Зловред-вымогатель BitCrypt взломан с легкостью

Тема в разделе "Новости информационной безопасности", создана пользователем DJON0316, 1 мар 2014.

  1. DJON0316
    Оффлайн

    DJON0316 Активный пользователь

    Сообщения:
    281
    Симпатии:
    24
    Если ваш или чужой компьютер оказался поражен новым зловредом-вымогателем BitCrypt, не спешите выплачивать залог, как это сделали некоторые несчастные. Наоборот, нужно вздохнуть с облегчением, потому что авторы программы жестоко просчитались с длиной ключа шифрования. Хотя они заявляют, что используют для каждой жертвы уникальный ключ RSA длиной 1024 бит, на самом деле это не так.

    [​IMG]

    Один из пострадавших пользователей разобрал структуру, конфигурационного файла bitcrypt.ccw, который используется при генерации ключей AES для каждого шифруемого файла.

    Конфигурационный файл содержит строку в кодировке base64.

    FRzXsfaUXv2MGBtstNDDXX0OQhQF8luWe+eszngsgYgBOq5E3JcZWQuv94SzOHBOrSSZGh7
    DRU-84-539467
    EncryptComplete

    После декодирования строка превращается в последовательность из 128 цифр. Очевидно, автор программы при указании длины ключа перепутал 128 байт (1024 бит) и 128 разрядов. Другими словами, мы имеем дело с ключом RSA-464, который подбирается на обычном ПК за несколько часов. Для этого подходит программа cado-nfs.

    Расшифровать файлы на жестком диске легче всего с помощью специального скрипта на Python.

    Напоследок, можно пожелать всем и всегда делать резервное копирование, тогда не возникнет никаких проблем с восстановлением информации, даже если зловред использует правильное шифрование.

    Источник
     
    Sandor, iskander-k, thyrex и 2 другим нравится это.

Поделиться этой страницей