Abo
  • Services:
Anzeige
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein.
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein. (Bild: Check Point)

Dircrypt: Ransomware liefert Schlüssel mit

Eine Analyse der Ransomware Dircrypt hat ergeben, dass die verschlüsselten Dateien des Erpressungstrojaners offenbar den Schlüssel mitliefern. Allerdings nur für einen Teil der Daten.

Anzeige

Mitarbeiter der Firma Check Point haben sich die Ransomware Dircrypt angesehen: Die Verschlüsselung lässt sich trivial durchbrechen, denn der verwendete Schlüssel für einen Großteil der Daten wird gleich mitgeliefert. Allerdings bleibt ein Teil der Daten verloren.

Dircrypt arbeitet mit einer zurzeit weit verbreiteten Masche: Es ist Malware, die Daten verschlüsselt und anschließend dem Nutzer anbietet, sie gegen Bezahlung wieder zugänglich zu machen. Wenn Dircrypt auf einem System aktiv ist, erzeugt es verschlüsselte Daten mit der Endung .enc.rtf. Versucht ein Nutzer, eine solche Datei zu öffnen, erhält er ein Dokument, in dem er aufgefordert wird, ein bestimmtes Programm auf dem Rechner zu starten, welches ihn zur Zahlung einer Geldsumme über verschiedene Zahlungsdienstleister drängt.

Schlüssel ist angehängt

Die Fachleute von Check Point haben Dircrypt genau untersucht: Die Malware versuchte mit einigen Tricks, ihre Funktionsweise zu verschleiern, die Details erläutern sie in einem PDF-Dokument. Die Check-Point-Mitarbeiter stellten fest, dass offenbar eine Verschlüsselung mit dem Algorithmus RC4 zum Einsatz kam.

Auf einem System wurden alle Dateien mit demselben RC4-Schlüssel verschlüsselt. Schon dadurch ließen sich möglicherweise Daten rekonstruieren. Mit einer einzigen Datei, deren Inhalt bekannt ist, könnten so der Schlüsselstrom der Verschlüsselung rekonstruiert und damit andere Dateien entschlüsselt werden. Doch es stellte sich heraus, dass dies überhaupt nicht nötig ist. Denn die verschlüsselten Dateien liefern den Schlüssel gleich mit. Er wurde schlicht ans Ende der jeweiligen Datei geschrieben.

Allerdings hat die Sache einen Haken: Ein 1024 Byte großer Block am Anfang jeder Datei wird nicht mit RC4 verschlüsselt. Hier verwendet Dircrypt offenbar RSA, und der zugehörige private RSA-Schlüssel ist im Code von Dircrypt nicht enthalten. Diese Daten sind ohne Zahlung der geforderten Erpressungssumme also weiterhin nicht zu entschlüsseln.

Rekonstruierbar

In vielen Fällen lässt sich eine Datei aber auch ohne die ersten Bytes rekonstruieren. Bei einer Word-Datei gelang es den Check Point-Mitarbeitern, den Header so zu rekonstruieren, dass der Text in der Datei vollständig ausgelesen werden konnte.

Der Autor dieses Artikels würde die Entschlüsselung von Dircrypt gerne nachvollziehen. Wir können nichts versprechen, aber möglicherweise lässt sich ein einfaches Tool stricken, mit dem sich die Dateien entschlüsseln lassen. Der Autor freut sich daher über die Zusendung von entsprechenden Beispieldateien mit der Endung .enc.rtf.


eye home zur Startseite
__destruct() 02. Sep 2014

Das muss noch lange nicht heißen, dass es auf der Partition auch so abläuft.

hellmaster159 02. Sep 2014

Jup, das wäre mal was interessantes^^ So ein Tool zum Vergleich wäre nicht so schwer zu...



Anzeige

Stellenmarkt
  1. Securiton GmbH Alarm- und Sicherheitssysteme, Achern
  2. operational services GmbH & Co. KG, Stuttgart
  3. über Ratbacher GmbH, Hamburg
  4. DATAGROUP Köln GmbH, Köln


Anzeige
Top-Angebote
  1. 319,00€ inkl. Versand
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Zero G

    Schwerelos im Quadrocopter

  2. Streaming

    Youtube hat 1 Milliarde US-Dollar an Musikindustrie gezahlt

  3. US-Wahl 2016

    Nein, Big Data erklärt Donald Trumps Wahlsieg nicht

  4. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  5. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  6. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff

  7. Bugs in Encase

    Mit dem Forensik-Tool die Polizei hacken

  8. Autonomes Fahren

    Verbraucherschützer fordern "Algorithmen-TÜV"

  9. The Last Guardian im Test

    Gassi gehen mit einem computergesteuerten Riesenbiest

  10. E-Sport

    Cheats und Bots in Südkorea offenbar gesetzlich verboten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Re: das s7 edge, hat einen grösseren akku....

    Carlo Escobar | 20:58

  2. Re: In vielen Ländern Europas ist der...

    robinx999 | 20:50

  3. Re: Und die Künstler...

    Sharra | 20:47

  4. Re: Während die Nachbarländer dann schon...

    Faksimile | 20:38

  5. Re: Externes Gerät? Token?

    eXeler0n | 20:36


  1. 18:49

  2. 17:38

  3. 17:20

  4. 16:42

  5. 15:05

  6. 14:54

  7. 14:50

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel