles andere als unrealistisch. Wer weiß, wie diese Trojaner grundlegend funktionieren, weiß auch, dass der Punkt der Schlüsselgenerierung der Punkt ist, wo die meisten Trojaner einfach (vor allem am Anfang, vor der großen Welle) Anfängerfehler gemacht haben oder sich einfach nicht so viel Mühe geben wollten.
    So wurden nicht selten auch Zufallsgeneratoren bloß mit der Uhrzeit geseedet, was das finden des Schlüsselst deutlich erleichtert :D

    Zudem gab es auch einige dieser Trojaner, die auf eine Art "Honeypot" beruhten. Da hat jemand einen leicht knackbaren Trojaner per Github der Öffentlichkeit zur Verfügung gestellt. Entsprechend einfach konnte er da Tools zum entschlüsseln anbieten, weil das erstellen der Schlüssel nicht von den Verbreitern dieser Trojaner abgeändert wurde.

    Zumal man auch Petya mit gängigen Reverse Engineering Methoden und Tools untersuchen kann. Und wie es aussieht, ist das hier besonders erfolgreich, weil sich das Meiste lokal auf dem Rechner abspielt.

  6. Re: Unrealistisch

    Autor: Wallbreaker 11.04.16 - 22:42

    Gelegenheitssurfer schrieb:
    --------------------------------------------------------------------------------
    > Einer der werte ist das codierte Passwort zum entschlüsseln, aber nein,
    > damit lässt sich nichts berechnen. Keine Ahnung was für Werte ausgelesen
    > werden, aber es ist erstmal unrealistisch.
    > Wer keine Ahnung hat und so...

    Weil moderne Verfahren auf diesem Wege nicht angreifbar sind. Selbst wenn dieselben Inhalte vielfach verschlüsselt werden, ist das Chiffrat immer ein Anderes. Aus dem Chiffrat lässt sich daher nicht mal eben etwas gewinnen, was dann kurzerhand kombiniert wird und dann den Schlüssel ergibt.

  7. Re: Unrealistisch: Nicht unbedingt

    Autor: Wallbreaker 11.04.16 - 22:42

    jkow schrieb:
    --------------------------------------------------------------------------------
    > Da wäre natürlich die einfachste Lösung, wenn dieser Key in irgend einer Form auf der Platte versteckt wird.

    Finde eher das wäre die fahrlässigste Form. Würde ich so etwas designen, dann würde bereits bei der Schlüsselgenerierung ein eindeutiger Code mit dem Schlüssel verknüpft werden. Dieser Code könnte aus mehreren Gegebenheiten erechnet werden die unabänderlich einmalig sind. Dann wird diese Kombination unmittelbar nach Hause geschickt und der Schlüssel ist weg wenn die Verschlüsselung beendet wurde.

    > Vielleicht hat leostone sich die Bootloader verschiedener befallener
    > Systeme angeschaut und hat gesehen dass dort bestimmte Bytesequenzen ohne
    > Bezug zur Funktionalität unterschiedlich sind. Da kann man schon drauf
    > kommen, dass da vielleicht der rechnerspezifische Schlüssel steckt. Der
    > liegt dort vielleicht nicht im "Klartext", aber mit genug befallenen
    > Systemen konnte leostone u.U. ein Schema entdecken.
    >
    > Vielleicht folgenden die Schlüssel bzw. die Schlüssel-Codes einer
    > bestimmten Reihe, so dass man mit der Kenntnis von einem oder mehreren
    > Schlüsseln weitere Schlüssel extrapolieren kann. Und vielleicht dauert das
    > auch ein paar Minuten, um zu einem Schlüssel-Code per Brute-Force den
    > entsprechenden Schlüssel zu finden.
    >
    > Finde ich echt nicht abwegig.

    Vielleicht ist dem aber ganz anders. Bringt nichts Theorien zu spinnen. Möglicherweise wird es noch aufgeklärt werden.

  8. Re: Unrealistisch: Nicht unbedingt

    Autor: Itchy 11.04.16 - 22:52

    Die wichtigste Funktion der Trojaner ist es, Geld für die Entschlüsselung einzutreiben. Dazu ist es egal, ob man die Daten mittels Serpent und super entropischen Schlüssel, oder per DES mit 7 ASCII-Zeichen Key verschlüsselt. Hauptsache, die Daten sind erstmal weg und man findet genügend Leute, die für die Entschlüsselung bezahlen. Bis dann ein Tool der Allgemeinheit zum Entschlüsseln bereitsteht, hat man schon gut Geld verdient und schon eine neue Trojaner-Version geschrieben, die auf einem anderen Cipher beruht und den Schlüssel irgendwie anders ablegt.

  9. Re: Unrealistisch: Nicht unbedingt

    Autor: Eheran 11.04.16 - 23:50

    Die Sache ist die: Du machst sowas nicht. Weil du was drauf hast und auch "richtig" Geld verdienen kannst. So geht es den Urhebern evtl. nicht :)

  10. Re: Unrealistisch

    Autor: tomate.salat.inc 12.04.16 - 08:50

    Kanns mir schon vorstellen. Wenn bekannt ist, was an den besagten Stellen zu stehen hat, dann wäre ein BruteForce angriff möglich. Wurde hier noch zusätzlich reverse engineering betrieben, dann können dabei wichtige informationen gefunden worden sein, die bei der Entschlüsselung helfen können.

  11. Re: Unrealistisch

    Autor: RicoBrassers 12.04.16 - 09:02

    https://github.com/leo-stone/hack-petya

    Readme lesen, fertig. ;)

  12. Re: Unrealistisch

    Autor: ip_toux 12.04.16 - 09:12

    Hier von einem Trojaner zu sprechen ist ebenfalls unrealistisch. Trojaner sollen Systeme von innen öffnen und nicht verschlüsseln.

    Ich würde das ganze eher in Kategorie Maleware Rücken.

  13. Re: Unrealistisch

    Autor: M. 12.04.16 - 09:28

    > Weil moderne Verfahren auf diesem Wege nicht angreifbar sind.
    Da hast du voellig Recht, gehst aber zu Unrecht davon aus, dass auch moderne Verfahren eingesetzt wurden. Das war einfach mal wieder ein typischer 'ich baue mir meine eigene voll sichere Crypto'-Fail, wie man leicht sieht, wenn man sich den Github-Code mal anschaut. Man haette ja zur Verschluesselung AES und zur Schluesselableitung PBKDF2 oder bcrypt nehmen koennen. Aber das waere wohl zu einfach gewesen, stattdessen hat sich der Autor von Petya was mit einer abgewandelten (und damit geschwaechten) Salsa-Variante und XOR selbst gebaut ... zum Glueck fuer die Opfer!

    Und damit ist Petya in guter Gesellschaft mit CSS, GSM, Magenta und 99.99% der selbstgebastelten Chiffren in der Crypto-Hoelle ;)

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.



    1 mal bearbeitet, zuletzt am 12.04.16 09:28 durch M..

  14. Re: Unrealistisch

    Autor: thecrew 12.04.16 - 12:16

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > Die Berichte hinsichtlich dieser Trojaner werden von Mal zu Mal
    > lächerlicher. Und dazu noch derart unrealistisch, dass jedes Mal immer
    > irgendein Hansel auftaucht, der etwas auf wundersame Weise entschlüsseln
    > kann. Hier überhaupt noch von Verschlüsselung zu sprechen entbert jeder
    > Grundlage. Dazu kommt noch diese hier beschriebene Methode um einen
    > Schlüssel abzuleiten. Bei allem Verständnis aber ohne essentielles Wissen
    > des Urhebers, wäre so ein Weg vollkommener Nonsens. Ich glaube nicht daran
    > das die Urgeber stetig derart dämlich sind. Zumal es fix und fertige
    > Krypto-Libraries gibt inkl. freier Programme, mit denen man in Sachen
    > Verschlüsselung schon keinen Mist mehr bauen kann. Sprich die essentiellen
    > Teile sind vorgegeben, ohne das hier eine 0815 Eigenbau-Lösung gebraucht
    > wird. Selbst ein stupides Script welches direkt Betriebssystem APIs
    > anspricht, könnte eine sichere Verschlüsselung ermöglichen. Also warum
    > passiert das immer wieder? Auf mich wirkt das sehr konstruiert, als wäre
    > das unmittelbar beabsichtigt.

    Man nennt sowas auch einfach nur Backdoor! Und Backdoors gibt es mehr wie Sand am mehr. Die "Verschlüsslung" an sich ist schon "sicher". Nur wer die Backdoor kennt kann diese ja halt umgehen. Meistes werden gerade solche Dinger eingebaut damit man sich selbst retten kann, falls das Ding mal unabsichtlich los geht. Zudem wird derjenige der die Infos gepostet hat auch etwas mehr wissen.

  15. Re: Unrealistisch

    Autor: theonlyone 12.04.16 - 14:53

    ip_toux schrieb:
    --------------------------------------------------------------------------------
    > Hier von einem Trojaner zu sprechen ist ebenfalls unrealistisch. Trojaner
    > sollen Systeme von innen öffnen und nicht verschlüsseln.
    >
    > Ich würde das ganze eher in Kategorie Maleware Rücken.

    Trojaner bedeutet erstmal nur das man eine Datei hat die vorgibt etwas zu sein und der Nutzer sie deshalb reinlässt und aktiviert.

    Das der Trojaner dann veruscht die Tür aufzumachen ist nicht zwingend notwendig, macht aber Sinn, damit man mehr Freiheiten hat und mehr nachladen kann, das man sonst nicht eingeschleußt bekommt.

    Bedeutet, ein Trojaner muss nichts nachladen, tut es meist aber doch.

  16. Re: Unrealistisch

    Autor: EvilSheep 12.04.16 - 22:36

    Meist kommt der eigentliche Trojaner per mail und lädt etwas nach, nämlich den eigentlichen Code der die PLatte verschlüsselt.

    Die standard crypto librarys könnten durchaus Nachteile bieten.
    größer, leichter zu entdecken, schwieriger abzuwandeln um virenscanner auszutricksen, langsamer ...

    und wie schon gesagt wurde, es ist völlig egal ob die verschlüsselung unknackbar ist. Hauptsache es dauert lange genug bis eine Möglichkeit gefunden wird und /oder diese ist kompliziert genug wie aktuell noch

  17. Re: Unrealistisch

    Autor: Xiut 12.04.16 - 22:45

    Wo wurde denn bis jetzt wenigstens einmal die Verschlüsselung an sich geknackt?
    Bisher war es doch immer nur möglich die Dateien wieder zu entschlüsseln, weil ein Weg gefunden wurde, an die Schlüssel zu kommen, mit denen die Dateien verschlüsselt wurden.

    Es ist doch immer so, dass entweder...
    ... die Schlüssel von den Servern der Trojaner-Entwickler erlangt wurden (vom FBI oder so)
    ... der Trojaner-Entwickler die Daten wegen eines schlechten Gewissens selbst wieder freigegeben hat

    Oder was meistens der Fall ist: Die "zufällige" Generierung der Schlüssel, mit denen die Daten verschlüsselt wurden, waren so schlecht bzw. "unzufällig", dass man diese Schlüssel selbst "nachgenerieren" kann, auf dieselbe Weise, wie es der Trojaner getan hat, wofür es dann entsprechende Tools angeboten werden.

  18. Re: Unrealistisch

    Autor: paranoidandroid 28.05.16 - 20:41

    Graham Cluley darüber informiert, dass die Forscher ein Werkzeug entwickelt, das entschlüsseln kann Dateien infiziert mit Petya ([www.grahamcluley.com]) ! Er empfiehlt auch diese Anweisungen ( [openmessenger.de] ).



    1 mal bearbeitet, zuletzt am 28.05.16 20:42 durch paranoidandroid.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. DIEBOLD NIXDORF, Paderborn
  3. Hays AG, Berlin
  4. MicroNova AG, Braunschweig, Kassel

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 149,90€ (Bestpreis!)
  2. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  3. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)
  4. 769,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. Tim Cook Apple-CEO verteidigt die Sperrung der Hongkong-Protestapp
  2. China Apple entfernt Hongkonger Protest-App aus App Store
  3. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an

Inside Bill's Brain rezensiert: Nicht nur in Bill Gates' Kopf herrscht Chaos
Inside Bill's Brain rezensiert
Nicht nur in Bill Gates' Kopf herrscht Chaos

Einer der erfolgreichsten Menschen der Welt ist eben auch nur ein Mensch: Die Netflix-Doku Inside Bill's Brain - Decoding Bill Gates zeichnet das teils emotionale Porträt eines introvertierten und schlauen Nerds, schweift aber leider zu oft in die gemeinnützige Arbeit des Microsoft-Gründers ab.
Eine Rezension von Oliver Nickel

  1. Microsoft Netflix bringt dreiteilige Dokumentation über Bill Gates

  1. Internet Archive: Datenbank bietet Contra, Elite und 2.500 weitere DOS-Titel
    Internet Archive
    Datenbank bietet Contra, Elite und 2.500 weitere DOS-Titel

    Die Onlinebibliothek Internet Archive hat 2.500 weitere DOS-Spiele seiner bisher recht kleinen Datenbank hinzugefügt. Nutzer können im Browser Titel wie Elite, Siedler 2, Ultima, Zork oder Commander Keen spielen.

  2. Framework: Microsoft will API-Portierung auf .Net Core abschließen
    Framework
    Microsoft will API-Portierung auf .Net Core abschließen

    Dem Framework .Net Core gehört laut Hersteller Microsoft die Zukunft. Die Portierung alter APIs des .Net Frameworks auf das neue Projekt will das Unternehmen nun auch offiziell beenden. Für fehlende Schnittstellen soll die Community einspringen.

  3. E9560 & E9390: AMD bringt PCIe-Karten für 4K-Spieleautomaten
    E9560 & E9390
    AMD bringt PCIe-Karten für 4K-Spieleautomaten

    Mit der Embedded Radeon E9560/E9390 aktualisiert AMD sein Portfolio für Arcade-Hallen, Digital Signage und bildgebende Verfahren in der Medizin: Beide Modelle sind schnellere PCIe-Karten statt verlötete Chips.


  1. 15:03

  2. 14:24

  3. 14:00

  4. 14:00

  5. 12:25

  6. 12:20

  7. 12:02

  8. 11:56