El pasado 6 de noviembre, se hizo público, por
parte de Dr.
Web, la existencia de un ransomware
desarrollado para servidores Linux, denominado: Linux.Encoder.1
(Descripción técnica).
Hoy leo que Bitdefender
ha sacado una herramienta
para descifrar los archivos cifrados por este ransomware. Todo es debido a que:
“Linux.Encoder.1
cifra documentos, aplicaciones, código fuente y archivos multimedia utilizando
el algoritmo de cifrado AES-128 con una clave que se genera localmente en el
dispositivo de la víctima. La clave AES se cifra, a su vez, con una clave RSA
para asegurar que los archivos no se pueden recuperar sin pagar el rescate.
Romper el
cifrado RSA y AES es casi imposible, y la clave privada RSA necesaria para
descifrar la clave AES solamente se almacena en la máquina del atacante. Sin
embargo, los investigadores de Bitdefender descubrieron un defecto en la forma
en que se genera la clave AES.
En lugar de
generar claves aleatorias seguras y vectores de inicialización, la muestra
derivaría dos piezas de información de la función rand () de libc generado con
la fecha y hora actual del sistema en el momento de cifrado. Esta información
puede ser fácilmente recuperada examinado marca de tiempo del archivo ",
dijo Bitdefender.
Este es un
gran defecto de diseño que permite la recuperación de la clave AES sin tener
que descifrar con la clave pública RSA vendido por el operador (s) del
troyano".
No hay comentarios:
Publicar un comentario