Een nieuwe vorm van ransomware genaamd TorrentLocker die bestanden voor losgeld versleutelt blijkt met de gebruikte encryptie te blunderen, waardoor slachtoffers zonder te betalen hun bestanden kunnen terugkrijgen. TorrentLocker werd vorige maand voor het eerste ontdekt.

Het zou hier om een geheel nieuwe ransomware-variant gaan, die net als andere varianten allerlei bestanden op een besmette computer versleutelt. Volgens beveiligingsbedrijf iSIGHT Partners richtte de malware zich voornamelijk op Australische internetgebruikers, omdat het gevraagde losgeld in Australische dollars werd vermeld. De betaling verloopt via bitcoins, waarbij slachtoffers naar Australische bitcoin-sites werden verwezen.

Encryptie

Onderzoekers Taneli Kaivola, Patrik Nisén en Antti Nuopponen van NIXU besloten TorrentLocker verder te onderzoeken. Ze wilden weten of het mogelijk was om versleutelde bestanden terug te halen. Het is al vaker voorgekomen dat ransomware-makers het gebruik van encryptie niet goed toepaste, waardoor slachtoffers toch een deel van de bestanden zonder te betalen konden terugkrijgen. Ook in het geval van TorrentLocker blijkt de auteur een essentiële fout te maken.

Alle bestanden worden namelijk via dezelfde keystream versleuteld. Door deze keystream te achterhalen is het vervolgens mogelijk om de versleutelde bestanden te ontsleutelen. Daarnaast blijkt de malware alleen de eerste 2MB van een bestand te versleutelen. Bij bestanden die kleiner dan 2MB zijn laat de ransomware een aantal bytes aan het einde van het bestand onversleuteld. Volgens de onderzoekers was de beslissing om alleen de eerste 2MB van een bestand te versleutelen waarschijnlijk een bewuste keuze van de malwaremaker.

De ransomware zou hierdoor sneller een groot aantal bestanden onbruikbaar kunnen maken. Het zorgt er echter ook voor dat het redden van de bestanden een stuk eenvoudiger wordt. Als een slachtoffer van TorrentLocker een bestand van meer dan 2MB heeft dat is versleuteld, alsmede het onversleutelde origineel, dan kan de gehele keystream worden achterhaald, waarmee vervolgens alle versleutelde bestanden ontsleuteld kunnen worden.