Er konnte geknackt werden, der Erpressungs – Trojaner Dircrypt. Wie heise.de vermeldete gelang es Checkpoint – Experten den Trojaner zu knacken und die von ihm verschlüsselten Daten zu retten.
Die Security-Experten von Checkpoint analysierten den Dircrypt-Trojaner und stellten dabei fest, dass die Gangster auch nur mit Wasser kochen: Die Umsetzung der Krypto-Funktionen stellte sich als böses Rumgestümper heraus. So wurden alle Dateien mit RC4 verschlüsselt – und zwar immer mit dem gleichen Schlüssel. Und den hängt der Trojaner auch noch an die verschlüsselten Daten an. So konnten die Forscher den Schlüssel einfach benutzen, um die Daten wieder herzustellen. Allerdings blieb ein Pferdefuß: Jeweils den ersten Datenblock mit 1024 Byte verschlüsselt der Trojaner mit RSA. Da der erforderliche 1024-Bit-RSA-Schlüssel zu dessen Dekodierung nicht zur Verfügung steht, müssen die Hacker also raten. Das wird erleichtert durch die Tatsache, dass viele Dateiformate einen Vorspann haben, dessen Inhalt sich recht leicht erraten lässt. So gelang es den Checkpoint-Experten mit einem kleinen Skript den Text eines verschlüsselten Word-Dokuments komplett wiederherzustellen.
