Segurança > Open Source

Pesquisadores criam solução contra primeiro ransomware para Linux

Bitdefender descobriu uma grande falha na maneira como Linux.Encoder.1 usa a criptografia

10 de Novembro de 2015 - 11h55

Administradores de servidores web que foram infectados com um ransomware lançado recentemente para Linux estão com sorte: agora existe uma ferramenta gratuita que pode descriptografar seus arquivos.

A ferramenta foi criada por pesquisadores de malware da empresa de segurança Bitdefender, que descobriu uma grande falha na maneira como o ransomware Linux.Encoder.1 usa a criptografia.

O programa torna os arquivos ilegíveis usando o Advanced Encryption Standard (AES), que utiliza a mesma chave tanto para criptografar quanto para descriptografar. Essa chave AES é então criptografar usando o RSA, um algoritmo assimétrico de criptografia.

O algoritmo RSA usa uma chave pública e privada, em vez de uma chave única. A chave pública é usada para criptografar dados e a chave privada é usada para descriptografá-los. No caso do Linux.Encoder.1, o par de chaves públicas RSA é gerado nos servidores dos criminosos e apenas a chave pública é enviada para os sistemas infectados e usada para criptografar a chave AES.

Caso seja implementado corretamente, esse processo tornaria impossível para qualquer descriptografar arquivos sem a chave RSA retida pelos criminosos. No entanto, os pesquisadores da Bitdefener descobriram que, quando gera as chaves AES, o programa malicioso usa uma fonte fraca de dados aleatórios – a hora e a data do momento da criptografia.

Esses dados são fáceis de serem determinados ao dar uma olhada quando os arquivos chave AES foram criados no disco. Dessa forma, os pesquisadores podem reverter o processo e recuperar as chaves AES sem precisar descriptografá-las, tornando as chaves pública e privada RSA sem sentido.

A ferramenta criada e lançada pelo Bitdefender é um script escrito em Python que determina os vetores de inicialização e chaves de criptografia AES ao analisar os arquivos criptografados pelo programa de ransomware. Ele então descriptografa os arquivos e conserta suas permissões no sistema.