Άλλο ένα “αποτυχημένο” κρυπτο-malware επιτρέπει στους ερευνητές ασφαλείας να δημιουργήσουν ένα εργαλείο αποκρυπτογράφησης. Το εργαλείο επιτρέπει στους χρήστες που έχουν πέσει θύματα εκβιασμού από το TeslaCrypt να ανακτήσουν τα δεδομένα τους χωρίς να πληρώνουν τα λύτρα.
Το TeslaCrypt malware εμφανίστηκε σχετικά πρόσφατα και μπορεί να κρυπτογραφήσει μαι μεγάλη λίστα αρχείων, όπως αποθηκευμένα δεδομένα παιχνιδιών, έγγραφα, φωτογραφίες και διάφορα αλλα. Είναι μια παραλλαγή του περίφημου CryptoLocker.
Το κακόβουλο λογισμικό TeslaCrypt χρησιμοποιεί έναν αλγόριθμο AES, ο οποίος χρησιμοποιεί το ίδιο κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση, παρά τους ισχυρισμούς των κακόβουλων developers που υποστηρίζουν ότι χρησιμοποιούν ένα ισχυρό RSA public-key, για την κρυπτογράφηση και ένα ιδιωτικό για την αντιστροφή της διαδικασίας.
Στη δεύτερη περίπτωση το ιδιωτικό κλειδί συνήθως αποθηκεύεται στον διακομιστή του εισβολέα, καθιστώντας έτσι αδύνατη την ανάκτηση των δεδομένων από την πλευρά του θύματος.
Το εργαλείο αποκρυπτογράφησης, που δημιουργήθηκε από τους ερευνητές της Cisco, είναι μια εφαρμογή γραμμής εντολών, αλλά έρχεται με σαφείς οδηγίες για το πώς μπορεί να χρησιμοποιηθεί για να αποκαταστήσει τα αρχεία σας.
Το βοηθητικό πρόγραμμα αναλύει ένα αρχείο που δημιουργείται από το κακόβουλο λογισμικό και ονομάζεται “key.dat.” Στο αρχείο αυτό αποθηκεύεται το κύριο κλειδί κρυπτογράφησης κατά την έναρξη της διαδικασίας κλειδώματος των αρχείων. Η διαδρομή αυτού του αρχείου είναι στο φάκελο “Application Data’ του χρήστη. Χωρίς αυτό το αρχείο .dat, το εργαλείο αποκρυπτογράφησης δεν θα λειτουργήσει.
Σε ορισμένες εκδόσεις του TeslaCrypt, όπως αναφέρουν οι ερευνητές σε μια δημοσίευση στο blog τους, το κακόβουλο λογισμικό δημιουργεί αυτό το κλειδί αποκατάστασης, σε περίπτωση που δεν μπορεί να επιτευχθεί επικοινωνία με τον server διοίκησης και έλεγχου του malware.
Ενώ οι προσπάθειες των ερευνητών είναι αξιέπαινες, οι χρήστες δεν θα πρέπει να βασίζονται αποκλειστικά σε αυτούς για να κρατήσουν τα αρχεία τους ασφαλή. Υπάρχουν άλλα ransomware που κυκλοφορούν αυτή τη στιγμή και είναι αδύνατο να τα αποκρυπτογραφήσετε.
Η τακτική δημιουργία αντιγράφων ασφαλείας των δεδομένων σας και η αποθήκευσή τους σε ένα δίσκο που δεν κινδυνεύει να μολυνθεί παραμένει η πιο αποτελεσματική μέθοδος για την προστασία της ακεραιότητας των αρχείων σας.
Κατεβάστε το εργαλείο της Cisco
Windows binary:
http://labs.snort.org/files/TeslaDecrypt_exe.zip
ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6
Python script:
https://labs.snort.org/files/TeslaDecrypt_python.zip
ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e
Source code to Windows binary:
https://labs.snort.org/files/TeslaDecrypt_cpp.zip
ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0