Administratorii de servere web care au fost infectati cu cel mai nou ransomware pentru Linux au noroc, pentru ca acum exista un instrument gratuit care le poate decripta fisierele compromise.
Instrumentul a fost creat de cercetatorii de la compania Bitdefender, care au gasit o vulnerabilitate majora in modul în care ransomware-ul Linux.Encoder.1 utilizeaza algoritmul de criptare.
Programul cripteaza fisierele folosind Advanced Encryption Standard (AES), care utilizeaza aceeasi cheie atat pentru operatiunile de criptare, cat si pentru decriptare. Cheia AES este apoi criptata folosind RSA, un algoritm de criptare asimetric.
Algoritmul RSA foloseste o cheie publica si una privata in loc de o singura cheie. Cheia publica este folosita pentru a cripta datele si cheia privata este utilizata pentru a le decripta. In cazul Linux.Encoder.1, perechile de chei RSA publice si private sunt generate pe serverele atacatorilor si doar cheia publica este trimisa catre sistemele infectate si folosita pentru a cripta cheia AES.
Daca este implementat corect, acest proces ar face imposibila decriptarea fisierelor fara cheia privata RSA detinuta de atacatori. Cu toate acestea, cercetatorii Bitdefender au descoperit ca atunci cand se genereaza cheile AES, programul malware foloseste o sursa slaba de date aleatoare: ora si data de la momentul criptarii.
Astfel, timestamp-ul este usor de determinat daca ne uitam la momentul cand fisierele cheii AES au fost create pe disc. Prin urmare, cercetatorii sunt capabili sa inverseze procesul si sa recupereze cheile AES fara a fi nevoie sa le decripteze, cheile RSA publice si private devenind inutile.
Instrumentul creat si publicat de Bitdefender este un script scris in Python care analizeaza fisierele criptate de programul ransomware si determina timestamp-ul si cheile de criptare AES. Apoi decripteaza fisierele si restaureaza permisiunile acestora pe sistem.
Sursa foto