Salsa20アルゴリズムを使用してNotPetyaによって暗号化されたディスクからデータを回復する方法

ランサムウェアウイルスを使用した攻撃は、2017年に本当の傾向になりました。 そのような攻撃の多くが記録されましたが、最も悪名高いのはWannaCryとNotPetya（他の多くの名前-Petya、Petya.A、ExPetrなど）でした。 以前の流行の経験を習得した世界中の専門家は、新しい課題に迅速に対応し、最初のコンピューターが感染してから数時間のうちに、暗号化されたディスクのコピーの調査を開始しました。 すでに6月27日に、NotPetyaの感染および拡散の方法に関する最初の説明が登場しました;さらに、 感染に対するワクチンが登場しました 。



NotPetyaを起動すると、特定の拡張子を持つAESユーザーファイルが暗号化されますが、オペレーティングシステムは引き続き動作します。 暗号化には制限時間があります（デフォルトは1時間です）。 この間に暗号化プロセスが完了した場合、README.TXTファイルは、身代金要求とともにディスクのルートに配置されます。 残念ながら、この方法で暗号化されたファイルを回復するには、RSA秘密鍵（100ビットコインでDarknetで購入するように提供されているようです）を知る必要があります。 暗号化が成功しなかった、または中断された、またはディスクのルートへの書き込み許可がなかった場合、README.TXTファイル（暗号化されたキーを含む）は作成されず、AESアルゴリズムによって暗号化されたファイルはRSA秘密キーを受信した後でも復元できません。



以下に説明するデータ回復方法は、NotPetyaウイルスに管理者権限があり、Salsa20アルゴリズムを使用してハードディスク全体を暗号化した場合に適用できます。



これは暗号化の2番目の層です。 ただし、いくつかの理由でSalsa20を復号化することをお勧めします。

• AESはすべてのファイルタイプを暗号化しません（たとえば、画像をスキップします）。
• AESは限られた時間（通常は1時間）動作し、AESが暗号化されない場合は、潜在的に回復可能です。
• AESはユーザー固有です。 コンピューターで複数のユーザーアカウントが使用されている場合、AESは他のユーザーのデータへのアクセス権を持っていない可能性があります。

また、Salsa20は、タイプ、時間、アクセス権に関係なく、すべてのデータを暗号化します。



判明したように、ウイルスの作成者はSalsa20アルゴリズムの実装を間違えました。これは、暗号化キーの半分のバイトがまったく使用されなかったためです。 残念ながら、キーの長さを256ビットから128ビットに減らすと、妥当な時間内にキーを見つける可能性がなくなります。



ただし、Salsa20アルゴリズムのアプリケーションのいくつかの機能により、キーを知らなくてもデータを回復することができます。

Salsa20の仕組み

Salsa20は、暗号化中にキーに依存するガンマが生成される同期ストリーム暗号であり、このガンマのバイトはプレーンテキストバイトとのXOR操作を使用して追加されることを思い出してください。 復号化するには、手順を繰り返す必要があります。



ストリーム内の任意のオフセットに対してガンマを計算できるように、s20_expand32（）ガンマジェネレーターは、ミックスが収まる64バイトのキーストリーム配列を生成します。

• 256ビット（32バイト）の暗号化キー、
• 8バイトの非シークレットランダムシーケンスナンス（数字は1回使用）、
• 16バイトのシグマ定数（「expand 32-byte k」または「-1nvalid s3ct-id」）、
• ストリーム内のブロック番号の64ビット（8バイト）。

チェックポイントレポートから抜粋したこの図は、データのレイアウト方法を示しています。







64バイトのキーストリームはシャッフル機能を介して渡され、結果の64バイトはガンマフラグメントとして使用されます。



生成されたガンマフラグメントは常に64バイトの倍数に揃えられることに注意してください。 そして、たとえば、オフセット100から始まる7バイトを暗号化するには、最初のバイトが含まれるブロック番号（100/64 == 1）を見つけ、このブロックのガンマを計算し、オフセットから始まる7バイトを使用する必要があります（100％64 == 36）。 ブロックに十分なバイトがない場合、ガンマは次のブロックなどのために生成されます。



1つのストリーム（およびディスク、NotPetyaの観点からは、これは1つのストリーム）を暗号化するプロセスでは、キーまたはノンスの変更はありません。 したがって、暗号化されたディスクごとに、キーストリームの唯一の変数はブロック番号です。



Salsa20暗号の作成者が考えたように、64バイトの2 ^ 64ブロックでは、それぞれ2 ^ 70〜10 ^ 21バイトの周期のガンマを生成できます。 これは、ほとんどすべての実用的なアプリケーションに十分な期間であり、このサイズのハードドライブは非常に長い間表示されません。



ただし、実装はそれほどスムーズではありません。

NotPetyaの実際のガンマ周期

ディスクセクターが暗号化される呼び出しを通じて、s20_crypt32（）関数のプロトタイプを見てみましょう。

enum s20_status_t s20_crypt32(uint8_t *key, uint8_t nonce[static 8], uint32_t si, uint8_t *buf, uint32_t buflen)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

si引数（おそらくStream Index）は、ストリームのバイトオフセットを渡します。 また、引数のタイプによって、64ビットではなく32ビットしか存在しないことは明らかです。 この値は、64で割った後にキーストリームに分類されます。つまり、最大26ビットが残ります。

 // Set the second-to-highest 4 bytes of n to the block number s20_rev_littleendian(n+8, si / 64);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、同じレポートから撮影した別の写真を見てみましょう。







s20_rev_littleendian（）関数の実装のエラーによりガンマの形成に影響しないバイトは灰色で強調表示されます。 したがって、ブロック番号の26ビットのうち、16ビット（オフセット0x20-0x21のバイト）のみがキーストリームに影響します。 したがって、最大ガンマ期間は2 ^ 16 = 65536ブロックの64バイト、つまり4メガバイトになります。



暗号化されたデータの量は4メガバイトを大幅に超える可能性が高いため、多くの異なるデータが同じガンマフラグメントで暗号化されます。 そして、これにより、よく知られた平文に基づいた些細な攻撃を実装することができます。

そしてもう一つの間違い

開発者の欠陥はこれで終わりではありません。 s20_crypt32（）関数が呼び出されると、バイト単位のオフセット値の代わりに... 512バイトセクターの数が渡されます！



セクターは通常ペアで暗号化されます（1アクセスあたり1024バイト）。これは、隣接する2つのセクターペアの暗号化に使用されるガンマが1022バイト（オフセット2バイト）で一致することを意味します。

既知の平文攻撃の発見的手法

Windowsの最新バージョンでは、非常に多くの異なる構造を使用するNTFSファイルシステムが使用されています。

さらに、ディスク上には多くのファイルがあり、その内容を簡単に（部分的または完全に）予測できます。

はじめに512ガンマバイト

暗号化キーの正当性を検証するために、NotPetyaは事前定義された値（すべてのバイト0x07）を含む0x21セクターを暗号化します。 これにより、512バイトのガンマが得られます。

MFTによるガンマ回復

NotPetyaは、MFTの最初の16エントリ（32セクター）を暗号化しませんが、他のすべてを暗号化します。



各ファイルレコードはシーケンス「FILE」で始まり、通常はバイト30 00 03 00が続くことがわかっています（UpdateSequenceArrayOffset = 0x30、UpdateSequenceArrayLength = 3）。 理論的には、これらの4バイトには他の値が含まれている場合がありますが、同じNTFS論理ボリューム内のすべてのファイルレコードでほぼ同じです。



したがって、1つのファイルレコード（2セクターを占有）から8バイトのガンマを取得でき、隣接する各レコードから2バイトが追加されます（および以前に受信した6バイトをチェックできます）。 最近のエントリはほぼ完全にゼロで構成されており、最大1024ガンマバイトを生成できます。



また、MFT暗号化に使用されるガンマフラグメントを復元すると、ファイルシステム構造を完全に復元できます。

既知のファイルからガンマを復元する

ランサムウェアは、各ファイルの最初の2つのセクターも暗号化しますが、これは1024バイトよりも長くなります。 さらに、クラスターサイズは通常2セクター（たとえば、8）よりも大きくなります。 この場合、ファイルの暗号化された先頭を見つけて1024バイトをスキップすると、暗号化されていない形式で次の3キロバイトを簡単に取得できます。 また、先頭から1024バイトのオフセットにまったく同じ3キロバイトがあるファイルがある場合、ファイルの先頭が一致する可能性が高くなります。 そして、さらに1024バイトのガンマを取得します。



「クリーンな」Windows XPを入れてWindowsフォルダーを調べると、8315個のファイルがそこにあります。 頻繁に使用されるWindows 8.1ファイルでは、20万を超えます。 それらの多くが暗号化されたドライブ上のファイルと一致する可能性は十分です。



そのため、利用可能なWindowsインストール（同じバージョンで、同様の更新プログラムを使用することが望ましい）からDLLおよびEXEファイルのインデックスを作成する場合、おそらくこれで色域を完全に復元できます。



また、ガンマフラグメントを受け取ったら、一意のファイルを復元することもできます。

視点と落とし穴

暗号化されたディスクの「手動」リカバリの難しさは、このプロセスにかなりの時間（時間）がかかり、大量の空きディスク容量が必要になることです。 空のディスクを持っているユーザーはほとんどなく、そのボリュームは暗号化されたディスクのボリューム以上です。 そして、損傷したオリジナルを実験することは自殺に似ています。



したがって、近い将来、すべてを「SMSを使用せずに」すばやく復元できるユーティリティが登場することは考えられません。 むしろ、現在提供されているものと比較して、より完全なデータ回復のためのサービスの出現が期待できます。



関連ソフトウェアを開発するタスクは、データ回復を専門とする企業によって処理される可能性が高くなります。 彼らはそのような問題を解決するのにまともな経験を持つべきです。



ただし、暗号化するセクタを選択するアルゴリズム（解読する必要があることを意味します）にもエラーが含まれていることを忘れないでください（NTFS構造の解析時など）。これは結果に影響する可能性があります。



この手法を使用してハードディスクからデータを回復するには、ヒューリスティックを使用する必要があります。 復旧の程度は多くの要因（ディスクサイズ、充填および断片化の程度）に依存し、多くの「パブリック」ファイル（多くのマシンで同じオペレーティングシステムおよびソフトウェア製品のコンポーネント）を含む大容量ディスクで100％に達します。



残念ながら、この記事で提案されている方法では、起動時に管理者権限を取得できなかった場合、NotPetyaが使用するAESアルゴリズムで暗号化されたファイルを解読することはできません。



上記の方法を思い付くことができた提案について、Alexander Peslyak（Solar Designer）に感謝します。



Positive Technologies、アプリケーション分析責任者、Dmitry Sklyarovによる投稿。