Abo
  • Services:
Anzeige
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein.
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein. (Bild: Check Point)

Dircrypt: Ransomware liefert Schlüssel mit

Eine Analyse der Ransomware Dircrypt hat ergeben, dass die verschlüsselten Dateien des Erpressungstrojaners offenbar den Schlüssel mitliefern. Allerdings nur für einen Teil der Daten.

Anzeige

Mitarbeiter der Firma Check Point haben sich die Ransomware Dircrypt angesehen: Die Verschlüsselung lässt sich trivial durchbrechen, denn der verwendete Schlüssel für einen Großteil der Daten wird gleich mitgeliefert. Allerdings bleibt ein Teil der Daten verloren.

Dircrypt arbeitet mit einer zurzeit weit verbreiteten Masche: Es ist Malware, die Daten verschlüsselt und anschließend dem Nutzer anbietet, sie gegen Bezahlung wieder zugänglich zu machen. Wenn Dircrypt auf einem System aktiv ist, erzeugt es verschlüsselte Daten mit der Endung .enc.rtf. Versucht ein Nutzer, eine solche Datei zu öffnen, erhält er ein Dokument, in dem er aufgefordert wird, ein bestimmtes Programm auf dem Rechner zu starten, welches ihn zur Zahlung einer Geldsumme über verschiedene Zahlungsdienstleister drängt.

Schlüssel ist angehängt

Die Fachleute von Check Point haben Dircrypt genau untersucht: Die Malware versuchte mit einigen Tricks, ihre Funktionsweise zu verschleiern, die Details erläutern sie in einem PDF-Dokument. Die Check-Point-Mitarbeiter stellten fest, dass offenbar eine Verschlüsselung mit dem Algorithmus RC4 zum Einsatz kam.

Auf einem System wurden alle Dateien mit demselben RC4-Schlüssel verschlüsselt. Schon dadurch ließen sich möglicherweise Daten rekonstruieren. Mit einer einzigen Datei, deren Inhalt bekannt ist, könnten so der Schlüsselstrom der Verschlüsselung rekonstruiert und damit andere Dateien entschlüsselt werden. Doch es stellte sich heraus, dass dies überhaupt nicht nötig ist. Denn die verschlüsselten Dateien liefern den Schlüssel gleich mit. Er wurde schlicht ans Ende der jeweiligen Datei geschrieben.

Allerdings hat die Sache einen Haken: Ein 1024 Byte großer Block am Anfang jeder Datei wird nicht mit RC4 verschlüsselt. Hier verwendet Dircrypt offenbar RSA, und der zugehörige private RSA-Schlüssel ist im Code von Dircrypt nicht enthalten. Diese Daten sind ohne Zahlung der geforderten Erpressungssumme also weiterhin nicht zu entschlüsseln.

Rekonstruierbar

In vielen Fällen lässt sich eine Datei aber auch ohne die ersten Bytes rekonstruieren. Bei einer Word-Datei gelang es den Check Point-Mitarbeitern, den Header so zu rekonstruieren, dass der Text in der Datei vollständig ausgelesen werden konnte.

Der Autor dieses Artikels würde die Entschlüsselung von Dircrypt gerne nachvollziehen. Wir können nichts versprechen, aber möglicherweise lässt sich ein einfaches Tool stricken, mit dem sich die Dateien entschlüsseln lassen. Der Autor freut sich daher über die Zusendung von entsprechenden Beispieldateien mit der Endung .enc.rtf.


eye home zur Startseite
__destruct() 02. Sep 2014

Das muss noch lange nicht heißen, dass es auf der Partition auch so abläuft.

hellmaster159 02. Sep 2014

Jup, das wäre mal was interessantes^^ So ein Tool zum Vergleich wäre nicht so schwer zu...



Anzeige

Stellenmarkt
  1. B. Braun Melsungen AG, Melsungen oder Tuttlingen
  2. Zurich Gruppe Deutschland, Bonn
  3. über Hays AG, Frankfurt am Main
  4. Vaillant GmbH, Remscheid (Home-Office möglich)


Anzeige
Top-Angebote
  1. (u. a. Interstellar, Mad Max, Codename UNCLE, American Sniper, San Andreas)
  2. (u. a. Fallout 4 USK 18 für 19,99€ inkl. Versand, The Expendables Trilogy Limited Collector's...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Neues iPhone

    US-Late-Night-Komiker witzeln über Apple

  2. Festnetz

    Weiterhin kein Internet ohne Telefonie bei der Telekom

  3. Zertifikate

    Mozilla will Startcom und Wosign das Vertrauen entziehen

  4. Kreditkartenmissbrauch

    Trumps Hotelkette mit Malware infiziert

  5. Open Location Platform

    Here lässt Autos miteinander sprechen

  6. Facebook

    100.000 Hassinhalte in einem Monat gelöscht

  7. TV-Kabelnetz

    Unitymedia arbeitet intensiv an verbesserten Ping-Zeiten

  8. DDoS

    Das Internet of Things gefährdet das freie Netz

  9. Hilfe von Google

    Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar

  10. Filmdatenbank

    Schauspieler lassen ihr Alter aus dem Internet entfernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App

Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

  1. Re: Gags auf Kosten von Apple?

    Moe479 | 04:32

  2. Re: Hallo Regulierungsbehörde?

    postb1 | 04:09

  3. Re: Ein Pranger für Geräte mit Sicherheitslücken

    Apfelbrot | 04:02

  4. Re: Und immer noch kein Wetter im Lockscreen...

    Grortak | 03:55

  5. Re: Wieso überhaupt löschen?

    quasides | 03:55


  1. 19:12

  2. 18:52

  3. 18:34

  4. 18:17

  5. 17:51

  6. 17:25

  7. 16:25

  8. 16:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel