Finder hul i 1.024-bit afpresservirus

Selvom det ikke er lykkedes at bryde den 1.024 bit kryptering, som virussen Gpcode benytter, har eksperterne i Kaspersky Lab alligevel fundet et hul, så filerne ofte kan reddes alligevel.

Det seneste eksempel på en særdeles ondskabsfuld type ransomware, Gpcode.ak, kan heldigvis kureres ved hjælp af gratis værktøjer.

Antivirusfirmaet Kaspersky Lab, der gennem flere år har analyseret og i mange tilfælde også knækket krypteringen i de såkaldte ransomware-virus, har fundet en smutvej forbi Gpcode.ak.

Gpcode.ak benytter en 1.024 RSA-kryptering til at kryptere alle filer på den pc, som bliver inficeret med virussen.

Tidligere varianter af Gpcode har enten benyttet svagere versioner af krypteringen eller har haft svagheder i implementeringen af algoritmerne, som har gjort det lettere at bryde krypteringen.

Det ser imidlertid ikke ud til at være tilfældet med Gpcode.ak.

Til gengæld er forbrydelsen ikke perfekt. Når Gpcode krypterer en fil, så laver den først en kopi, som krypteres, hvorefter den originale fil bliver slettet.

Som i de fleste andre tilfælde betyder det imidlertid blot, at pladsen bliver gjort fri i filallokeringstabellen på disken. Selve filen bliver først slettet, når pladsen bliver overskrevet af nye data.

Det gør det muligt at genskabe den originale ukrypterede fil ved hjælp af frit tilgængelige diskværktøjer, oplyser Kaspersky Lab. Dermed kan de krypterede data reddes, selvom krypteringen ikke kan knækkes.

Det forudsætter dog, at man foretager gendannelsen, før der er sket ændringer på disken. I visse tilfælde vil filnavne og information om filtype gå tabt, hvilket kan gøre gendannelsen vanskeligere uden specialværktøjer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mikkel Meyer Andersen

Nej, det er næppe den samme - men mønstret vil muligvis kunne findes ved at tage samme fil på forskellige maskiner - og derved udlede et mønster.

Når alt kommer til alt er det nok bare ikke besværet værd, når nu den anden "løsning" sandsynligvis vil virke i de fleste tilfælde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere