محققان ادعا می‌کنند که موفق شده‌اند کد رمزگذاری باج‌افزار Hive را بشکنند. آن‌ها یک آسیب‌پذیری رمزنگاری را در طول تجزیه و تحلیل‌شان شناسایی کردند که منجر به کشف کلید اصلی مورد استفاده برای باز کردن قفل فایل‌ها شد.

جزییات کشف
گروهی از دانشگاهیان کره جنوبی یک آسیب‌پذیری رمزنگاری را در مکانیزمی که در آن کلید‌های اصلی توسط باج‌افزار Hive تولید و ذخیره می‌شوند، شناسایی کردند. برای درک آسیب‌پذیری‌ها، درک روش رمزگذاری مهم است.

مکانیسم رمزگذاری باج‌افزار Hive
باج‌افزار تنها بخش‌های منتخبی از فایل را به‌جای تمام محتوا با استفاده از دو جریان کلیدی مشتق‌شده از کلید اصلی رمزگذاری می‌کند.

برای هر رمزگذاری فایل، دو جریان کلیدی از کد اصلی لازم است.

این دو جریان کلیدی با استفاده از دو آفست تصادفی از کد اصلی و استخراج ۰x۴۰۰ بایت (۱KiB) و ۰x۱۰۰۰۰۰ بایت (۱MiB) از آفست انتخاب شده تولید می‌شوند.

نقصی که کلید اصلی را بازیابی می‌کند
جریان کلید رمزگذاری، که از عملیات XOR دو جریان کلیدی ایجاد شده است، با استفاده از داده‌ها در بلوک‌های متناوب برای ایجاد فایل رمزگذاری‌شده، XOR می‌شود.

محققان خاطرنشان کردند که می‌توان جریان‌های کلیدی را حدس زد و کد اصلی را بازیابی کرد. با آن، آن‌ها می‌توانند فایل‌های رمزگذاری شده را بدون نیاز به کد خصوصی و مختص یک مهاجم، رمزگشایی کنند.

میزان موفقیت
محققان این نقص را برای بازیابی ۹۲ تا ۹۸ درصد از کلید اصلی مورد استفاده در هنگام رمزگذاری به کار گرفتند. حتی با این کلید اصلی ناقص، محققان می‌توانند حدود ۷۲ تا ۹۸ درصد از فایل‌های رمزگذاری شده را رمزگشایی کنند.

نتیجه‌گیری
این توسعه اخیر ظاهراً اولین تلاش موفق برای بازیابی فایل‌ها از این باج‌افزار است. این روش می‌تواند برای محدود کردن آسیب‌های ناشی از باج‌افزار Hive استفاده شود. این کار، به قربانیان این امکان را می‌دهد تا فایل‌ها را بدون هزینه بازیابی کنند و انگیزه‌ای مضاعف برای مبارزه با تهدیدات مرگبار ناشی از باج‌افزار در سراسر جهان ایجاد کنند.