Abo
  • Services:
Anzeige
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein.
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein. (Bild: Check Point)

Dircrypt: Ransomware liefert Schlüssel mit

Eine Analyse der Ransomware Dircrypt hat ergeben, dass die verschlüsselten Dateien des Erpressungstrojaners offenbar den Schlüssel mitliefern. Allerdings nur für einen Teil der Daten.

Anzeige

Mitarbeiter der Firma Check Point haben sich die Ransomware Dircrypt angesehen: Die Verschlüsselung lässt sich trivial durchbrechen, denn der verwendete Schlüssel für einen Großteil der Daten wird gleich mitgeliefert. Allerdings bleibt ein Teil der Daten verloren.

Dircrypt arbeitet mit einer zurzeit weit verbreiteten Masche: Es ist Malware, die Daten verschlüsselt und anschließend dem Nutzer anbietet, sie gegen Bezahlung wieder zugänglich zu machen. Wenn Dircrypt auf einem System aktiv ist, erzeugt es verschlüsselte Daten mit der Endung .enc.rtf. Versucht ein Nutzer, eine solche Datei zu öffnen, erhält er ein Dokument, in dem er aufgefordert wird, ein bestimmtes Programm auf dem Rechner zu starten, welches ihn zur Zahlung einer Geldsumme über verschiedene Zahlungsdienstleister drängt.

Schlüssel ist angehängt

Die Fachleute von Check Point haben Dircrypt genau untersucht: Die Malware versuchte mit einigen Tricks, ihre Funktionsweise zu verschleiern, die Details erläutern sie in einem PDF-Dokument. Die Check-Point-Mitarbeiter stellten fest, dass offenbar eine Verschlüsselung mit dem Algorithmus RC4 zum Einsatz kam.

Auf einem System wurden alle Dateien mit demselben RC4-Schlüssel verschlüsselt. Schon dadurch ließen sich möglicherweise Daten rekonstruieren. Mit einer einzigen Datei, deren Inhalt bekannt ist, könnten so der Schlüsselstrom der Verschlüsselung rekonstruiert und damit andere Dateien entschlüsselt werden. Doch es stellte sich heraus, dass dies überhaupt nicht nötig ist. Denn die verschlüsselten Dateien liefern den Schlüssel gleich mit. Er wurde schlicht ans Ende der jeweiligen Datei geschrieben.

Allerdings hat die Sache einen Haken: Ein 1024 Byte großer Block am Anfang jeder Datei wird nicht mit RC4 verschlüsselt. Hier verwendet Dircrypt offenbar RSA, und der zugehörige private RSA-Schlüssel ist im Code von Dircrypt nicht enthalten. Diese Daten sind ohne Zahlung der geforderten Erpressungssumme also weiterhin nicht zu entschlüsseln.

Rekonstruierbar

In vielen Fällen lässt sich eine Datei aber auch ohne die ersten Bytes rekonstruieren. Bei einer Word-Datei gelang es den Check Point-Mitarbeitern, den Header so zu rekonstruieren, dass der Text in der Datei vollständig ausgelesen werden konnte.

Der Autor dieses Artikels würde die Entschlüsselung von Dircrypt gerne nachvollziehen. Wir können nichts versprechen, aber möglicherweise lässt sich ein einfaches Tool stricken, mit dem sich die Dateien entschlüsseln lassen. Der Autor freut sich daher über die Zusendung von entsprechenden Beispieldateien mit der Endung .enc.rtf.


eye home zur Startseite
__destruct() 02. Sep 2014

Das muss noch lange nicht heißen, dass es auf der Partition auch so abläuft.

hellmaster159 02. Sep 2014

Jup, das wäre mal was interessantes^^ So ein Tool zum Vergleich wäre nicht so schwer zu...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. MediaMarktSaturn IT Solutions, Ingolstadt
  3. über JobLeads GmbH, Villingen-Schwenningen
  4. BG-Phoenics GmbH, München


Anzeige
Top-Angebote
  1. 26,99€ (Aktionsrabatt nur gültig bei Bezahlung mit paysafecard)
  2. ab 34,95€ im PCGH-Preisvergleich
  3. ab 17,97€

Folgen Sie uns
       


  1. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  2. Elektroauto

    VW testet E-Trucks

  3. Telekom

    IP-Umstellung wird auch bei Geschäftskunden durchgesetzt

  4. Linux-Hardening

    Grsecurity nicht mehr für alle verfügbar

  5. Spracheingabe

    Nuki-Smart-Lock lässt sich mit Alexa öffnen

  6. Mediendienste-Richtlinie

    Youtuber sollen keine Schleichwerbung mehr machen dürfen

  7. Hannover Messe und Cebit

    Die Deutsche Bahn ärgert Messebesucher

  8. LTE

    Australien setzt auf Fixed Wireless mit 1 GBit/s

  9. Ultrastar He12

    HGST liefert seine 12-Terabyte-Festplatte aus

  10. Windows 10 Mobile

    Creators Update für Smartphones wird verteilt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro
  2. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  3. Sportback Concept Audis zweiter E-tron ist ein Sportwagen

Quantencomputer: Alleskönner mit Grenzen
Quantencomputer
Alleskönner mit Grenzen

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

  1. Re: Falsch verstanden

    nille02 | 23:31

  2. Wie immer aus der Perspektive der USA

    Apfelbrot | 23:27

  3. Re: frei vs. open source

    unbekannt. | 23:24

  4. Re: Völliger Bullshit

    plutoniumsulfat | 23:23

  5. Wie genau sollte man sein? Wo hat die DB AG...

    consultman | 23:22


  1. 20:59

  2. 18:20

  3. 18:20

  4. 18:05

  5. 17:46

  6. 17:20

  7. 17:01

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel