АЛГОРИТМ ШИФРОВАЛЬЩИКОВ HYDRACRYPT И UMBRECRYPT ВЗЛОМАН И СОЗДАНА УТИЛИТА ДЛЯ ЛЕЧЕНИЯ

Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) сумел взломать алгоритмы шифрования многих вымогательских вредоносов, чем изрядно разозлил немало хакеров. Тем не менее, Восар на достигнутом не останавливается: теперь он сумел одолеть семейство шифровальщиков HydraCrypt и UmbreCrypt и уже представил инструмент для расшифровки данных.

HydraCrypt и UmbreCrypt — новые вредоносы, впервые замеченные в 2016 году. В основе обоих шифровальщиков лежит код малвари CrypBoss, который в прошлом году был опубликован неизвестными на PasteBin. Так как исходный код был доступен, это существенно облегчило Восару задачу по взлому.

«К сожалению, единственные изменения, сделанные в коде HydraCrypt и UmbreCrypt, это 15 байт, которые добавляются в конец каждого файла, чтобы они уже не подлежали восстановлению», — рассказал эксперт в блоге.

Однако авторы новой малвари, взявшие за основу исходный код CrypBoss, очевидно не слишком старались — изменений в коде очень мало. Хорошая новость заключается в том, что чаще всего дополнительные 15 байт вообще бесполезны, и файлы все же можно восстановить. Восар выяснил, что дополнительные байты вредят далеко не всем форматам файлов, к тому же зачастую лишние 15 байт записываются в область буферных данных, то есть шифрование «лечится» простым открытием и сохранением файла.

Для тех случаев, когда простые методы не помогают, эксперт опубликовал инструмент для восстановления данных. Программа работает для HydraCrypt и для UmbreCrypt.

Для работы инструмента понадобится извлечь ключ шифрования. Для этого нужен любой зашифрованный файл и его незашифрованная копия (к примеру, из бекапа). Чтобы запустить процесс извлечения ключа, нужно перетянуть оба файла на .exe-файл дешифровщика.

decrypter_howto_dragdrop

Если ни одной «живой» копии зашифрованного файла нет, можно взять произвольный .png-файл из интернета и запустить процесс извлечения ключа с ним. Смотри иллюстрацию выше. По сути, начнется взлом шифрования, что может занять продолжительное время (сутки и даже дольше).

После получения ключа шифрования, останется только запустить инструмент Восара, ввести полученный ключ и указать директорию с данными, подлежащими восстановлению.