Эксперт компании Emsisoft Фабиан Восар
(Fabian Wosar) сумел взломать алгоритмы
шифрования многих вымогательских
вредоносов, чем
изрядно разозлил немало хакеров. Тем не
менее, Восар на достигнутом не останавливается: теперь он сумел одолеть
семейство шифровальщиков HydraCrypt и
UmbreCrypt и уже представил инструмент
для расшифровки данных. HydraCrypt и UmbreCrypt — новые
вредоносы, впервые замеченные в 2016
году. В основе обоих шифровальщиков
лежит код малвари CrypBoss, который в
прошлом году был опубликован
неизвестными на PasteBin. Так как исходный код был доступен, это
существенно облегчило Восару задачу по
взлому. «К сожалению, единственные
изменения, сделанные в коде
HydraCrypt и UmbreCrypt, это 15 байт,
которые добавляются в конец
каждого файла, чтобы они уже не
подлежали восстановлению», — рассказал эксперт в блоге. Однако авторы новой малвари, взявшие
за основу исходный код CrypBoss,
очевидно не слишком старались —
изменений в коде очень мало. Хорошая
новость заключается в том, что чаще
всего дополнительные 15 байт вообще бесполезны, и файлы все же можно
восстановить. Восар выяснил, что
дополнительные байты вредят далеко не
всем форматам файлов, к тому же
зачастую лишние 15 байт записываются в
область буферных данных, то есть шифрование «лечится» простым
открытием и сохранением файла, пишет xakep.ru. Для тех случаев, когда простые методы не
помогают, эксперт
опубликовал инструмент для
восстановления данных. Программа
работает для HydraCrypt и для UmbreCrypt. Для работы инструмента понадобится
извлечь ключ шифрования. Для этого
нужен любой зашифрованный файл и его
незашифрованная копия (к примеру, из
бекапа). Чтобы запустить процесс
извлечения ключа, нужно перетянуть оба файла на .exe-файл дешифровщика. Если ни одной «живой» копии
зашифрованного файла нет, можно взять
произвольный .png-файл из интернета и
запустить процесс извлечения ключа с
ним. Смотри иллюстрацию выше. По сути,
начнется взлом шифрования, что может занять продолжительное время (сутки и
даже дольше). После получения ключа шифрования,
останется только запустить инструмент
Восара, ввести полученный ключ и
указать директорию с данными,
подлежащими восстановлению.
Автор:
Manager / 5 Марта 2016 в 22:02 / Просмотров: 354