С 2020 года ИБ-специалисты помогали компаниям, пострадавшим от вымогательской малвари Zeppelin. Дело в том, что в шифровальщике удалось обнаружить ряд уязвимостей, которые были использованы для создания работающего дешифратора.

Издание Bleeping Computer рассказывает, что авторами этого дешифратора выступили специалисты консалтинговой ИБ-компании Unit221b. Еще в 2020 году они подготовили отчет об уязвимостях в шифровальщике, однако в итоге отложили его публикацию, чтобы злоумышленники не знали о возможности бесплатной расшифровки файлов.

Попытаться взломать Zeppelin, эксперты Unit221b решили, когда обнаружилось, что операторы малвари атакуют благотворительные и некоммерческие организации и даже приюты для бездомных.

Начав изучение вредоноса с отчета компании BlackBerry Cylance, опубликованного в 2019 году, исследователи выяснили, что Zeppelin использует эфемерный ключ RSA-512 для шифрования ключа AES, блокирующего доступ к зашифрованным данным. При этом ключ AES хранился в каждом зашифрованном файле, то есть взлом ключа RSA-512 позволял бы расшифровать данные и не платить выкуп злоумышленникам.

Как работает шифрование Zeppelin

Прорабатывая эту версию, эксперты обнаружили, что публичный ключ остается в реестре зараженной системы в течение примерно пять минут после завершения шифрования данных. Извлечь его удалось путем «вырезания» из файловой системы, дампов памяти Registration.exe и непосредственно из NTUSER.Dat в каталоге /User/[user_account]/.

Обфусцированный ключ

Полученные данные были обфусцированы с помощью RC4, и чтобы разобраться с этой проблемой, эксперты задействовали мощность 800 ЦП на 20 серверах (каждый имел по 40 ЦП на борту), которые в итоге взломали ключ за шесть часов. После этого осталось только извлечь ключ AES из пораженных файлов.

Основатель Unit221b Лэнс Джеймс (Lance James) рассказал журналистам, что теперь компания решила обнародовать подробности проделанной работы, так как количество жертв Zeppelin значительно сократилось в последние месяцы. Последней крупной кампанией с использованием этого шифровальщика, были атаки группы Vice Society, которая отказалась от Zeppelin несколько месяцев назад.

По словам Джеймса, инструмент для дешифрования данных должен работать даже для последних версий Zeppelin и будет доступен для всех жертв бесплатно, по запросу.

Специалисты компании Emsisoft, которые часто выпускают собственные бесплатные дешифровщики, сообщили журналистам, что необходимость большой вычислительной мощности для восстановления ключей, к сожалению, препятствует созданию бесплатного инструмента для компаний.

Источник: xakep