Abo
  • IT-Karriere:

Dircrypt: Ransomware liefert Schlüssel mit

Eine Analyse der Ransomware Dircrypt hat ergeben, dass die verschlüsselten Dateien des Erpressungstrojaners offenbar den Schlüssel mitliefern. Allerdings nur für einen Teil der Daten.

Artikel veröffentlicht am , Hanno Böck
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein.
Auch Malware-Autoren können schlechte Kryptographie-Entwickler sein. (Bild: Check Point)

Mitarbeiter der Firma Check Point haben sich die Ransomware Dircrypt angesehen: Die Verschlüsselung lässt sich trivial durchbrechen, denn der verwendete Schlüssel für einen Großteil der Daten wird gleich mitgeliefert. Allerdings bleibt ein Teil der Daten verloren.

Stellenmarkt
  1. Impactory GmbH, Darmstadt (Home-Office)
  2. SCHILLER Medizintechnik GmbH, Feldkirchen

Dircrypt arbeitet mit einer zurzeit weit verbreiteten Masche: Es ist Malware, die Daten verschlüsselt und anschließend dem Nutzer anbietet, sie gegen Bezahlung wieder zugänglich zu machen. Wenn Dircrypt auf einem System aktiv ist, erzeugt es verschlüsselte Daten mit der Endung .enc.rtf. Versucht ein Nutzer, eine solche Datei zu öffnen, erhält er ein Dokument, in dem er aufgefordert wird, ein bestimmtes Programm auf dem Rechner zu starten, welches ihn zur Zahlung einer Geldsumme über verschiedene Zahlungsdienstleister drängt.

Schlüssel ist angehängt

Die Fachleute von Check Point haben Dircrypt genau untersucht: Die Malware versuchte mit einigen Tricks, ihre Funktionsweise zu verschleiern, die Details erläutern sie in einem PDF-Dokument. Die Check-Point-Mitarbeiter stellten fest, dass offenbar eine Verschlüsselung mit dem Algorithmus RC4 zum Einsatz kam.

Auf einem System wurden alle Dateien mit demselben RC4-Schlüssel verschlüsselt. Schon dadurch ließen sich möglicherweise Daten rekonstruieren. Mit einer einzigen Datei, deren Inhalt bekannt ist, könnten so der Schlüsselstrom der Verschlüsselung rekonstruiert und damit andere Dateien entschlüsselt werden. Doch es stellte sich heraus, dass dies überhaupt nicht nötig ist. Denn die verschlüsselten Dateien liefern den Schlüssel gleich mit. Er wurde schlicht ans Ende der jeweiligen Datei geschrieben.

Allerdings hat die Sache einen Haken: Ein 1024 Byte großer Block am Anfang jeder Datei wird nicht mit RC4 verschlüsselt. Hier verwendet Dircrypt offenbar RSA, und der zugehörige private RSA-Schlüssel ist im Code von Dircrypt nicht enthalten. Diese Daten sind ohne Zahlung der geforderten Erpressungssumme also weiterhin nicht zu entschlüsseln.

Rekonstruierbar

In vielen Fällen lässt sich eine Datei aber auch ohne die ersten Bytes rekonstruieren. Bei einer Word-Datei gelang es den Check Point-Mitarbeitern, den Header so zu rekonstruieren, dass der Text in der Datei vollständig ausgelesen werden konnte.

Der Autor dieses Artikels würde die Entschlüsselung von Dircrypt gerne nachvollziehen. Wir können nichts versprechen, aber möglicherweise lässt sich ein einfaches Tool stricken, mit dem sich die Dateien entschlüsseln lassen. Der Autor freut sich daher über die Zusendung von entsprechenden Beispieldateien mit der Endung .enc.rtf.



Anzeige
Top-Angebote
  1. (u. a. Logitech G502 Proteus Spectrum für 39€ und Nokia 3.2 DS 16 GB für 84,99€ - Bestpreise!)
  2. 179€ (Bestpreis - nach 40€ Direktabzug)
  3. 35€ (Bestpreis!)
  4. 199€ + Versand

Alina-wang 07. Sep 2018

Ob die gelöschte Datei gesichert wird? Vielleicht können Sie diese Software verwenden, um...

hellmaster159 02. Sep 2014

Jup, das wäre mal was interessantes^^ So ein Tool zum Vergleich wäre nicht so schwer zu...


Folgen Sie uns
       


Nintendo Switch Lite - Test

Die Nintendo Switch Lite sieht aus wie eine Switch, ist aber kompakter, leichter und damit gerade unterwegs eine sinnvolle Wahl - trotz einiger fehlender Funktionen.

Nintendo Switch Lite - Test Video aufrufen
Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  2. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

    •  /