Найден способ расшифровать файлы, пострадавшие от TorrentLocker

Исследователи финской компании Nixu Watson сообщили, что им удалось найти способ расшифровать файлы, заблокированные вымогательским ПО TorrentLocker. Для того чтобы восстановить утерянную информацию, пользователь должен иметь резервную копию хотя бы одного файла размером больше 2 Мб.

В своем блоге исследователи написали , что если у жертвы присутствует оригинальный файл размером более 2 Мб и его зашифрованная модификация, становится возможным расшифровать информацию. Таким образом все файлы, пострадавшие от TorrentLocker, могут быть разблокированы.

По словам специалистов, шифрование файлов проводилось путем соединения потока ключа с целевыми файлами с помощью операции XOR. Применив ту же операцию между зашифрованным и оригинальным файлом, становится возможным извлечь поток ключа и расшифровать информацию.

Исследователи проверили эту теорию на нескольких образцах подряд. Оказалось, что вредонос использует один и тот же поток ключа во всех файлах при инфицировании системы. Это считается грубейшей криптографической ошибкой, поскольку поток ключа нельзя использовать два и более раза.

TorrentLocker присоединял 264 байта мусорных данных к зашифрованным файлам, после чего блокировал первые два мегабайта информации. Специалисты Nixu Watson подозревают, что это использовалось для ускорения процесса шифрования.