Utpressingsvirusene regnes som svært vanskelige å håndtere etter at infeksjonen er et faktum, og mange ender simpelthen opp med å betale løsepengesummen. Selv om de fleste utpressingsvirusene er effektive er de imidlertid ikke uten svakheter, som nå gir nytt håp.
Som blant andre nettstedet The Hacker News rapporterer har sikkerhetsforskere klart å dekryptere filer som ble kryptert av et beryktet løsepengevirus – uten tilgang til den private nøkkelen fra bakmennene som vanligvis kreves for å gjenopprette tilgangen.
Fant sårbarheter
Viruset det dreier seg heter Hive, som tidligere blant annet rammet en europeisk elektronikkgigant og som det amerikanske etterforskningsbyrået FBI advarte mot i fjor sommer.
Forskere ved Kookmin University i Sør-Korea publiserte nylig et omfattende dokument hvor det opplyses at de fant sårbarheter i selve viruset som satte dem i stand til å dekryptere filer på et system som var infisert med Hive-viruset.
– Ved å analysere krypteringsprosessen til Hive fikk vi bekreftet at det eksisterer sårbarheter ved hjelp av deres egen krypteringsalgoritme. Vi har delvis gjenopprettet masternøkkelen som genererer filkrypteringsnøkkelen, for å muliggjøre dekryptering av data kryptert av Hive, heter det i forskningsdokumentet.
Forskerne sier de klarte å gjenopprette 95 prosent av masternøkkelen uten bakmennenes private nøkkel. Dette innebærer at ikke alle de krypterte filene ble gjenopprettet, men man kom altså svært nær.
Stor trussel
Ifølge teamet selv er dette aller første gangen at man har lykkes med å dekryptere filer kryptert med dette spesifikke løsepengeviruset, og forskerne mener metoden vil kunne bidra til å dempe trusselen fra Hive betydelig.
– Vi forventer at vår metode vil være nyttig for individer og bedrifter som er rammet av Hive-utpressingsviruset, skriver teamet.
Hive ble først oppdaget i juni 2021 og har i stor grad rettet seg mot institusjoner i helsesektoren både i USA og Europa. Sikkerhetsselskapet Avertium plasserte Hive på topp 10-listen over de største globale løsepengevirus-truslene i det tredje kvartalet i fjor.
I en rapport fra november i fjor opplyste Avertium at viruset retter seg mot både Windows- og Linux-plattformen, og at den primære infeksjonsmetoden er phishing-eposter – i likhet med mye annen skadevare.
Hvorvidt arbeidet til de sørkoreanske forskerne vil sette en presedens også for andre løspengevirus gjenstår å se. Det finnes for øvrig allerede et initiativ kalt No More Ransom, tidligere omtalt av digi.no, en nettside som inneholder en rekke nøkler og applikasjoner som kan brukes til å låse opp filer kryptert med løsepengevirus.