Выпущен бесплатный декриптор для файлов, зашифрованных вымогателем Hive

Пт 1 Июль 2022 12:23

Хорошие новости для жертв вымогательского ПО Hive – южнокорейское ИБ-агентство KISA выпустило бесплатный инструмент для восстановления зашифрованных файлов. Декриптор подходит для расшифровки данных, пострадавших от версий Hive от 1 до 4.

Агентство выпустило исполняемый файл декриптора и инструкцию по его использованию.

В феврале нынешнего года исследователи университета Кукмин (Южная Корея) обнаружили уязвимость в используемом Hive алгоритме шифрования, позволившую им восстановить данные без закрытого ключа шифрования.

Вымогательское ПО Hive использует гибридную схему шифрования, но с собственным симметричным шифром для шифрования файлов. Исследователям удалось восстановить мастер-ключ для генерирования ключа шифрования для файлов, не имея при этом закрытого ключа операторов Hive, а используя уязвимость в шифровании.

«Насколько нам известно, это первая успешная попытка расшифровать вымогательское ПО Hive. Экспериментальным путем мы продемонстрировали, что более 95% ключей шифрования можно восстановить с помощью предложенного нами метода», – сообщили исследователи.

Hive генерирует 10 МБ произвольных данных и использует их в качестве мастер-ключа. Вымогатель извлекается из определенного смещения главного ключа 1 МБ и 1 КБ данных для каждого файла, который необходимо зашифровать, и использует его в качестве потока ключей. Смещение хранится в зашифрованном имени каждого файла. Исследователи смогли определить смещение ключевого потока, хранящегося в имени файла, и расшифровать файл.

Исследование специалистов университета Кукмин, вероятно, легло в основу работы KISA по созданию декриптора.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 257 дней 10 часов 22 минуты 25 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.