Взлом криптозащиты троянца-шифровальщика DirCrypt
- вторник, 2 сентября 2014 г. в 03:11:14
Неумелая реализация криптографической защиты — это беда не только многих обычных программ и веб-сервисов, но и вредоносных троянцев. Например, исключительную безграмотность показали неизвестные авторы троянца-шифровальщика DirCrypt. Эта программа шифрует файлы на компьютере пользователя, после чего требует выкуп за их расшифровку. Но специалисты из компании Check Point показали, что можно расшифровать файлы без всякого выкупа.
DirCrypt выделяется из рядов троянцев-шифровальщиков своими особенно грязными методами. После шифрования документов он остаётся в оперативной памяти, следит за появлением новых документов — и шифрует их тоже. Таким образом, пользователь лишается возможности нормальной работы с компьютером.
Обычно в такой ситуации жертвам заражения рекомендуют восстановить систему из последнего бэкапа. Однако, в случае с DirCrypt есть более хороший вариант: из-за неправильной реализации криптографии можно напрямую восстановить все файлы на компьютере.
Специалисты Check Point провели обратный инжиниринг кода в программе IDA-Pro и нашли участок, который отвечает за шифрование файлов.
К функции шифрования происходит 170 обращений из других участков кода, при этом функция передаёт определённое заданное значение в качестве параметра. Именно это значение используется для расшифровки файлов.
Как выяснилось потом, DirCrypt вообще записывает ключ RC4 в конец каждого зашифрованного файла.
«Подняв наши челюсти с земли, мы начали испытывать жалость к бедному автору вредоносной программы, — пишут аналитики Check Point. — Очевидно, он запутался и не знал, куда сохранить ключ шифрования, и как-то в его голову пришла идея сохранить его в конце зашифрованного файла. Таким образом, можно напрямую без проблем расшифровать каждый файл».