Lad være med at betale: Ransomware-variant taber dekrypteringsnøglen

En variant af Power Worm-ransomwaren indeholder en fejl, så det ikke er muligt at låse krypterede filer op igen.

Når man har betalt de it-kriminelle, der har krypteret ens computer, sker det, at de faktisk udleverer nøglen, der kan dekryptere filer, der er ramt af ransomware - ellers var der jo ingen motivation til at betale i første omgang. Men sådan er det ikke med en ny variant af ransomwaren Power Worm. Det fortæller det tekniske support-site BleepingComputer.

En fejl bevirker nemlig, at det slet ikke er muligt at dekryptere filerne igen. Og så nytter det under ingen omstændigheder at betale.

Læs også: Designfejl i ransomware afslørede bagmænds indtjening: 189 millioner kroner på fire måneder

Fejlen opstår ved den måde, hvorpå AES-nøglen, der bliver brugt til krypteringen, bliver initialiseret. Bagmanden eller -mændene har øjensynligt tænkt sig at kryptere alle ofres computere med samme nøgle. Men AES-nøglen bliver ikke padded tilstrækkeligt under konverteringen til en Base64-streng. Og det bevirker, at dekodningen af Base64-strengen fejler, og AES-nøglen ender med at få værdien 'null'.

Læs også: »En hacker sagde engang til mig: 'Du finder mig aldrig.' Men det gjorde jeg« (Podcast)

Og da AES-algoritmen bliver forsøgt initialiseret med værdien null, så genererer algoritmen i stedet en tilfældig nøgle til hvert offer. Som altså hverken offer eller bagmand kender. Og som heller ikke bliver lagret nogen steder. Og dermed kan de krypterede data ikke længere dekrypteres.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere