這是一個真實的案例:就在上個月,小編的朋友,一位銀行高管不慎點開了一封郵件的附件,真真切切的遭遇了原本以為只有在FreeBuf上看到的“新鮮玩意”——勒索軟件。如同本文的主角TeslaCrypt一樣,他的電腦被徹底加密,只有依照軟件提示交付贖金才能恢復,這讓我的朋友欲哭無淚……
Cisco(思科)公司在對勒索軟件TeslaCrypt經過長期的分析后,近日發(fā)布了一款解密工具,這款工具能夠解密被TeslaCrypt勒索而加密的文件。
百科:勒索木馬
勒索軟件是一種近年來愈發(fā)流行的木馬,這些木馬會通過加密鎖定被感染的計算機,要求受害者支付贖金后才能返還控制權,否則你硬盤里的文件將永遠被木馬加密了。勒索軟件近年來層出不窮,F(xiàn)reeBuf也進行過大量報道。
目前一些安全公司已經開始開發(fā)針對勒索軟件的解密工具。比如前不久,卡巴斯基與荷蘭國家高科技犯罪小組、荷蘭國家檢察官辦公室開發(fā)了一款工具幫助用戶恢復被勒索木馬CoinVault加密的文件。截止4月17日,解密軟件數(shù)據(jù)庫中已有超過700個密鑰。
勒索軟件TeslaCrypt
TeslaCrypt是一款臭名昭著的勒索軟件CryptoLocker的變體,專攻那些熱門游戲的玩家,被它盯上的游戲包括:使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭霸、F.E.A.R、刺客信條、生化危機、魔獸世界、英雄聯(lián)盟以及坦克世界等超過20種。研究人員同時發(fā)現(xiàn),Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用這款工具。
一旦感染計算機,TeslaCrypt就會加密計算機上的文件,然后指示受害者前往一個解密網站,受害者要支付2.5個比特幣(約550美元)才能恢復他們的文件。不過調查顯示截止今年4月16日,還沒有人支付贖金。
解藥來了
思科發(fā)布的TeslaCrypt解密工具需要key.dat文件,以恢復加密時使用的主密鑰。
“在執(zhí)行操作之前,程序會在用戶應用數(shù)據(jù)目錄或當前目前目錄搜索‘key.dat’文件,”思科Talos研究人員寫道,“如果程序找不到key.dat文件,就會返回錯誤自動退出。”
如果能夠找到key.dat文件,用戶就可以指定解密那個文件或目錄。程序中還附帶了一些命令行選項,不僅能解密文件和目錄,還可以終止并刪除TeslaCrypt程序。
思科建議用戶在使用這款工具之前備份好經過加密的文件。
思科還發(fā)布了不同版本的工具:Windows可執(zhí)行版本、Python腳本和工具的源碼。
Windows可執(zhí)行程序:
ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6
Python腳本:
ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e
Windows可執(zhí)行文件的源碼:
ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0
“我們的工具還缺少了幾個功能。我們還沒時間實現(xiàn)從恢復密鑰中獲取主密鑰”思科研究員稱,“這個功能很重要,因為在某些TeslaCrypt版本中,文件加密過程完成后,主密鑰就從‘key.dat’文件移除了。”
通過分析發(fā)現(xiàn),勒索軟件TeslaCrypt使用的其實是對稱的AES加密,而非軟件展示給受害者的警告中所說的非對稱RSA-2048加密算法。游戲玩家們應該注意,這款勒索軟件會加密保存的游戲和Steam的激活密鑰。
京公網安備 11010502049343號