Gode nyheder for Hive ransomware ofre – sikkerhedsforskere fandt en måde at dechifrere dens krypteringsalgoritme uden at bruge hovednøglen. En gruppe akademikere fra Sydkoreas Kookmin University har delt deres nysgerrige resultater i en detaljeret rapport med titlen "En metode til at dekryptere data inficeret med Hive Ransomware". Tilsyneladende, forskerne var i stand til at "gendanne hovednøglen til generering af filkrypteringsnøglen uden angriberens private nøgle, ved at bruge en kryptografisk sårbarhed identificeret gennem analyse."
Hive Ransomware-kryptering forklaret
Hive bruger en hybrid kryptering og sin egen symmetriske kryptering til at kryptere ofrets filer. Forskerne var i stand til at gendanne hovednøglen, der genererer filkrypteringsnøglen uden den private nøgle ejet af angriberne. Dette var muligt på grund af en kryptografisk fejl, de opdagede under analysen. Som et resultat af deres erfaring, krypterede filer blev dekrypteret med den gendannede hovednøgle, rapporten sagde.
Hvordan besejrede forskerne Hives kryptering?
"Så vidt vi ved, dette er det første vellykkede forsøg på at dekryptere Hive ransomware,” tilføjede akademikerne.
I et eksperiment, forskerne påviste, at mere end 95% af de nøgler, der bruges til kryptering af Hive kunne gendannes ved hjælp af den specifikke metode, de opdagede. Første, de opdagede, hvordan ransomware genererer og gemmer hovednøglen ved at generere 10MiB tilfældige data, som den bruger som hovednøgle.
"For hver fil, der skal krypteres, 1MiB og 1KiB data udvindes fra en specifik offset af hovednøglen og bruges som en nøglestrøm. Den forskydning, der bruges på dette tidspunkt, gemmes i det krypterede filnavn for hver fil. Brug af forskydningen af nøglestrømmen, der er gemt i filnavnet, det er muligt at udtrække den nøglestrøm, der bruges til kryptering,”Hedder det i rapporten.
Endvidere, ransomwaren krypterer data ved at XORinge dem med en tilfældig nøglestrøm, unik for hver fil, men tilstrækkelig let at gætte. Endelig, forskerne foreslår "en metode til at dekryptere krypterede filer uden angriberens private nøgle." Dette er muligt, fordi hive ikke bruger alle bytes af hovednøglen, der er krypteret med den offentlige. Som et resultat, mere end 95% af hovednøglen, der blev brugt til at generere krypteringsnøglestrømmen, blev gendannet, hvilket betyder, at de fleste af de inficerede filer kunne gendannes ved at bruge den gendannede hovednøgle.
Mere specifikt, "hovednøglen genfandt sig 92% lykkedes at dekryptere ca 72% af filerne, hovednøglen gendannet 96% lykkedes at dekryptere ca 82% af filerne, og hovednøglen gendannet 98% lykkedes at dekryptere ca 98% af filerne,” ifølge rapporten.