Goed nieuws voor bijenkorf ransomware slachtoffers – beveiligingsonderzoekers hebben een manier gevonden om het coderingsalgoritme te ontcijferen zonder de hoofdsleutel te gebruiken. Een groep academici van de Kookmin University in Zuid-Korea heeft hun merkwaardige bevindingen gedeeld in een gedetailleerd rapport met de titel "A Method for Decrypting Data Infected with Hive Ransomware". Blijkbaar, de onderzoekers waren in staat om "de hoofdsleutel te herstellen voor het genereren van de bestandscoderingssleutel zonder de privésleutel van de aanvaller", door gebruik te maken van een door analyse geïdentificeerde cryptografische kwetsbaarheid.”
Hive Ransomware-codering uitgelegd
Hive gebruikt een hybride codering en zijn eigen symmetrische codering om de bestanden van het slachtoffer te coderen. De onderzoekers waren in staat om de hoofdsleutel te herstellen die de bestandscoderingssleutel genereert zonder de privésleutel die eigendom is van de aanvallers. Dit was mogelijk vanwege een cryptografische fout die ze tijdens de analyse ontdekten. Als resultaat van hun ervaring, gecodeerde bestanden zijn met succes gedecodeerd met behulp van de herstelde hoofdsleutel, het verslag zei.
Hoe hebben de onderzoekers de versleuteling van Hive verslagen??
"Voor zover wij weten, dit is de eerste succesvolle poging om de Hive-ransomware te ontsleutelen,” voegden de academici eraan toe.
In een experiment, de onderzoekers toonden aan dat meer dan 95% van de toetsen die worden gebruikt voor encryptie door Hive kan worden hersteld met behulp van de specifieke methode die ze hebben ontdekt. Eerste, ze ontdekten hoe de ransomware de hoofdsleutel genereert en opslaat door 10 MiB aan willekeurige gegevens te genereren die het als hoofdsleutel gebruikt.
“Voor elk te versleutelen bestand, 1MiB en 1KiB aan gegevens worden geëxtraheerd uit een specifieke offset van de hoofdsleutel en gebruikt als een keystream. De offset die op dit moment wordt gebruikt, wordt opgeslagen in de versleutelde bestandsnaam van elk bestand. De offset gebruiken van de keystream die is opgeslagen in de bestandsnaam, het is mogelijk om de sleutelstroom te extraheren die wordt gebruikt voor codering,”Aldus het rapport.
Bovendien, de ransomware versleutelt gegevens door ze te XORen met een willekeurige keystream, uniek voor elk bestand, maar voldoende gemakkelijk te raden. Eindelijk, de onderzoekers suggereren "een methode om versleutelde bestanden te ontsleutelen zonder de persoonlijke sleutel van de aanvaller." Dit is mogelijk omdat hive niet alle bytes van de hoofdsleutel gebruikt die is versleuteld met de openbare. Dientengevolge, meer dan 95% van de hoofdsleutel die is gebruikt voor het genereren van de encryptiesleutelstroom is hersteld, wat betekent dat de meeste geïnfecteerde bestanden kunnen worden hersteld met behulp van de herstelde hoofdsleutel.
Specifieker, “de hoofdsleutel hersteld 92% slaagde in het decoderen van ongeveer 72% van de bestanden, de hoofdsleutel hersteld 96% slaagde in het decoderen van ongeveer 82% van de bestanden, en de hoofdsleutel hersteld 98% slaagde in het decoderen van ongeveer 98% van de bestanden,” volgens het rapport.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: