Алгоритм шифровальщиков HydraCrypt и UmbreCrypt взломан

Александр Панасенко 15 Февраля 2016 - 13:39

...

Алгоритм шифровальщиков HydraCrypt и UmbreCrypt взломан

Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) сумел взломать алгоритмы шифрования многих вымогательских вредоносов, чем изрядно разозлил немало хакеров. Тем не менее, Восар на достигнутом не останавливается: теперь он сумел одолеть семейство шифровальщиков HydraCrypt и UmbreCrypt и уже представил инструмент для расшифровки данных.

HydraCrypt и UmbreCrypt — новые вредоносы, впервые замеченные в 2016 году. В основе обоих шифровальщиков лежит код малвари CrypBoss, который в прошлом году был опубликован неизвестными на PasteBin. Так как исходный код был доступен, это существенно облегчило Восару задачу по взлому.

«К сожалению, единственные изменения, сделанные в коде HydraCrypt и UmbreCrypt, это 15 байт, которые добавляются в конец каждого файла, чтобы они уже не подлежали восстановлению», — рассказал эксперт в блоге.

Однако авторы новой малвари, взявшие за основу исходный код CrypBoss, очевидно не слишком старались — изменений в коде очень мало. Хорошая новость заключается в том, что чаще всего дополнительные 15 байт вообще бесполезны, и файлы все же можно восстановить. Восар выяснил, что дополнительные байты вредят далеко не всем форматам файлов, к тому же зачастую лишние 15 байт записываются в область буферных данных, то есть шифрование «лечится» простым открытием и сохранением файла, пишет xakep.ru.

Для тех случаев, когда простые методы не помогают, эксперт опубликовал инструмент для восстановления данных. Программа работает для HydraCrypt и для UmbreCrypt.

Для работы инструмента понадобится извлечь ключ шифрования. Для этого нужен любой зашифрованный файл и его незашифрованная копия (к примеру, из бекапа). Чтобы запустить процесс извлечения ключа, нужно перетянуть оба файла на .exe-файл дешифровщика.

Если ни одной «живой» копии зашифрованного файла нет, можно взять произвольный .png-файл из интернета и запустить процесс извлечения ключа с ним. Смотри иллюстрацию выше. По сути, начнется взлом шифрования, что может занять продолжительное время (сутки и даже дольше).

После получения ключа шифрования, останется только запустить инструмент Восара, ввести полученный ключ и указать директорию с данными, подлежащими восстановлению.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 09:13

Уязвимости программ Ошибки конфигурации программ Домашние пользователи Корпорации

Исследователь нашёл опасную дыру в автообновлении драйверов AMD

На дворе 2026 год: человечество обсуждает будущее с ИИ, роботы становятся всё более человекоподобными а функция автообновления драйверов AMD для Windows по-прежнему скачивает апдейты по небезопасному соединению. На это обратил внимание начинающий ИБ-специалист из Новой Зеландии, опубликовавший свой разбор в блоге.

Правда, вскоре пост был «временно удалён по запросу», что только подогрело интерес к истории.

По словам Пола, когда AMD Auto-Updater находит подходящее обновление, он загружает его по обычному HTTP. А значит, любой злоумышленник, находящийся в той же сети (или где-то по пути трафика), может подменить сайт AMD или изменить файл «на лету», встроив в драйвер шпионский софт или шифровальщик, который будет работать с правами администратора.

Исследователь утверждает, что сразу сообщил о проблеме AMD, но получил довольно формальный ответ: атаки типа «Человек посередине» якобы находятся «вне области ответственности». Судя по формулировкам, уязвимость, скорее всего, была отправлена через программу баг-баунти компании, соответственно, ни патча, ни награды Пол, вероятно, не увидит.

Формально представитель AMD может быть прав, но на практике планка для атаки выглядит пугающе низкой. Достаточно, например, подменить домен ati.com или перехватить трафик в публичной сети Wi-Fi (функция автообновления доверяет источнику безо всяких проверок и валидации). А учитывая, сколько устройств по всему миру используют видеокарты AMD, поверхность атаки измеряется миллионами компьютеров.

Ситуацию усугубляет и то, что непонятно, как давно обновления доставляются таким образом.

Обнаружил всё это Пол случайно — его насторожило внезапное появление консольного окна на новом игровом компьютере. Дальше, по его словам, он решил декомпилировал софт. В процессе выяснилось, что список обновлений действительно загружается по HTTPS, но сами драйверы скачиваются по HTTP, через странно названный URL с опечаткой — Devlpment.

Если описанное подтвердится, остаётся надеяться, что AMD всё-таки признает проблему, срочно переведёт загрузку драйверов на HTTPS и выплатит Полу заслуженное вознаграждение. Потому что в 2026 году такие ошибки выглядят уже не просто неловко, а откровенно опасно.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »