【集思廣益】間歇式加密露破綻 CyberArk免費破解工具有望還原重要檔案
遭受勒索軟件攻擊的受害者又有喜訊,網絡安全機構 CyberArk 研究員釋出免費破解工具,可以一次過應用於復原多種勒索軟件,不過前提是該軟件必須使用間歇加密(Intermittent encryption)鎖死檔案,以及必須滿足一定條件。
近年部分勒索軟件(ransomware)集團如 BlackCat、Play、ESXiArgs、Qilin/Agenda 及 BianLian,均採用間歇加密方式鎖死檔案。
網絡安全機構 Sentinel Labs 在去年一份研究報告便指出,有跡象顯示這種加密方式愈來愈受到勒索軟件集團歡迎,原因是它的執行速度快,可以在網絡安全工具發現可疑行為並執行自動回應前,將更多的設備及檔案加密,增加集團與受害企業的議價籌碼,當中又以 BlackCat 的技術最先進。
間歇加密法是一種新的加密策略,原理是勒索軟件在執行時,不會將檔案的所有內容加密,而是梅花間竹般加密數據,同樣可達到令檔案不能再被使用的目的。而 CyberArk 安全研究員就在這種速度至上的方式中找到破綻,最終研究出 White Phoenix 破解工具,不過研究員表示,這種破解方式無法百分百還原所有數據,只能盡力搶救仍可閱讀的資料。
據研究員解釋,他們首先以被 BlackCat 加密的 PDF 檔案進行測試,在過程中發現 PDF 內的大部分文字內容,都不受影響,只要將被鑑定為文字的數據併接在一起,再以 16 進制編碼逆向運算及與字碼表進行配對,一般都能順利還原內容,而圖像就更簡單,還原過程有如移除附加在圖片上的濾鏡一樣。
當取得一定成功率,研究員便嘗試破解其他檔案類型如 ZIP 檔案,這些被壓縮的檔案,包括企業日常使用的 Word、Excel、PowePoint 等文件。研究員說破解系統首先會以工具解壓縮檔案,抽取未被加密的 XML 檔案,再以破解 PDF 檔案的方式,自動還原可修復的部分,同樣獲得不錯的成效。
不過,有外國傳媒嘗試以 White Phoenix 破解數個被 BlackCat 加密的 PDF 及 DOCX 文件時,系統卻顯示無法還原。
CyberArk 就回應指破解工具有使用限制,例如當文件的大部分內容或關鍵組件都被加密,或在 Zip/Office 格式的文件中缺乏「PK\x03\x04」、PDF 文件缺乏「0 obj」和「endobj」字符串,便會導致工具無法正確解釋被加密的內容。
除此之外,研究員又指可能記者所使用的病毒樣本,並非以間歇方式加密,一樣可導致破解失敗。因此,CyberArk 已將破解方式製成免費工具,上載自家的 GitHub 倉庫,邀請其他網絡安全專家使用,希望能提升軟件的破解效率,又或從中獲得啟發,發展出其他更有效的破解方式,讓遭受這類攻擊的受害企業能逃出噩夢。
相關文章:【勒索軟件報告】香港亞太區排名升3位 每4小時增一受害者
