» »

Raziskovalci razbili izsiljevalski BitCrypt

Raziskovalci razbili izsiljevalski BitCrypt

Slo-Tech - Lanski hit med virusi je bil CryptoLocker, ki je ob okužbi zašifriral podatkovne datoteke in zahteval plačilo določene količine bitcoinov v zameno za ključ, ki bi odšifriral datoteke. CryptoLocker je uporabljal 2048-bitni ključ in vse do danes ga raziskovalcem ni uspelo zlomiti. Nekateri so zato dejansko plačali zahtevano odkupnino in nekateri med njimi so datoteke dobili nazaj, drugi pa bojda ne. ZDNet je raziskal dobičkonosnost tega početja in ugotovil, da so pisci virusa dobili vsaj 40.000 bitcoinov (okrog 22 milijonov dolarjev), zato ni presenetljivo, da se je na internetu pojavila vrsta posnemovalcev.

Eden izmed njih je tudi BitCrypt, ki je začel krožiti letos in je zahteval 0,4 bitcoina kot odkupnino. Toda tega pa so raziskovalci uspeli razbiti in izdelali so orodje za dešifriranje datotek. Francoza iz Airbus Defence & Space - CyberSecurity (nekdanji Cassidian) sta analizirala BitCrypt in ugotovila, da so bili pisci površni. Očitno so za šifriranje želeli uporabiti 1028-bitni ključ, a so uporabili ključ, ki je imel 1028 desetiških številk oziroma 426 bitov (podrobnosti). To pa je zadosti malo, da so ga uspeli zlomiti.

V tem primeru je torej raziskovalcem uspelo zlomiti izsiljevalski virus, a to ni razlog, da bi si lahko oddahnili, saj jim je to uspelo le zaradi površnosti piscev. CryptoLocker medtem ostaja nerešena uganka in nas opominja, da so za domačo rabo varnostne kopije podatkov, ki niso priključene v računalnik oziroma internet še vedno izjemno pomembne.

13 komentarjev

RejZoR ::

Sej crypterje so do zdej vedno razbil zaradi šlamparije. Vprašanje bo, kaj potem, ko bo nekdo spisal nekaj brez napake...
Angry Sheep Blog @ www.rejzor.com

Isotropic ::

saj to je cryptlocker

Zgodovina sprememb…

RejZoR ::

Imaš pa zaščito v obliki protekcije fajlov, Panda Cloud je imela to (čeprav so z verzijo 2.9 odstranili zaradi drugih razlogov pri razvoju), prihajajoči COmodo IS 7.0 ima tud to opcijo s tem da moraš zadevo nastavit ročno.
Crypter bo sicer mislil, da je vse zakodiral, v resnici pa bo samo delal v prazno.
Angry Sheep Blog @ www.rejzor.com

Isotropic ::

kaj pa je to sploh
oz. bi scitilo tudi proti nekemu novemu takemu virusu

Zgodovina sprememb…

drola ::

Napaka v novici. Hoteli so uporabiti 128 byteov dolg ključ (=1024 bitov), dejansko pa so uporabili ključ dolg 128 desetiških števk (=426 bitov).
https://drola.si

RejZoR ::

Šifrirne ključe se nikoli ne navaja v bajtih.
Angry Sheep Blog @ www.rejzor.com

MrStein ::

Hoče povedat, da je v novici napaka.

426 bitov je 128 desetiških števk, ne pa 1028, kot piše v novici.

---

Zanimivo, kar nekaj AV-jev ni prepoznalo virusa: (angleški link na VirusTotal

Drugi pa so dali precej generična poimenovanja.

PS: Vzorce z VT je mogoče downloadati?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

RejZoR ::

Sample lahko dobiš iz VT samo če si preverjeni razvijalec varnostne opreme. Tud vedi, da če VT ne zazna še ne pomeni, da dejanski samostojni produkt tud ne zazna. VT recimo cloud detekcij sploh ne uporablja.

Če dam recimo za primer avast!, ki ga najbolj poznam, DeepScreen, FileRep in Evo-Gen detekcije sploh ne delujejo. Te 3 tehnologije pa so najbolj kritične za nove sample. In podobno je z večino drugih AV-jev, kjer cloud deluje samo za on-access in ne on-demand scan. Predvsem zato, ker piscem golazni to krepko oteži delo plus nikoli ne morejo bit ziher kdaj bo nekaj zaznalo in kaj ne, ker je vse odvisno od on-th-fly analiz v cloudu.
Angry Sheep Blog @ www.rejzor.com

MrStein ::

In pisci golazni me morejo AV naložiti na svoj PC in tako vseeno testirati cloud detekcijo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

RejZoR ::

Seveda lahko, ampak če bojo testiral sample ga bo antivirus prejel v cloud kjer ga avtomatizirani sistemi uvrstijo v detekcijo v roku nekaj minut do kakšne ure ali dveh. Če pa cloud blokirajo, da do tega ne bi prišlo pa ne bojo mogli testirat cloud detekcij. Pretty neat eh? :)
Angry Sheep Blog @ www.rejzor.com

MrStein ::

Catch-22 :)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

filip007 ::

Namen ključa je da deluje, kdaj bodo šle vse stvari na 2048-bit, brskalniki imajo komaj 265-bit se mi zdi, mafija ima tokrat prednost kako to?
Trevor Philips Industries

MrStein ::

google: osnove enkripcije

Browserji "imajo" 2048 že en čas.

Sicer pa je to parameter. Že pred 20 leti si lahko uporabil 2048 ali celo več bitov. (PGP)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI: izsiljevalskim virusom kar plačajte (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5235241 (29617) Mare2
»

CryptoLocker premagan

Oddelek: Novice / Kriptovalute
2115944 (11090) Mare2
»

Prvi izsiljevalski virus za Android

Oddelek: Novice / Varnost
2211476 (8883) boolsheat
»

Po Sloveniji se širi Cryptolocker (strani: 1 2 )

Oddelek: Novice / Varnost
6131791 (18787) alro

Več podobnih tem