Setelah sebelumnya ada peneliti korea yang berhasil membuat decryptor ransomware hive versi 1-4, sekarang ada peneliti yang merilis ransomware hive v5 keystream decryptor. Decryptor ini dibuat oleh reecdeep. Menurut dia hive v5 ini ditulis pake RUST, dan memiliki beberapa kemiripan dengan ransomware babuk. Kemiripannya yaitu pada algoritma key exchange, daftar process yang ditutup sebelum menjalankan 1256 thread enkripsi.

Di sistem korban, hive generate dua kunci cleartext, dia pake API QueryPerformanceCounter untuk time counter, dan QueryPerformanceFrequence untuk performance counter. Decryptornya bisa dilihat pada link berikut:

https://github.com/reecdeep/HiveV5_keystream_decryptor

Disana ada 2 folder, raw code sama versi optimized. Kemudian dijelaskan juga mekanisme proteksi yang dipake hive 5 ini. Dia melakukan 2 ronde enkripsi.

1. Generate 32 bytes private key, menggunakan algorithma yang sama untuk membuat kunci pada setiap byte;
2. Menggunakan algoritma Curve25519 elliptic curve untuk Diffie-Hellman key exchange, Hive menurunkan public key dari private key yang baru digenerate;
3. Menggunakan Curve25519, Hive menggenerate sebuah shared key dari private key yang baru digenerate dan Hive public key yang berhubungan (berubah2 pada setiap artefak Hive v5);
4. Generate 24 bytes nonce, kayak IV, menggunakan algorithm yang sama untuk private key dan cleartext key;
5. Menggunakan algoritma HChaCha20, kunci untuk encrypsi cleartext generated key diturunkan;
6. dari kunci pada step 5 dan nonce pada step 4, Hive mengencrypt cleartext key menggunakan XChaCha20 algorithm. Proses ini menghasilkan juga 16 bytes MAC (Message Authentication Code) untuk memastikan integrity dari proses enkrypsi

Semoga Bermanfaat!