Hive Ransomware加密算法中的缺陷允许检索加密文件

最后更新：2022.02.24

研究人员在允许它们解密数据的蜂巢勒索软件中使用的加密算法中发现了一种缺陷。

研究人员在蜂巢勒索软件使用的加密算法中发现了一个缺陷，允许它们在不知道私有的情况下解密数据帮派使用的键加密文件。

自2021年6月以来，蜂巢赎金软件操作已激活，它提供了勒索软件服务蜂巢，并采用双重敲诈勒索模型，以发布从受害者上盗窃的数据（蜂窝织）。2021年4月，联邦调查局（FBI）在蜂巢赎金软件攻击中发布了一个闪存警报，其中包括与帮派运营相关的技术细节和妥协指标。根据BlockChain Analytics Clock分析发布的一份报告，蜂巢赎金软件是2021年收入的十大赎金仓库之一。该集团使用了各种attacK方法，包括MALSPAM广告系列，易受攻击的RDP服务器和受损的VPN凭据。

Hive Ransomware使用混合加密方案，但使用自己的对称密码来加密文件。我们能够通过使用通过分析确定的加密漏洞，恢复没有攻击者的私钥的文件加密密钥的主密钥。由于我们的实验结果，使用基于我们的机制，使用恢复的主密钥成功解密加密文件。阅读来自Kookmin University的研究人员发表的论文（

韩国

）。据我们所知，这是第一次成功地解密蜂巢赎金软件的尝试。我们通过实验证明，可以使用我们建议的方法恢复超过95％的用于加密的键。学术界的技术能够恢复超过95％的人用于加密过程的键这在以下图像中表示：

专家详细说明了蜂巢勒索软件使用的过程，用于生成和存储受害者文件的主密钥。RansomWare生成10MIB的随机数据，并将其用作主键。从主键1MIB的特定偏移和每个文件的数据的特定偏移中提取的恶意软件，以便被加密，并使用作为键盘。偏移量存储在每个文件的加密文件名中。这意味着专家能够确定存储在文件名中的keyStream的偏移并解密文件。

Hive RansomWare通过向数据xorate与每个文件不同的随机密钥流xorate xaive数据来加密文件。我们发现这个随机键人流动是充分猜测的。继续纸张。Hive RansomWare生成对每个文件随机显示的数据加密密钥流（eks），并通过xoring eks与文件加密文件。但是，使用从其中提取的两个keystream创建eksE先前在加密过程中创建了主密钥，只有文件的一部分，而不是整个区域都是加密的。

测试结果证明了该方法的效率，主键恢复了92％成功解密了大约72％的文件，而主密钥已恢复96％成功解密的文件大约82％，并且主键已恢复98％成功解密大约98％的文件。

- END -