Если ваш или чужой компьютер оказался поражен новым зловредом-вымогателем BitCrypt, не спешите выплачивать залог, как это сделали некоторые несчастные. Наоборот, нужно вздохнуть с облегчением, потому что авторы программы жестоко просчитались с длиной ключа шифрования. Хотя они заявляют, что используют для каждой жертвы уникальный ключ RSA длиной 1024 бит, на самом деле это не так.

Один из пострадавших пользователей разобрал структуру, конфигурационного файла bitcrypt.ccw, который используется при генерации ключей AES для каждого шифруемого файла.

Конфигурационный файл содержит строку в кодировке base64.

FRzXsfaUXv2MGBtstNDDXX0OQhQF8luWe+eszngsgYgBOq5E3JcZWQuv94SzOHBOrSSZGh7
DRU-84-539467
EncryptComplete

После декодирования строка превращается в последовательность из 128 цифр. Очевидно, автор программы при указании длины ключа перепутал 128 байт (1024 бит) и 128 разрядов. Другими словами, мы имеем дело с ключом RSA-464, который подбирается на обычном ПК за несколько часов. Для этого подходит программа cado-nfs.

Расшифровать файлы на жестком диске легче всего с помощью специального скрипта на Python.

Напоследок, можно пожелать всем и всегда делать резервное копирование, тогда не возникнет никаких проблем с восстановлением информации, даже если зловред использует правильное шифрование.

Оставить мнение