Istraživači napravili alat za dešifrovanje fajlova koje je šifrovao kripto-ransomware TeslaCrypt

Vesti, 29.04.2015, 08:30 AM

Istraživači napravili alat za dešifrovanje fajlova koje je šifrovao kripto-ransomware TeslaCrypt

Dobre vesti za žrtve kripto-ransomwarea TeslaCrypt: stručnjaci kompanije Cisco Systems napravili su alat kojim korisnici sami mogu dešifrovati fajlove koje je šifrovao malver i tako izbeći da plate kriminalcima otkup koji oni traže da bi fajlovi bili vraćeni u prvobitno stanje.

Kada se TeslaCrypt prvi put pojavio u martu ove godine on je najpre zbunio istraživače jer malver veoma mnogo podseća na mnogo poznatiji ransomware Cryptolocker.

Ali osim uobičajenog asortimana fajlova koje šifruju kripto-malveri, kao što su dokumenti, slike, video snimci i drugi, TeslaCrypt šifruje i fajlove koji su povezani sa video igrama i softverom za video igre, i po tome je poseban. Pored toga, malver šifruje i fajlove povezane sa iTunes. Ukupan broj ekstenzija koje cilja ovaj malver je 185, od čega je više od 50 ekstenzija povezano sa video igrama i softverom za video igre.

Iako malver u obaveštenju koje prikazuje korisnicima inficiranih računara tvrdi da fajlove šifruje RSA-2048 asimetričnim algoritmom, on ustvari koristi AES simetrični algoritam, što znači da se isti ključ koristi i za šifrovanje i za dešifrovanje fajlova. Da je ono što malver tvrdi tačno, to bi značilo da su fajlovi šifrovani javnim ključem sačuvanim na sistemu i da mogu biti dešifrovani samo privatnim ključem koji je u posedu napadača.

Međutim, analiza malvera je otkrila istraživačima iz Cisco Talos Group da malver ustvari koristi AES simetrični kriptografski algoritam koji koristi isti ključ i za šifrovanje i za dešifrovanje.

Neke verzije TeslaCrypt malvera čuvaju enkripcijski ključ u key.dat fajlu na inficiranom sistemu, dok druge verzije brišu ključ kada završe sa šifrovanjem fajlova i čuvaju šifrovanu verziju ključa u fajlu nazvanom RECOVERY_KEY.TXT.

To je omogućilo istraživačima da naprave delimično delotvoran alat kojim je moguće doći do master enkripcijskog ključa ako se on nalazi u key.dat fajlu. Korisnici bi trebalo da sačuvaju kopiju ovog fajla čim shvate da su im računari inficirani malverom TeslaCrypt da bi ga kasnije mogli iskoristiti za dešifrovanje fajlova uz pomoć alata koji su razvili istraživači iz Cisco Systems.

Ako key.dat ne uključuje master ključ, alat neće raditi.

Istraživači još uvek rade na reverznom inženjeringu algoritma koji koriste napadači da bi uspeli da dođu do ključa u RECOVERY-KEY.TXT. Ako uspeju u tome, to će im omogućiti da dešifruju i fajlove koje su šifrovale verzije malvera TeslaCrypt koje brišu ključ iz key.dat fajla kada malver završi sa šifrovanjem fajlova na inficiranom računaru.

Istraživači kažu da je njihov alat za dešifrovanje lak za upotrebu a postoji i uputstvo za njegovo korišćenje.

Alat za dešifrovanje je probni alat koji nije zvanično podržan, i korisnici mogu da ga koriste na svoju odgovornost. Zbog toga, stručnjaci preporučuju korisnicima da naprave backup šifrovanih fajlova pre nego što upotrebe ovaj alat.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Interpol izdao hitno upozorenje o vakcinama

Interpol izdao hitno upozorenje o vakcinama

Interpol je danas izdao upozorenje u kome se kaže da bi međunarodne mreže organizovanog kriminala mogle da pokušaju da ubace u prodaju lažne vakc... Dalje

Proizvođač čipova Advantech potvrdio napad ransomwareom, kriminalne grupe traže sve veće otkupnine

Proizvođač čipova Advantech potvrdio napad ransomwareom, kriminalne grupe traže sve veće otkupnine

Proizvođač čipova Advantech potvrdio je da je 26. novembra dobio zahtev za otkupninu od grupe Conti koja zahteva 750 bitkoina, odnosno oko 14 milio... Dalje

Hakerska grupa OceanLotus koristi novi malver za napade na korisnike MacOS

Hakerska grupa OceanLotus koristi novi malver za napade na korisnike MacOS

Istraživači kompanije Trend Micro otkrili su novi malver koji se koristi u napadima na korisnike MacOS, iza kojih prema rečima istraživača stoje ... Dalje

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Hakeri iz Severne Koreje pokušali su da provale u sisteme britanskog proizvođača lekova AstraZeneca, kompanije koja je trenutno u žiži javnosti k... Dalje

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Italijanska i mađarska policija, uz podršku britanske policije i Europola, sprečile su gubitke od oko 40 miliona evra pojedinaca i kompanija, akcij... Dalje