De maker van een nieuwe ransomware-variant die bestanden op computers versleutelt heeft een blunder met de encryptie gemaakt, waardoor versleutelde bestanden toch nog zijn te redden. Het gaat om de Bitcrypt-ransomware, die begin deze maand voor het eerst verscheen.

Zodra een computer besmet raakt verschijnt er een waarschuwing dat alle belangrijke bestanden zijn versleuteld. Vervolgens moet het slachtoffer betalen om weer toegang tot de bestanden te krijgen. De computer van een kennis van beveiligingsonderzoekers Fabien Perigaud en Cedric Pernet raakte met de ransomware geïnfecteerd. De malware had alle foto's van de kennis zijn kinderen versleuteld en er was geen back-up aanwezig.

Daarop besloten de onderzoekers de gebruikte ransomware te onderzoeken. Die vroeg 0,4 Bitcoin om de bestanden te ontsleutelen. Op het moment van de infectie was dit omgerekend 260 euro. Volgens de malware zou er 1024-bit RSA-encryptie zijn gebruikt om de bestanden te versleutelen. Verder onderzoek wees uit dat er geen 1024-bit sleutel was gebruikt. De encryptiesleutel bestond namelijk uit 128 cijfers, terwijl de malwaremaker waarschijnlijk een 128 bytes sleutel had willen genereren.

Uiteindelijk bleek er dan ook geen 1024-bit RSA-encryptie aanwezig te zijn, maar 426-bit RSA-encryptie. En deze encryptie kan binnen een acceptabele tijd worden gekraakt, wat de onderzoekers dan ook deden. Het kraken duurde op een quad-core computer 43 uur, terwijl de 24-cores servers er 14 uur over deden. Hoewel de maker bij de implementatie heeft geblunderd, stelt een lezer van Reddit dat hij het uiteindelijk wel kloppend zal krijgen, wat een risico voor eindgebruikers zal zijn.