首页
社区
课程
招聘
[讨论]Prometheus勒索軟體受害者能自救了!臺資安業者奧義智慧成功破解並提供解密工具
发表于: 2021-8-12 23:48 15156

[讨论]Prometheus勒索軟體受害者能自救了!臺資安業者奧義智慧成功破解並提供解密工具

2021-8-12 23:48
15156

https://www.ithome.com.tw/news/146136
文章重點:
不過,Prometheus勒索軟體本身究竟有什麼樣的弱點?奧義智慧資深研究員陳仲寬表示,最主要是他們發現其加解密演算法的缺陷,對於每個檔案加密金鑰的生成,是與系統啟動後的時間相關,並且只使用較短的32位元的長度,因此,雖然駭客也使用RSA 4096加密技術,用於保護加密每個檔案的金鑰,但奧義智慧的對策,是找出繞過高強度加密防護的方式,直接將被加密的檔案解密恢復。

 

基本上,這類勒索軟體可能為了在短時間能獲得最大效果,因此對於每個檔案的加密,使用ChaCha20、Salsa20等演算法以達到快速加密的目的,但這次最主要得以破解的原因,還是因為上述所提及用時間來對每個檔案產生加密金鑰。

 

有人有興趣給大家解釋一下嗎?


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 918
活跃值: (1900)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
我怀疑可能直接用时间戳生成密钥的,从系统日志里面挖出来Prometheus启动事件也不难,所以也就是一个有限集的问题了
2021-8-13 11:03
0
雪    币: 10845
活跃值: (1054)
能力值: (RANK:190 )
在线值:
发帖
回帖
粉丝
3
勒索软件一般会对每个文件临时生成对称算法的密钥,然后加密该文件
然后用非对称(公钥)算法保护对称算法的密钥
上述文字表达的意思是:这个对称算法的密钥,本该随机生成,但勒索软件没有用合适的随机数发生器来产生该密钥,而是采用时间种子来初始化随机数发生器,从而导致该对称算法的密钥是可以被穷举的。所以就有机会直接获取该文件的解密密钥

值得指出的是:
1)这种穷举,应该需要对每个被勒索软件加密的文件逐个进行。但不排除并行多文件穷举的可能。而且,根据文件被加密的时间先后关系,有可能大幅缩小穷举的时间。
2)该弱点可能仅对此勒索软件存在,其它被谨慎设计的勒索软件 是完全可以回避这个弱点的
2021-8-14 23:42
0
游客
登录 | 注册 方可回帖
返回
//