Вы используете устаревший браузер!

Страница может отображаться некорректно.

Закодировать всё

Закодировать всё

Другие выпуски этой рубрики (28)
  • добавить в избранное
    Добавить в закладки

«Приговор» шифровальщика подлежит обжалованию

Прочитали: 3769 Комментариев: 104 Рейтинг: 107

Почему антивирусные компании могут расшифровать файлы, зашифрованные троянцами-энкодерами, и насколько это сложно сделать?

За не очень длинным словом «шифрование» кроется достаточно сложный комплекс.

Во-первых, алгоритм (описание процесса, а не программа или библиотека) шифрования. Каждый из них проходит длительную проверку на стойкость ко взлому.

Trojan.Encoder.398, способен использовать до 18 различных алгоритмов шифрования.

https://news.drweb.ru/show/?i=7098

Это почти рекорд!

Но важен не сам по себе алгоритм, а программный код – реализация алгоритма. Это – первый момент, где разработчики шифровальщика могут допустить ошибку. К сожалению, сейчас шифровальщики все чаще используют покупные библиотеки или вообще встроенную в ОС систему шифрования. В этом случае вероятность ошибки реализации алгоритма можно признать ничтожной.

Есть два типа алгоритмов – с симметричными и несимметричными ключами. Так, американский алгоритм Advanced Encryption Standard (AES) использует симметричные ключи (один и тот же ключ для шифрования и расшифровки). Сразу видно, что если ключ один, то его можно перехватить и использовать для расшифровки.

Другой вариант – использование несимметричных ключей. Например, RSA. Для работы с ним генерируется пара из общедоступного и приватного ключей. Ключ общего пользования используется для шифрования, а приватный ключ – для расшифровки. Эти ключи обычно генерируются на сервере хакеров, и только общедоступный ключ отправляется на машину жертвы. Понятно, что блокировка доступа к серверам злоумышленников делает невозможным получение ключа – и, соответственно, шифрование.

По описанию видно, что система с несимметричными ключами симпатичнее. Но и ресурсов потребляет больше, а значит – работа троянца может быть замечена. Авторы различных шифровальщиков делают разный выбор. Например, публичный ключ алгоритма RSA используется только для шифрования ключа шифрования, используемого AES, который до этого создается на локальной машине. Зашифрованный по RSA ключ AES затем вставляется в начало каждого зашифрованного файла вместе с оригинальными разрешениями файла и вектором инициализации, используемым AES.

WannaCry шифрует файлы с использованием алгоритма AES-128 (128 – длина ключа), при этом используется два режима: тестовый и обычный.

С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. В связи с этим расшифровка тестовых файлов возможна.

Длина ключа. При коротком ключе можно взломать шифрование перебором их возможных комбинаций.

Генерация ключа. Ключи должны быть разными для каждого атакуемого пользователя – это очевидно. И вот тут злоумышленники совершают множество ошибок. Чтобы генерация ключа была случайной, используются случайные простые числа. И хранить их нужно с не меньшей аккуратностью, чем сами ключи: если известен алгоритм генерации ключа, то по сохранившемуся числу можно заново его сгенерировать. Именно поэтому стала возможной расшифровка файлов, испорченных WannaCry.

В ходе своей работы WannaCry генерирует ключи шифрования компьютера жертвы на основе простых чисел. Чтобы жертва не получила доступ к закрытому ключу и не дешифровала заблокированные файлы самостоятельно, троянец удаляет ключ из системы. Но два простых числа, используемые в формуле, генерирующей ключи шифрования, из памяти не стираются и могут быть найдены в процессе wcry.exe.

Способ восстановления ключа работает только под Windows XP, 7, Vista, Server 2003 и 2008, причем при условии, что:

  1. Компьютер после заражения не перегружался.
  2. Соответствующая память не была выделена и стерта каким-либо другим процессом.

То есть нужна некоторая доля везения – этот способ будет работать не всегда.

Обнаружил этот способ Adrien Guinet, французский исследователь в области безопасности от Quarkslab.

#Trojan.Encoder #Windows #вознаграждение #выкуп #вымогательство #защита_от_потери_данных #криптография #поддержка #расшифровка #троянец #технологии_Dr.Web #шифровальщик #шифрование

Dr.Web рекомендует

  1. Зашифрованные файлы – это не всегда окончательный приговор.
  2. Если ваши файлы зашифрованы, и утилиты дешифровки не существует – не удаляйте их. Бывает, что алгоритм расшифровки удается найти спустя некоторое время.

Компания «Доктор Веб» сообщает об успешном создании алгоритма расшифровки файлов, пострадавших от действия троянца-шифровальщика Trojan.Encoder.398. Благодаря разработанному в ходе исследовательских работ инструментарию теперь полное восстановление данных, зашифрованных одной из модификаций этого опасного троянца, возможно примерно в 90% случаев.

https://news.drweb.ru/show/?i=7098

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: