Сравниваем #NotPetya и #Petya — реально ли расшифровать свои файлы? Обновлено

Positive Technologies - NotPetya, , Petya 2016 .

, MFT. .

NotPetya

( Windows) , , — , MBR.

, 0x20 , - «» . 0x20 :

— , MFT ( 0)
— EncryptionKey ( 32 )
— Nonce ( 8 )
— Personal installation key ( 60 «123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz»)

CryptGenRandom, .

0x21 512 0x07.

0x22 MBR, XOR 0x07.

MFT. :

— 0x20,
— MFT ( 1),
— EncryptionKey ,
— EncryptionKey
— 0x20 ,
— 0x21 ( 0x07),
— EncryptionKey + Nonce,
— 0x21 .

MFT EncryptionKey + Nonce. Salsa20, . «expand 32-byte k» «-1nvalid s3ct-id». . , - , , , .

Salsa20 .

, , .

«0123456789abcdef» 32. , - , 32 . - SPONGENT ( ). 128 , EncryptionKey. 0x21, ( 0x07) – MFT MBR.

, . :

1. Personal installation key, , EncryptionKey. , — . , - CryptGenRandom. — EncryptionKey + Personal installation key , ( , 100%).
   
   
2. - SPONGENT, , , , (129 ), .
   
   
3. EncryptionKey 32*8 == 256 . hex-, , 32*4 == 128 . . 32 32 .

Petya 9 2016

Petya . - . .

, , MBR, , .

:

1. 0x36-0x39 ( 0x20-0x23 NotPetya).
2. ( , / ) Petya.
3. . NotPetya , , , , .
4. Personal installation key 90 (15 6 ) 60 NotPetya. 58 527 ( 351 NotPetya).
5. Petya secp256k1 secp192k1, , Personal installation key EncryptionKey, .
6. , , «123456789abcdefghijkmnopqrstuvwxABCDEFGHJKLMNPQRSTUVWX» 16 .
7. SPONGENT ( - ).
8. Salsa20 «expand 32-byte k». , , Petya ( ), NotPetya, , .

Petya:



NotPetya:



, Petya, NotPetya .

, NotPetya , Petya . — . , . 2016 , Petya, .

UPD

Petya 2016 , (1, 2) mischa , PetyaGoldenEye.malware, VirusTotal .

, NotPetya , MBR, , PetyaGoldenEye: SHA256:b5ef16922e2c76b09edd71471dd837e89811c5e658406a8495c1364d0d9dc690.

NotPetya PetyaGoldenEye:

• ( , );
• ( «» - );
• 0000:86E0 ( ) , ( « ») ;
• (0xE) (0xC), ;
• 0000:848E ( NOP) , ( , );
• 0000:96D4 (expand Salsa20) «expand 32-byte k» «-1nvalid s3ct-id»;
• 0000:998E (permute SPONGENT) LFSR (linear-feedback shift register), 0x9E 0xA3.

. .

- SPONGENT

, SPONGENT , . permute() «lfsr» spongent() , Null-terminated , , NotPetya.
, LFSR == 0x9E ( SPONGENT-256/256/16) 140 , NotPetya 0xA3 152 ( ).

Salsa20

, Salsa20 , , . s20_expand32() «o» s20_littleendian() «return *(__int16*)b;», NotPetya.

- , s20_littleendian() (, 16- ), «keystream» . 128-, 256-. , 128- .

Petya MFT ( ) , GitHub.

(Petya Red) , .

(Petya Green, PetyaGoldenEye) , , . , .

NotPetya, , Petya . PetyaGoldenEye, .

, NotPetya, .