Metodo di cifratura applicata dal virus CryptoLocker
Il Virus CryptoLocker viene distribuito sulla rete in diverse versioni, alcune che perfezionano una cifratura dei files completa come quella eseguita dal cryptowall 3, altre parziali come il key holder.
Il metodo di cifratura applicato sembra essere un rsa 2048, ovvero, il virus genera una chiave doppia di tipo PEM, codifica i files nel sistema con una delle due chiavi e spedisce ad un server
gestito dai pirati la chiave per la decifratura.
Analisi Effettuate sui files infetti
anche se viene affermato nelle pagine generate dal virus stesso che la chiave di cifratura è in possesso solo dagli hackers produttori del malware, in realtà i nostri studi hanno dimostrato che non è così. Vi aspettate forse che il ladro sia sincero ?
La chiave ed il metodo di codifica delle informazioni viene "cablato" direttamente nel file stesso.
Dai nostri studi eseguiti su xor e cypher attack sembra inoltre che la chiave applicata sia "unica" e il tipo di cifratura non sembra essere di tipo RSA puro, ma RSA solo nella generazione della chiave , che viene applicata come xor pattern con un sistema di scambio delle informazioni.
Cifratura applicata nella versione KEY HOLDER
Nella versione KEY HOLDER del virus il file viene cifrato solo parzialmente con un sistema di scambio di blocchi binary su un multiplo di base di 512 bytes.
Quindi i 512 bytes iniziali vengono inseriti nella coda del file cifrato e viene inserito un blocco ad offset 0x00 identico per tutti i files.
Una aggressione XOR basata su un algoritmo analisi di frequenze dimostra come tale virus applichi uno scambio su un pattern definito.
Cifratura applicata nella versione CryptoWall3
Nella versione analizzata di cryptowall3 invece la cifratura è molto diversa ed il file cifrato lievita del 100%, non ci sono passaggi in chiaro e il livello di scrambling è assoluto.
Stiamo comunque lavorando per trovare soluzioni e strategie di risultato.
Stay tuned !
Approfondimenti: