Пострадавшие от TorrentLocker файлы можно расшифровывать


TorrentLockerИсследователям из компании Nixu Watson удалось найти способ, позволяющий расшифровать файлы, которые были заблокированы вымогательским ПО TorrentLocker. Как утверждают специалисты, чтобы восстановить утерянную информацию, пользователю достаточно иметь резервную копию хотя бы одного файла, размер которого больше 2 Мб.

Весь процесс расшифровки основывается на наличии у пользователя оригинального файла размером более 2 Мб, а также его зашифрованной модификации. Если таковые имеются, тогда таким образом все пострадавшие файлы от TorrentLocker, могут быть разблокированы.

Специалисты утверждают, что шифрование файлов проводится путем соединения потока ключа с целевыми файлами с помощью операции XOR. Если применить ту же операцию между зашифрованным и оригинальным файлом, то появляется возможность извлечь поток ключа и расшифровать информацию.

Данная теория была проверена исследователями на нескольких образцах подряд. В результате оказалось, что вредонос использует один и тот же поток ключа во всех файлах при инфицировании системы. Такой подход является грубейшей криптографической ошибкой, т.к. поток ключа нельзя использовать два и более раза.

TorrentLocker присоединял 264 байта мусорных данных к зашифрованным файлам, после чего блокировал первые два мегабайта информации. Скорее всего, это использовалось злоумышленниками для ускорения процесса шифрования.


Обновлено (15.09.2014 00:30)