Pesquisadores lançam ferramenta para recuperar dados infectados por ransomware

Por Redação | 16.11.2015 às 08:06

Os administradores de servidores web baseados em Linux infectados por ransomware podem ficar aliviados. Uma equipe de pesquisadores da Bitdefender encontrou uma falha na forma que o Linux.Enconder.1 utiliza a criptografia e conseguiu criar uma ferramenta gratuita que pode recuperar os arquivos inacessíveis.

O programa utiliza o Advanced Encryption Standard (AES), que usa a mesma chave tanto para operações de criptografia como de decriptação. A chave AES é criptografada utilizando RSA, um algoritmo de criptografia assimétrica, enquanto o algoritmo utiliza um par de chaves pública e privada, em vez de uma única tecla. A chave pública é utilizada para criptografar dados e a chave privada é usada para decifrá-los. No caso do Linux.Encoder.1, o par de chaves pública e privada RSA é gerada em servidores dos agressores e somente a chave pública é enviada para os sistemas infectados e utilizada para criptografar a chave AES.

Se implementado corretamente, este processo tornaria impossível para qualquer um descriptografar os arquivos sem a chave privada RSA retida pelos atacantes. No entanto, os investigadores descobriram que, quando é gerada as chaves AES, o programa malicioso usa uma fraca fonte de dados aleatórias: a hora e data do momento da criptografia. Este carimbo de tempo é fácil de determinar, uma vez que basta olhar para quando os arquivos de chave AES foram criados no disco. Assim, os pesquisadores são capazes de reverter o processo e recuperar as chaves AES sem a necessidade de decifrá-las.

A ferramenta criada pela equipe da Bitdefender é um script escrito em Python que determina os vetores de inicialização e chaves de criptografia AES, analisando os arquivos criptografados pelo programa ransomware. Em seguida, ela decifra os arquivos e corrige suas permissões no sistema.

Esta não é a primeira vez que os atacantes de ransomware cometem erros na implementação de algoritmos de criptografia, permitindo que pesquisadores recuperem arquivos infectados. No entanto, os erros devem ser corrigidos em novas versões da praga. É seguro afirmar que em breve veremos uma nova variante do Linux.Encoder que não cometerá o mesmo erro.

Via PC World

Fonte: http://www.pcworld.com/article/3003460/first-linux-ransomware-program-cracked-for-now.html#tk.rss_all