¿Cómo funciona el cifrado MFT?

Navega tus respuestas
3

Hace unas semanas hubo un ransomware llamado Petya entregado a través de enlaces de Dropbox. El nuevo ransomware se inserta en el registro de inicio maestro (MBR) de la computadora de la víctima y el sistema se reinicia. Al reiniciar, el disco duro estará encriptado. La solución se describe en aquí :

  

Los expertos en computación del popular foro de soporte técnico BleepingComputer.com confirmaron que la técnica funciona, pero requiere extraer algunos datos de un disco duro afectado: 512 bytes a partir del sector 55 (0x37h) con un desplazamiento de 0 y un 8 byte nonce del sector 54 (0x36) offset 33 (0x21).

¿Cómo funciona el cifrado / descifrado de la tabla maestra de archivos (para usuarios no expertos)?

    
pregunta GAD3R 13.04.2016 - 16:28
fuente

1 respuesta

2

Este artículo en malwarebytes es muy informativo.

El ransomware utiliza un pequeño kernel con un motor criptográfico incorporado, y cuando pretende ejecutar chkdsk en realidad cifra el MFT con una clave generada para esa máquina y enviada al atacante.

El mismo motor ejecutará el descifrado en función de una clave que se proporciona cuando pagas al atacante.

Como la MFT es la referencia para cada bloque de cada archivo, sin él aún puede ver todos los datos si analiza la unidad, pero no sabe cómo encaja, qué bloque es parte de qué archivo, etc. .

El algoritmo Salsa20 funciona así: 

uint8_t *key = 128_bit_key_generation();
uint8_t *nonce = unique_message_number();
unsigned len = 500;
uint8_t buf[len];

// Position (in bytes) in the stream
uint32_t sindex = 0;

for (sindex = 0; sindex < 5000; sindex += len) {
    // recv 'len' bytes into 'buf'
    s20_crypt(key, S20_KEYLEN_128, nonce, sindex, buf, len);
    // copy 'len' bytes from 'buf' elsewhere
}
    
respondido por el Rory Alsop 13.04.2016 - 16:45
fuente

Lea otras preguntas en las etiquetas

¿Qué se puede derivar de la identificación de Google Analytics de otra persona? Prueba de conceptos para exploits publicados