- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 20м
- Сделки
- 251
- Нарушения
- 0 / 0
Специалисты Unit221b твердо решили взломать Zeppelin после того, как увидели, что операторы вымогательского ПО атакуют благотворительные организации, некоммерческие организации и даже приюты для бездомных. В обнаружении уязвимых мест шифровальщика компании помог анализ вредоноса от Blackberry Cylance.
Исследователи заметили, что Zeppelin использует эфемерный 512-битный ключ RSA для шифрования ключа AES, который не давал жертве получить доступ к зашифрованным данным. Ключ AES хранился в нижнем колонтитуле каждого зашифрованного файла, поэтому если кто-то мог взломать ключ RSA-512, то он получал возможность расшифровать файлы, не платя злоумышленникам.
Специалисты из Unit221b обнаружили, что открытый ключ оставался в реестре зараженной системы в течение примерно пяти минут после завершения шифрования данных. Ключ можно было извлечь тремя способами – вырезав данные реестра из необработанной файловой системы, дампа памяти registry.exe и непосредственно из файла NTUSER.Dat в каталоге "/User/[имя_пользователя]/". Полученные данные были обфусцированы с помощью RC4. Как только эксперты разобрались с этим слоем шифрования, им осталось преодолеть последнее препятствие – слой шифрования с использованием RSA-2048.
Чтобы преодолеть это препятствие, специалисты Unit221b использовали в общей сложности 800 CPU на 20 серверах, каждый из которых обрабатывал небольшие части ключа. Через шесть часов ключ был взломан, и аналитики смогли извлечь ключ AES из нижнего колонтитула файла.
Основатель Unit221b Лэнс Джеймс рассказал изданию BleepingComputer, что компания решила обнародовать все подробности из-за того, что в последние месяцы количество жертв вымогательского ПО Zeppelin значительно сократилось. Лэнс сказал, что инструмент для расшифровки должен работать даже с последними версиями Zeppelin и будет доступен для всех жертв, которые оставят запрос.
