[ 200,538 page views, 69,039 usuários - média últimos 90 dias ] - [ 5.780 assinantes na newsletter, taxa de abertura 27% ]

transformation-3746922_1920-1.jpg

Sai ferramenta para recuperar arquivos codificados pelo Hive

A agência de segurança da informação sul-coreana KISA publicou na semana passada uma ferramenta gratuita para recuperar arquivos criptografados pelo ransomware Hive. O decodificador é adequado para recuperar dados em arquivos afetados pelas versões de 1 até 4 do Hive. Além do descriptografador executável, a agência publicou um manual com instruções para seu uso.

A ferramenta foi desenvolvida a partir de um estudo iniciado em fevereiro deste ano por pesquisadores da Universidade Kookmin (Coreia do Sul): eles descobriram uma vulnerabilidade no algoritmo de criptografia usado pelo Hive, que permitia recuperar dados sem a chave de criptografia privada.

Veja isso
Ransomware Hive já atacou 28 empresas desde junho
Interpol remove coinhive de 20 mil roteadores na Ásia

O Hive ransomware usa um esquema de criptografia híbrido, mas com sua própria cifra simétrica para criptografar arquivos. Os pesquisadores conseguiram recuperar a chave mestra para gerar a chave de criptografia para arquivos sem ter a chave privada dos operadores do Hive, mas explorando uma vulnerabilidade na criptografia.

“Até onde sabemos, esta é a primeira tentativa bem-sucedida de descriptografar o Hive ransomware. Experimentalmente, demonstramos que mais de 95% das chaves de criptografia podem ser recuperadas usando nosso método proposto”, disseram os pesquisadores.

O Hive gera 10 MB de dados aleatórios e os usa como chave mestra. O ransomware extrai a chave mestra de um deslocamento de 1 MB e 1 KB de dados para cada arquivo que precisa ser criptografado, e o usa como um fluxo de chaves. O deslocamento é armazenado no nome criptografado de cada arquivo. Os pesquisadores foram capazes de determinar o deslocamento do keystream armazenado no nome do arquivo e descriptografar o arquivo.

As ferramentas estão disponíveis em “https://seed.kisa.or.kr/kisa/Board/133/detailView.do”