Ekspertom z F-Secure udało się opracować dekryptor dla ransomware Mira. Odzyskując hasło, ciąg zaburzający (sól) i liczbę iteracji szyfrowania z kodu ransomware udało się stworzyć narzędzie do deszyfrowania plików. Szkodliwe oprogramowanie Mira nie korzystało z kryptografii asymetrycznej, ponieważ generowanie kluczy byłoby zbyt złożone obliczeniowo na urządzeniach o energooszczędnej architekturze procesorów AMR, dlatego botnet Mirai początkowo atakował urządzenia Internetu Rzeczy. Później powstała wersja do infekowania Windows z zaimplementowaną „statyczną” funkcją szyfrującą.  

Botnet Mirai — podstawowe informacje

Dzięki informacjom od firmy Kaspersky Lab możemy prześledzić proces tworzenia coraz bardziej zaawansowanego botnetu Mirai. Na początku samorozprzestrzeniający się botnet atakował urządzenia Internetu Rzeczy. Operator botnetu zainfekował 2.5 miliona inteligentnych urządzeń takich jak kamerki internetowe, lodówki czy routery Wi-Fi. W Niemczech 900 tysięcy klientów Deutsche Telekom zostało pozbawionych dostępu do sieci. Według danych CERT w Polsce przejmowanych było nawet 14 tysięcy urządzeń dziennie. Tak szeroka skala infekcji to efekt m.in. upublicznienia kodu źródłowego Mirai. Ten rodzaj złośliwego oprogramowania był tak popularny, że tworzone botnety zaczęto sprzedawać — nawet 7500 dolarów za 100 tys. botów.

W 2016 roku operator botnetu przeprowadzili zmasowane ataki DDoS na serwery Dyn. W 2017 roku pojawiła się pierwsza zmodyfikowana wersja dla Windows. Rok później botnet wyposażono w technologię block chain do ukrywania komunikacji z serwerem kontrolowanym przez operatora z pominięciem serwerów DNS(!). To był krok milowy i jedna z ciekawszych technik obchodzenia skanerów i firewalli, jakie mieliśmy okazję poznać.

Według najnowszych informacji botnet Mirai posiada na tyle powiększony zestaw exploitów, że stwarza duże niebezpieczeństwo dla nieaktualizowanych urządzeń. Firma Palo Alto Networks dostarcza dodatkowych informacji o potencjalnych celach botnetu. Są to:

  • bezprzewodowe systemy do prezentacji ePresent WiPG-1000,
  • telewizory LG Supersign,
  • sieciowe kamery wideo DLink DCS-930L,
  • routery DLink DIR-645, DIR-815,
  • routery Zyxel P660HN-T,
  • urządzenia Netgear WG102, WG103, WN604, WNDAP350, WNDAP360, WNAP320, WNAP210, WNDAP660, WNDAP620,
  • routery modemowe Netgear DGN2200 N300 Wireless ADSL2+,
  • kontrolery bezprzewodowe Netgear Prosafe WC9500, WC7600, WC7520.

Kod źródłowy botnetu Mirai jest dostępny do pobrania w sieci, w związku z tym każda osoba może użyć / uzbroić narzędzie we własne exploity. Z tego powodu lista urządzeń wymienionych przez Palo Alto Networks stale się powiększa. W najnowszym raporcie Kaspersky Lab dotyczącym zagrożeń Internetu Rzeczy nowe warianty szkodliwego programu Mirai są odpowiedzialne za 21% wszystkich infekcji takich urządzeń.

Dekryptor dla ransomware Mira dostępny jest do pobrania ze strony: https://fsecurecorp.sharepoint.com/sites/external-general/customercareexternal/CC%20External/Forms/AllItems.aspx

W pobranym katalogu znajduje się instrukcja jak uruchomić dekryptor. Ważne, by zrobić to na urządzeniu, na którym pliki zostały pierwotnie zaszyfrowane. Klucz odzyskiwania dla każdego pliku jest powiązany z komputerem. Narzędzie wymaga uprawnień administratora do prawidłowego działania.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz