duminică, 18 ianuarie 2015

Recuperare date cryptowall

        Salut tuturor,am observat ca din ce in ce mai multe persoane reusesc sa se infecteze cu cryptowall, acel trojan care va crypteaza (encrypteaza tehnic vorbind) datele din PC.
Multi va intrebati daca este posibil sa recuperati datele, ei bine am sa va explic mai jos daca se pot recupera sau nu, si in ce mod.
         Inainte de a va explica ce si cum ar trebui totusi sa intelegeti niste lucruri elementare despre cryptografie, mai exact despre algoritme de encryptie bidirectionale si unidirectionale.

             Bidirectional

        Tot timpul output-ul unui mesaj va fi mai mare decat input-ul.
Adica, introduci mesajul "TEST" (4 caractere) si iti va rezulta "RTRrR744" (9 caractere) deci e evident ca output-ul mesajului a fost mai mare decat imput-ul.
             Unidirectional (hash)

        Sigur ati auzit de algoritme unidirectionale (MD5, SHA, etc).Tot timpul output-ul unui mesaj va fi exact de 128 caractere. (SHA-512 in cazul de fata)

                               Exemplu 1

Input "TEST"
Output "7bfa95a688924c47c7d22381f20cc926f524beacb13f84e203d4bd8cb6ba2fce81c57a5f059bf3d509926487bde925b3bcee0635e4f7baeba054e5dba696b2bf"
                              Exemplu 2

         Input
Toata poezia Luceafarul de Mihai Eminescu, toate strofele.
Output
"de20ffadcbf9e8a53bffe089548b4414d72b250755a4164b6ac60b78248fdb12cefd7492b75eeed5f09e9797cbbadb889e1be22f857ff68e7321a6c3db53f79e"
       Dupa cum observati mai sus, indiferent daca encryptezi 3 litere 3 cuvinte 3 strofe sau 3.0000 de pagini output-ul o sa aive aceeasi marime, adica 128 de caractere, acesta se numeste HASH, si de obicei este folosit la encriptarea parolelor sau sintaxe/fraze scurte.

       Acum sa va explic cum lucreaza CryptoRahat.
       Pasul 1
       Encripteaza tot HDD-ul cu un algoritm bidirectional (ca sa poata fi decriptat ulterior)
       Pasul 2
       Parola cu care encripteaza HDD-ul este trecuta printr-un algoritm unidirectional ( pe 2048 biti)
        Mai jos am sa encriptez cuvantul TEST cu BlowFish iar pentru keye am sa folosesc SHA-512.
        Rezultat:
6E/GSL+bfVcyFpGlwrwmIw==
        Acum, ca sa decriptati voi insiva mesajul am sa va explic cum sa o faceti.
          1) intrati pe http://codebeautify.org/encrypt-decrypt si selectati BlowFish pentru algoritm.

          La password treceti (fara ghilimele) hash-ul "3e62260deca3ffe8a07aad3cd0d7eb172003f58a1c03f73413632cf64c84207820010dd12f5a5f9ee602eef96ca1cb7fdaca3c3929be437f5e1cff7b5b1684b9"
Hash-ul este rezultatul encriptarii cuvantului "Simon"
          Dupa ce introduceti has-ul si mesajul rezultat de encryptie o sa vedeti mesajul introdus initial adica "TEST"
          Problema este un pic mai complexa cu cryptorahaturile pentru ca ele nu encripteaza mesajul cu hash-ul ci cu parola, si rezulta hash-ul ulterior tu trebuie sa treci parola, si daca rezulta acelasi hash iti decripteaza, daca nu rezulta acelasi hash nu iti decripteaza, si dupa cum v-am explicat mai sus hash-ul are aceeasi marime, deci nu stii ce parola a folosit, poate sa fie o litera un cuvant o mie de cuvinte sau 46964239 de caractere (cuvinte, cifre, semne etc) rezultatul va fi intotdeauna acelasi, deci pana nu stii cu exactitate parola nu ai cum sa le decriptezi.
          Nu stiu daca a inteles cineva ceva dar am incercat sa va explic un pic mai tehnic de ce nu este posibil sa spargi o keye mai mare de 1028 de biti.
           Concluzie?!

         Nu este posibil tehnic vorbind cu tehnologia actuala sa spargi un hash mai mare de 1028 de biti dupa cum am zis si mai sus, si daca s-ar strange toate pc-urile din lume si s-ar forma un supercomputer tot ar dura cateva mii de ani pana ar fi decriptata.
        Cum poti recupera datele? well.. poti plati pentru keye (parola) si sa te rogi ca hacker-ul care detine key-a sa iti trimita parola... altfel risti sa platesti si nici macar sa nu primesti keya, dar din cate stiu eu majoritatea care au platit au primit parola de decriptare