Выпущен бесплатный декриптор для файлов, зашифрованных вымогателем Hive

Выпущен бесплатный декриптор для файлов, зашифрованных вымогателем Hive

Декриптор подходит для расшифровки данных, пострадавших от версий Hive от 1 до 4.

image

Хорошие новости для жертв вымогательского ПО Hive – южнокорейское ИБ-агентство KISA выпустило бесплатный инструмент для восстановления зашифрованных файлов. Декриптор подходит для расшифровки данных, пострадавших от версий Hive от 1 до 4.

Агентство выпустило исполняемый файл декриптора и инструкцию по его использованию.

В феврале нынешнего года исследователи университета Кукмин (Южная Корея) обнаружили уязвимость в используемом Hive алгоритме шифрования, позволившую им восстановить данные без закрытого ключа шифрования.

Вымогательское ПО Hive использует гибридную схему шифрования, но с собственным симметричным шифром для шифрования файлов. Исследователям удалось восстановить мастер-ключ для генерирования ключа шифрования для файлов, не имея при этом закрытого ключа операторов Hive, а используя уязвимость в шифровании.

«Насколько нам известно, это первая успешная попытка расшифровать вымогательское ПО Hive. Экспериментальным путем мы продемонстрировали, что более 95% ключей шифрования можно восстановить с помощью предложенного нами метода», – сообщили исследователи.

Hive генерирует 10 МБ произвольных данных и использует их в качестве мастер-ключа. Вымогатель извлекается из определенного смещения главного ключа 1 МБ и 1 КБ данных для каждого файла, который необходимо зашифровать, и использует его в качестве потока ключей. Смещение хранится в зашифрованном имени каждого файла. Исследователи смогли определить смещение ключевого потока, хранящегося в имени файла, и расшифровать файл.

Исследование специалистов университета Кукмин, вероятно, легло в основу работы KISA по созданию декриптора.


Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!