martes, 10 de noviembre de 2015

Linux.Encoder.1 y Su Fallo de Cifrado.

Si ayer hablamos que Linux.Encoder.1era el primer Ransomware en Linux, les ha faltado tiempo a la gente de Bitdefender a desmembrar el Malware y encontrar un fallo en la forma en la que el bicho cifra la información. 


Si os fijáis en la foto de le entrada de ayer se ve claramente que anuncia cifrar los archivos con RSA-2048. [Según comenta Bitdefender], el bicho hace un primer cifrado con AES-128 con una clave que se genera en local en el PC de la víctima. Esta clave AES es también cifrada con RSA para asegurar que no pueda ser resuelta.


La idea es muy buena pero cometieron un error.:
"En lugar de generar claves aleatorias seguras y vectores de inicialización, la muestra derivaría dos piezas de información de la función rand () de libc generado con la fecha y hora actual del sistema en el momento de cifrado. Esta información puede ser fácilmente recuperada examinado marca de tiempo del archivo ", dijo Bitdefender. "Este es un gran defecto de diseño que permite la recuperación de la clave AES sin tener que descifrar con la clave pública RSA vendido por el operador (s) del troyano".
Como no Bitdefender tampoco ha perdido la oportunidad de sacar una herramienta para descifrar y lista para que todo el mundo pueda usarla:

Por otro lado también hablamos de que este malware afectaba a servidores Linux cuyo objetivo era alojar paginas web. Lo malo es que las paginas web son fácilmente indexables para los buscadores y al verse afectadas por este malware pueden buscarse por Google con un poco de la mágia del Browser Hacking., 
  • inurl:README_FOR_DECRYPT.txt "Without this key"
POC: 

No hay comentarios:

Publicar un comentario