Алгоритм шифровальщиков HydraCrypt и UmbreCrypt взломан

Александр Панасенко 15 Февраля 2016 - 13:39

...

Алгоритм шифровальщиков HydraCrypt и UmbreCrypt взломан

Эксперт компании Emsisoft Фабиан Восар (Fabian Wosar) сумел взломать алгоритмы шифрования многих вымогательских вредоносов, чем изрядно разозлил немало хакеров. Тем не менее, Восар на достигнутом не останавливается: теперь он сумел одолеть семейство шифровальщиков HydraCrypt и UmbreCrypt и уже представил инструмент для расшифровки данных.

HydraCrypt и UmbreCrypt — новые вредоносы, впервые замеченные в 2016 году. В основе обоих шифровальщиков лежит код малвари CrypBoss, который в прошлом году был опубликован неизвестными на PasteBin. Так как исходный код был доступен, это существенно облегчило Восару задачу по взлому.

«К сожалению, единственные изменения, сделанные в коде HydraCrypt и UmbreCrypt, это 15 байт, которые добавляются в конец каждого файла, чтобы они уже не подлежали восстановлению», — рассказал эксперт в блоге.

Однако авторы новой малвари, взявшие за основу исходный код CrypBoss, очевидно не слишком старались — изменений в коде очень мало. Хорошая новость заключается в том, что чаще всего дополнительные 15 байт вообще бесполезны, и файлы все же можно восстановить. Восар выяснил, что дополнительные байты вредят далеко не всем форматам файлов, к тому же зачастую лишние 15 байт записываются в область буферных данных, то есть шифрование «лечится» простым открытием и сохранением файла, пишет xakep.ru.

Для тех случаев, когда простые методы не помогают, эксперт опубликовал инструмент для восстановления данных. Программа работает для HydraCrypt и для UmbreCrypt.

Для работы инструмента понадобится извлечь ключ шифрования. Для этого нужен любой зашифрованный файл и его незашифрованная копия (к примеру, из бекапа). Чтобы запустить процесс извлечения ключа, нужно перетянуть оба файла на .exe-файл дешифровщика.

Если ни одной «живой» копии зашифрованного файла нет, можно взять произвольный .png-файл из интернета и запустить процесс извлечения ключа с ним. Смотри иллюстрацию выше. По сути, начнется взлом шифрования, что может занять продолжительное время (сутки и даже дольше).

После получения ключа шифрования, останется только запустить инструмент Восара, ввести полученный ключ и указать директорию с данными, подлежащими восстановлению.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 16:01

Корпорации Security Vision

В платформе Security Vision улучшили визуализацию и администрирование

Security Vision начала год с нового релиза своей платформы. В обновлении разработчики сосредоточились на прикладных вещах: улучшили визуализацию данных, расширили журналирование и упростили работу с экспортом, импортом и административными настройками.

Аналитика и визуализация

В виджете «Карта» появилась тепловая карта. Она позволяет наглядно показывать интенсивность, частоту и количество событий — например, кибератак или инцидентов — в разрезе ИТ-объектов.

В виджете «Последовательность (Timeline)» добавили настраиваемые формы отображения параметров, используемых при выводе данных. Это упрощает анализ цепочек событий и работу с временными срезами.

Журналирование и контроль действий

Журнал аудита стал подробнее. Теперь в нём фиксируются события включения и отключения коннекторов, а также расширена информация о действиях, выполняемых с сервисом коннекторов.

Кроме того, в аудит добавлены записи об остановке и удалении запущенных рабочих процессов, а также о создании отчётов, что повышает прозрачность операций и упрощает разбор спорных ситуаций.

Экспорт, импорт и администрирование

При формировании пакета экспорта теперь можно выбрать все связанные с исходной сущностью объекты только для вставки, без замены при импорте. Это особенно удобно при передаче крупных и связанных наборов данных.

В системных настройках очистки истории появилась возможность удалять записи о выполненных операциях импорта и экспорта системных сущностей, что помогает поддерживать порядок в журнале событий.

Обновления интерфейса

В релизе доработан интерфейс формы настроек журнала аудита, переработан раздел «Профиль пользователя», а также обновлены представления для внутрипортальных уведомлений.

Работа с JSON

В блоке преобразований для работы с JSON унифицированы списки вариантов в поле «Название свойства» — теперь они соответствуют вариантам выборки в поле «Значение свойства». Это касается операций добавления, объединения, удаления и поиска по JPath и XPath.

Security Vision продолжает развивать платформу, делая акцент на удобстве повседневной работы, прозрачности процессов и более наглядной аналитике.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »