Abo
  • Services:
Anzeige
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein.
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein. (Bild: Check Point)

Dircrypt: Ransomware liefert Schlüssel mit

Eine Analyse der Ransomware Dircrypt hat ergeben, dass die verschlüsselten Dateien des Erpressungstrojaners offenbar den Schlüssel mitliefern. Allerdings nur für einen Teil der Daten.

Anzeige

Mitarbeiter der Firma Check Point haben sich die Ransomware Dircrypt angesehen: Die Verschlüsselung lässt sich trivial durchbrechen, denn der verwendete Schlüssel für einen Großteil der Daten wird gleich mitgeliefert. Allerdings bleibt ein Teil der Daten verloren.

Dircrypt arbeitet mit einer zurzeit weit verbreiteten Masche: Es ist Malware, die Daten verschlüsselt und anschließend dem Nutzer anbietet, sie gegen Bezahlung wieder zugänglich zu machen. Wenn Dircrypt auf einem System aktiv ist, erzeugt es verschlüsselte Daten mit der Endung .enc.rtf. Versucht ein Nutzer, eine solche Datei zu öffnen, erhält er ein Dokument, in dem er aufgefordert wird, ein bestimmtes Programm auf dem Rechner zu starten, welches ihn zur Zahlung einer Geldsumme über verschiedene Zahlungsdienstleister drängt.

Schlüssel ist angehängt

Die Fachleute von Check Point haben Dircrypt genau untersucht: Die Malware versuchte mit einigen Tricks, ihre Funktionsweise zu verschleiern, die Details erläutern sie in einem PDF-Dokument. Die Check-Point-Mitarbeiter stellten fest, dass offenbar eine Verschlüsselung mit dem Algorithmus RC4 zum Einsatz kam.

Auf einem System wurden alle Dateien mit demselben RC4-Schlüssel verschlüsselt. Schon dadurch ließen sich möglicherweise Daten rekonstruieren. Mit einer einzigen Datei, deren Inhalt bekannt ist, könnten so der Schlüsselstrom der Verschlüsselung rekonstruiert und damit andere Dateien entschlüsselt werden. Doch es stellte sich heraus, dass dies überhaupt nicht nötig ist. Denn die verschlüsselten Dateien liefern den Schlüssel gleich mit. Er wurde schlicht ans Ende der jeweiligen Datei geschrieben.

Allerdings hat die Sache einen Haken: Ein 1024 Byte großer Block am Anfang jeder Datei wird nicht mit RC4 verschlüsselt. Hier verwendet Dircrypt offenbar RSA, und der zugehörige private RSA-Schlüssel ist im Code von Dircrypt nicht enthalten. Diese Daten sind ohne Zahlung der geforderten Erpressungssumme also weiterhin nicht zu entschlüsseln.

Rekonstruierbar

In vielen Fällen lässt sich eine Datei aber auch ohne die ersten Bytes rekonstruieren. Bei einer Word-Datei gelang es den Check Point-Mitarbeitern, den Header so zu rekonstruieren, dass der Text in der Datei vollständig ausgelesen werden konnte.

Der Autor dieses Artikels würde die Entschlüsselung von Dircrypt gerne nachvollziehen. Wir können nichts versprechen, aber möglicherweise lässt sich ein einfaches Tool stricken, mit dem sich die Dateien entschlüsseln lassen. Der Autor freut sich daher über die Zusendung von entsprechenden Beispieldateien mit der Endung .enc.rtf.


eye home zur Startseite
__destruct() 02. Sep 2014

Das muss noch lange nicht heißen, dass es auf der Partition auch so abläuft.

hellmaster159 02. Sep 2014

Jup, das wäre mal was interessantes^^ So ein Tool zum Vergleich wäre nicht so schwer zu...



Anzeige

Stellenmarkt
  1. über Ratbacher GmbH, Raum Dresden
  2. Daimler AG, Ulm
  3. Robert Bosch GmbH, Abstatt
  4. BRUNATA Wärmemesser GmbH & Co. KG, München


Anzeige
Top-Angebote
  1. 39,99€
  2. 219,00€
  3. 15,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Denverton

    Intel plant Atom C3000 mit bis zu 16 Goldmont-CPU-Kernen

  2. Trotz Weiterbildung

    Arbeitslos als Fachinformatiker

  3. Klage gegen Steuernachzahlung

    Apple beruft sich auf europäische Grundrechte

  4. 3D Studio

    Nvidia spendiert Qt Hunderttausende Zeilen Code

  5. Horizon Zero Dawn im Test

    Abenteuer im Land der Maschinenmonster

  6. Qualcomm

    Snapdragon 210 bekommt Android-Things-Unterstützung

  7. New Radio

    Qualcomm lässt neues 5G-Air-Interface testen

  8. Snapdragon X20

    Qualcomm kündigt 1,2-GBit/s-LTE-Modem an

  9. Gesetzentwurf

    Streit über Handy-Kontrolle von Asylbewerbern

  10. Kryptomessenger

    Signal ab sofort ohne Play-Services nutzbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

  1. Re: Die USA machen es vor und...

    Hu5eL | 15:09

  2. Re: Also doch nicht 10 Jahre Berufserfahrung ...

    AngryFrog | 15:09

  3. Re: Alternative: Direkt ausweisen

    TrollNo1 | 15:08

  4. Re: Warum kann man es nicht gleich in den...

    Andre_af | 15:08

  5. Re: Der Zug ist abgefahren

    Brainfreeze | 15:08


  1. 15:00

  2. 14:45

  3. 14:13

  4. 14:12

  5. 14:00

  6. 13:30

  7. 13:30

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel