RansomEXX wkracza do akcji, szyfrując pliki za pomocą AES-CBC

W najnowszym raporcie Profero — starszy specjalista ds. incydentów Brenton Morris stwierdził, że deszyfratorom RansomeXX, którzy zaatakowalio system Linux z Vmware ESXI, nie udało się zdeszyfrować różnych plików ofiar, pomimo iż zapłaciły za żądany okup. Profero odkrył, że RansomExx nie blokuje odpowiednio plików Linuksa, co może przyczynić się do uszkodzenia danych podczas szyfrowania.

Po przeprowadzeniu procesu inżynierii wstecznej programu szyfrującego RansomExx Linux Profero odkrył, że być może przyczyną problemu było nieodpowiednie szyfrowanie plików systemu Linux. Zaszyfrowany plik zawierałby później zaszyfrowane dane i niezaszyfrowane dane, gdyby oprogramowanie ransomware miało jednocześnie zaszyfrować plik Linuksa”.

RansomEXX szyfruje dane na dysku, a następnie żąda okupu za zdobycie klucza do odszyfrowania. Szyfrowanie odbywa się za pomocą pakietu Open Source mbedtls, gdy wirus jest aktywowany, tworzy 256-bitowy klucz i koduje wszystkie istniejące pliki w trybie ECB przy użyciu szyfrowania blokowego AES. Następnie po każdej sekundzie zostaje wygenerowany nowy klucz AES, czyli zaszyfrowane zostaną różne pliki z różnymi kluczami AES.

Każdy klucz AES jest zaszyfrowany i połączony z każdym zaszyfrowanym plikiem za pomocą publicznego klucza RSA-4096 zawartego w kodzie złośliwego oprogramowania, ransomware może kupić klucz prywatny od ofiary w celu odszyfrowania.

„Niektóre odmiany oprogramowania ransomware dla systemu Linux będą próbowały uzyskać blokadę plików za pomocą fcntl, podczas gdy inne często nie będą próbować blokować plików do zapisu, a zamiast tego świadomie decydują się na ryzyko uszkodzenia plików lub robią to nieświadomie z powodu braku doświadczenia w programowaniu w systemie Linux ” – powiedział Morris. „Wersja RansomEXX dla systemu Linux w ogóle nie próbowała zablokować pliku”.

Jeśli RansomExx zaszyfruje dokument, na końcu każdego pliku zostanie dodany zaszyfrowany klucz odszyfrowywania RSA. Osoba, która zbiera okup, zapewnia deszyfrator, który może odszyfrować zaszyfrowany klucz deszyfrujący każdego pliku, a następnie użyć go do odszyfrowania zawartości pliku.

Jednakże, ponieważ niezaszyfrowany materiał jest dołączony do pliku na końcu tych problematycznych zaszyfrowanych plików, dekrypter nie mógł poprawnie odczytać zaszyfrowanego klucza i plik nie zostanie odszyfrowany.

„Ponieważ osoby atakujące zapewniają płacącym ofiarom narzędzie do odszyfrowywania, które muszą je uruchomić, aby odszyfrować swoje pliki, istnieje ryzyko, że narzędzie to może być złośliwe. Wymaga to od ofiar użycia narzędzia do odszyfrowania dostarczonego przez Hackerów, w dodadtku należy upewnić się, że nie ma ukrytego kodu ani złośliwych funkcji, jest to inwestycja czasochłonna, która może być problematyczna dla niektórych organizacji podczas incydentu z oprogramowaniem ransomware” — wyjaśnia na blogu Profero.

Profero opublikował otwarty dekrypter RansomEXX, który może odszyfrować zaszyfrowane pliki z problemem blokady pliku, aby pomóc swoim klientom i całej branży bezpieczeństwa cybernetycznego.