Onderzoekers zijn erin geslaagd om de DirCrypt-ransomware te kraken, zodat slachtoffers een groot deel van hun versleutelde bestanden kunnen terugkrijgen zonder het gevraagde losgeld te betalen. DirCrypt is een vervelende vorm van ransomware die alle bestanden op de computer voor losgeld versleutelt.

De ransomware blijft daarnaast actief op de computer, zodat ook nieuw aangemaakte bestanden worden versleuteld. Dit voorkomt dat mensen de computer normaal kunnen gebruiken, zo stellen onderzoekers van beveiligingsbedrijf CheckPoint. De onderzoekers onderzochten DirCrypt en ontdekten verschillende kwetsbaarheden in de manier waarop de ransomware de encryptie toepast.

Encryptie

Voor de encryptie gebruikt DirCrypt onder andere RC4-encryptie. Tot grote verbazing van de onderzoekers bleek de malwaremaker de symmetrische RC4-encryptiesleutel aan het einde van elk versleuteld bestand te hebben toegevoegd, waar het eenvoudig is te vinden en gebruikt kan worden om het versleutelde bestand te ontsleutelen. De malware gebruikt echter niet alleen RC4, maar ook RSA-encryptie. De sleutel hiervan is nergens te vinden. De RSA-encryptie wordt echter alleen voor de eerste 1024 bytes gebruikt. Tot op zekere hoogte is het mogelijk om dit deel van een bestand, afhankelijk van het formaat, te herstellen.

De onderzoekers maakten vervolgens een Python-script dat de RC4-sleutel uit een versleuteld bestand haalt, de inhoud ontsleutelt (op de eerste 1024 bytes na) en vervolgens het grootste deel van de Word header repareert en de tekst in ASCII dumpt. "We wilden laten zien dat de aanvallen van dit soort malware te herstellen zijn. De ene keer meer dan de andere keer, maar er is bijna altijd een zwakte die verdedigers in hun voordeel kunnen gebruiken", zo concluderen de onderzoekers.