04/07/22
Хорошие новости для жертв вымогательского ПО Hive – южнокорейское ИБ-агентство KISA выпустило бесплатный инструмент для восстановления зашифрованных файлов. Декриптор подходит для расшифровки данных, пострадавших от версий Hive от 1 до 4.
Агентство выпустило исполняемый файл декриптора и инструкцию по его использованию.
В феврале нынешнего года исследователи университета Кукмин (Южная Корея) обнаружили уязвимость в используемом Hive алгоритме шифрования, позволившую им восстановить данные без закрытого ключа шифрования, согласно Securitylab.
Вымогательское ПО Hive использует гибридную схему шифрования, но с собственным симметричным шифром для шифрования файлов. Исследователям удалось восстановить мастер-ключ для генерирования ключа шифрования для файлов, не имея при этом закрытого ключа операторов Hive, а используя уязвимость в шифровании.
«Насколько нам известно, это первая успешная попытка расшифровать вымогательское ПО Hive. Экспериментальным путем мы продемонстрировали, что более 95% ключей шифрования можно восстановить с помощью предложенного нами метода», – сообщили исследователи.
Hive генерирует 10 МБ произвольных данных и использует их в качестве мастер-ключа. Вымогатель извлекается из определенного смещения главного ключа 1 МБ и 1 КБ данных для каждого файла, который необходимо зашифровать, и использует его в качестве потока ключей. Смещение хранится в зашифрованном имени каждого файла. Исследователи смогли определить смещение ключевого потока, хранящегося в имени файла, и расшифровать файл.
Исследование специалистов университета Кукмин, вероятно, легло в основу работы KISA по созданию декриптора.
