Tolle Neuigkeiten für Hive-Ransomware Opfer – Sicherheitsforscher fanden einen Weg, den Verschlüsselungsalgorithmus zu entschlüsseln, ohne den Hauptschlüssel zu verwenden. Eine Gruppe von Wissenschaftlern der südkoreanischen Kookmin University hat ihre merkwürdigen Ergebnisse in einem ausführlichen Bericht mit dem Titel „Eine Methode zur Entschlüsselung von mit Hive Ransomware infizierten Daten“ geteilt.. Offenbar, Die Forscher konnten „den Hauptschlüssel zum Generieren des Dateiverschlüsselungsschlüssels ohne den privaten Schlüssel des Angreifers wiederherstellen, durch Nutzung einer durch Analyse identifizierten kryptografischen Schwachstelle.“
Hive Ransomware-Verschlüsselung erklärt
Hive verwendet eine hybride Verschlüsselung und eine eigene symmetrische Chiffre, um die Dateien des Opfers zu verschlüsseln. Die Forscher konnten den Hauptschlüssel wiederherstellen, der den Dateiverschlüsselungsschlüssel ohne den privaten Schlüssel der Angreifer generiert. Dies war aufgrund eines kryptografischen Fehlers möglich, den sie während der Analyse entdeckten. Als Ergebnis ihrer Erfahrung, verschlüsselte Dateien wurden mit dem wiederhergestellten Hauptschlüssel erfolgreich entschlüsselt, der Bericht sagte.
Wie haben die Forscher die Verschlüsselung von Hive besiegt??
"Soweit wir wissen, Dies ist der erste erfolgreiche Versuch, die Hive-Ransomware zu entschlüsseln,“, fügten die Wissenschaftler hinzu.
In einem Experiment, die Forscher bewiesen, dass mehr als 95% der verwendeten Schlüssel Verschlüsselung von Hive konnten mit der von ihnen entdeckten spezifischen Methode wiederhergestellt werden. Erste, Sie entdeckten, wie die Ransomware den Hauptschlüssel generiert und speichert, indem sie 10 MB zufälliger Daten generierte, die sie als Hauptschlüssel verwendete.
„Für jede zu verschlüsselnde Datei, 1MiB und 1 KiB an Daten werden aus einem bestimmten Offset des Hauptschlüssels extrahiert und als Schlüsselstrom verwendet. Der zu diesem Zeitpunkt verwendete Offset wird im verschlüsselten Dateinamen jeder Datei gespeichert. Verwenden des im Dateinamen gespeicherten Offsets des Schlüsselstroms, Es ist möglich, den für die Verschlüsselung verwendeten Schlüsselstrom zu extrahieren,“So der Bericht.
Weiter, Die Ransomware verschlüsselt Daten durch XORing mit einem zufälligen Schlüsselstrom, einzigartig für jede Datei, aber ausreichend leicht zu erraten. Schließlich, Die Forscher schlagen „eine Methode zum Entschlüsseln verschlüsselter Dateien ohne den privaten Schlüssel des Angreifers“ vor. Dies ist möglich, weil hive nicht alle Bytes des mit dem öffentlichen Schlüssel verschlüsselten Hauptschlüssels verwendet. Infolge, mehr als 95% des Hauptschlüssels, der zum Generieren des Verschlüsselungsschlüsselstroms verwendet wurde, wiederhergestellt wurde, Dies bedeutet, dass die meisten der infizierten Dateien mithilfe des wiederhergestellten Hauptschlüssels wiederhergestellt werden konnten.
Genauer, „Der Hauptschlüssel wurde gefunden 92% gelungen, ungefähr zu entschlüsseln 72% der Dateien, der Generalschlüssel wiederhergestellt 96% gelungen, ungefähr zu entschlüsseln 82% der Dateien, und der Hauptschlüssel wiederhergestellt 98% gelungen, ungefähr zu entschlüsseln 98% der Dateien,” laut der Meldung.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: