Неумелая реализация криптографической защиты — это беда не только многих обычных программ и веб-сервисов, но и вредоносных троянцев. Например, исключительную безграмотность показали неизвестные авторы троянца-шифровальщика DirCrypt. Эта программа шифрует файлы на компьютере пользователя, после чего требует выкуп за их расшифровку. Но специалисты из компании Check Point показали, что можно расшифровать файлы без всякого выкупа.

002

DirCrypt выделяется из рядов троянцев-шифровальщиков своими особенно грязными методами. После шифрования документов он остаётся в оперативной памяти, следит за появлением новых документов — и шифрует их тоже. Таким образом, пользователь лишается возможности нормальной работы с компьютером.

Обычно в такой ситуации жертвам заражения рекомендуют восстановить систему из последнего бэкапа. Однако, в случае с DirCrypt есть более хороший вариант: из-за неправильной реализации криптографии можно напрямую восстановить все файлы на компьютере.

Специалисты Check Point провели обратный инжиниринг кода в программе IDA-Pro и нашли участок, который отвечает за шифрование файлов.

003

К функции шифрования происходит 170 обращений из других участков кода, при этом функция передаёт определённое заданное значение в качестве параметра. Именно это значение используется для расшифровки файлов.

004

Как выяснилось потом, DirCrypt вообще записывает ключ RC4 в конец каждого зашифрованного файла.

005

«Подняв наши челюсти с земли, мы начали испытывать жалость к бедному автору вредоносной программы, — пишут аналитики Check Point. — Очевидно, он запутался и не знал, куда сохранить ключ шифрования, и как-то в его голову пришла идея сохранить его в конце зашифрованного файла. Таким образом, можно напрямую без проблем расшифровать каждый файл».



9 комментариев

  1. 01.09.2014 at 15:51

    Получил урок, на следующий раз будет хранить ключ в начале файла

  2. 01.09.2014 at 15:53

    И что: автор написал кривую поделку, продал, получил деньги. Дальнейшее его не интересует. Да и искать его будут не так, как если бы безвозвратно накрылся квартальный бюджет штата и не было возможности его расшифровать.

  3. 01.09.2014 at 16:18

    >rc4
    >2014
    >хранить ключ
    Настаиваю на том, чтобы каждый, кто применяет криптографию, прошёл соответствующий курс на Coursera чтобы не позориться.

  4. 01.09.2014 at 16:49

    Автор скомпилил готовые исходники из журнала зарубежного, изменил именя тайтлов и продал как супер мега софт, благо работает хоть как-то и мало кто из покупашек будет реверсить купленный софт)))

  5. 01.09.2014 at 16:49

    Почему аналитики Check Point думают, что автор в результате своей «неграмотности» не поимел денег с наивных хомячков? Попади мне такой шифровальщик, я бы вряд ли обнаружил, что в конце каждого файла есть ключ. И не узнал бы каким алгоритмом можно расшифровать файлы с применением этого ключа. Я ж не аналитик, откуда мне всё это знать? У них слишком высокое ЧСВ, да и живут они в параллельной вселенной, где вредоносное ПО пишут для выставки на конкурсе, а не для получения денег. Нужно не код хаять, а смотреть, сколько на него ушло времени и сколько это принесло денег. И пусть потом сравнят это со стоимостью своего рабочего времени. Я вот тоже вижу, что постоянно ловят и сажают торговцев наркотиками, потому что они плохо шифровались. Но в тех же газетах пишут, что они в месяц получали по миллиону денег. Они отсидят, скажем, три года, а потом лет 6 могут вообще не работать, потому что «накопили» днеге. Конечно, я бы лучше работал, но на свободе, но у них могут быть свои взгляды на ситуацию.

    • 02.09.2014 at 08:03

      Торговцы наркотиками которых сажают всего лишь мелкие сошки, которые необходимы чтобы их сажать. Главным контролером торговли наркотиками является совсем другая организация. Не зря же в ее названии содержится и НАРКО и КОНТРОЛЬ. Хехе

  6. 02.09.2014 at 07:59

    Так и запишем — «Не хранить пароль в конце зашифрованного файла». Хуля, бесплатная аналитика.

  7. http://alfafenix.ru/

    02.09.2014 at 12:45

    Хороший хакер попался, дал лазейку для восстановления файлов, а вам не нравится, вот обидится и сделает что будет шифровать без возможности расшифровки вот тогда беда будет!
    П.С. лох и так заплатит и не будет ковыряться даже, а умный бесплатно расшифрует, Хакер красавчик!

Оставить мнение