Группа южнокорейских исследователей из университета Кунмин опубликовала доклад, в котором подробно описывается метод восстановления файлов, зашифрованных вымогателем Hive. С помощью криптографической уязвимости эксперты сумели восстановить мастер-ключ малвари, использованный для создания ключей шифрования.
«Проанализировав процесс работы вымогателя Hive, мы убедились в существовании уязвимостей, возникших из-за использования собственного алгоритма шифрования, — пишут ученые. — Вымогатель Hive шифрует файлы с помощью XOR со случайным ключевым потоком, который отличается для каждого файла. Но мы обнаружили, что этот случайный поток можно достаточно легко предсказать».
Исходя из этой предпосылки, экспертам удалось восстановить большую часть мастер-ключа малвари, который использовался в качестве основы для шифрования файлов.
Разработанная специалистами техника позволяет восстановить около 95% мастер-ключа, и даже в таком неполном виде его можно использовать для расшифровки данных, восстановив от 82% до 98% файлов жертвы.
«Мастер-ключ, восстановленный на 92%, успешно расшифровывает примерно 72% файлов, мастер-ключ, восстановленный на 96%, успешно расшифровывает примерно 82% файлов, а мастер-ключ, восстановленный на 98%, успешно расшифровывает примерно 98% файлов», — говорят исследователи.
Известно, что специалисты как минимум двух ИБ-компаний (Bitdefender и Kaspersky) в настоящее время анализируют доклад, чтобы выяснить, удастся ли создать бесплатный дешифратор для Hive на основе выводов корейских исследователей.
