Создатели программ-вымогателей для Linux в третий раз неудачники, так как исследователи снова взломали шифрование

Исследователи обнаружили, что версия Linux.Encoder 3 по-прежнему использует ошибочное шифрование и позволяет восстанавливать файлы

К радости исследователей безопасности, группа создателей вредоносного ПО в настоящее время испытывает трудности с правильной реализацией криптографических алгоритмов в своем программном обеспечении-вымогателе. Это произошло не один раз, а трижды.

Группа киберпреступников в течение последних нескольких месяцев пыталась заразить системы Linux, в основном веб-серверы, программой-вымогателем, шифрующей файлы, которую индустрия безопасности прозвала Linux.Encoder.

По данным исследователей безопасности из антивирусной компании Bitdefender, третья версия Linux.Encoder заразила как минимум 600 уязвимых серверов по всему миру.

Хорошая новость заключается в том, что эта версия программы также имеет недостаток, который позволяет расшифровывать файлы без уплаты выкупа, несмотря на попытки ее создателей исправить предыдущие ошибки.

Каталин Косой, главный стратег безопасности в Bitdefender, сказал: “Как мы и ожидали, создатели Linux.Encoder исправили свои предыдущие ошибки и создали новый и улучшенный вариант. К счастью для жертв, новый вариант Linux.Encoder по-прежнему уязвим для атак на восстановление ключей.

“Старая версия программного обеспечения-вымогателя Linux.Encoder генерировала 16-байтовый вектор инициализации и 16-байтовый ключ AES, вызывая функцию rand(). Начальное значение для генератора случайных чисел брали из текущей метки времени, которая на самом деле была очень близка к времени изменения файла после шифрования.”

Когда Bitdefender задокументировал ошибочный подход к генерации векторов и ключей в предыдущих версиях, сообщество Twitter высмеивало разработчиков программ-вымогателей, предлагая дикие улучшения функциональности программного обеспечения-вымогателя.

Косой сказал: “По всей видимости, операторы действительно обратили внимание на эти рекомендации; в результате вектор инициализации теперь генерируется из хеша размера файла и имени файла – 32 байта из rand() хешируются 8 раз и используются в качестве ключа AES-256.”

И злоумышленники все еще допустили ошибки на уровне новичка. Например, отсутствует статическая ссылка в библиотеке libc, которая мешает запуску программ-вымогателей на старых системах, которые было бы легче взломать.

Создатели программ-вымогателей не смогли выбрать алгоритм хеширования, из-за чего выходные данные функции хеширования остаются неизменными. Исследователи Bitdefender заявили в блоге во вторник: “В результате полный ключ AES теперь записывается в зашифрованный файл, что делает его восстановление легкой задачей.”

Это означает, что все вызовы к примитивам Update и Finish неэффективны. В результате полный ключ AES теперь записывается в зашифрованный файл, что делает его восстановление простым процессом.

Bitdefender выпустил новый инструмент, который может расшифровывать файлы, затронутые этой последней версией Linux.Encoder, для тех, кто пострадал от новой версии этого программного обеспечения-вымогателя.

К сожалению, люди, стоящие за этой программой-вымогателем, похоже, довольно решительны и вряд ли продолжат делать ошибки. Можно с уверенностью предположить, что в какой-то момент они исправят свою реализацию, и когда это произойдет, файлы, зашифрованные Linux.Encoder, будут невосстановимы без резервных копий или уплаты выкупа.

Исследователь BitDefender Раду Карагеа назвал последнюю версию Linux.Encoder контрмерой “очень близкой к провалу” и говорит, что жертвы, которые избежали захвата третьей версии, могут не получить четвертого шанса.

“Хотя это третья удачная попытка, пожалуйста, убедитесь, что после восстановления вы обновите уязвимые платформы и остановите этот тип атаки в первую очередь.”

“В следующий раз хакеры могут действительно создать рабочую версию программного обеспечения-вымогателя, которую будет не так легко расшифровать.”