Administradores de servidores web que estavam infectados por um ransomware recente ganharam uma ferramenta gratuita que pode recuperar os dados perdidos. Ela foi criada por pesquisadores de segurança da empresa Bitdefender, que descobriram uma falha grave na maneira como o Linux.Encnder .1 utiliza criptografia.
O programa torna os arquivos ilegíveis usando o Advanced Encryption Standard (AES), que utiliza a mesma chave para operações de criptografia e de decriptação. A chave AES é, então, criptografada usando RSA, um algoritmo de criptografia assimétrica.
Esse algoritmo faz uso de um par de chaves privada e pública, em vez de uma única chave. A chave pública é usada para criptografar dados, e a privada é utilizada para decifrá-los. No caso do Linux.Encoder.1, o par de chaves pública e privada RSA é gerado nos servidores dos criminosos, e apenas a chave pública é enviada para sistemas infectados e usada pra criptografar e chave AES.
Leia também:
Se for implementado corretamente, esse processo deve tornar impossível para qualquer pessoa decifrar os arquivos sem a chave privada RSA retida pelos criminosos. No entanto, os pesquisadores da Bitdefender descobriram que quando o programa malicioso gera as chaves AES, ele utiliza uma fonte fraca de dados aleatórios – hora e data do momento da criptografia.
Essa indicação de tempo é fácil de determinar, bastando olhar para quando os arquivos de chave AES foram criados no disco. Portanto, pesquisadores foram capazes de reverter o processo e recuperar as chaves AES sem a necessidade de decifrá-las.
A ferramenta criada e liberada pela Bitdefender é um script escrito em Python que determina os vetores de inicialização e as chaves de criptografia AES analisando os arquivos criptografados pelo programa de ransomware. Em seguida, ele decifra os arquivos e corrige as permissões no sistema.
Esta não é a primeira vez que autores de ransomware cometeram erros na implementação de algoritmos de criptografia, permitindo que pesquisadores recuperem arquivos afetados. No entanto, tendo como base incidentes passados, quando esses erros se tornam conhecidos, ele ganham correções nas novas versões dos malwares.
Com informações de PC World