Istraživači napravili alat za dešifrovanje fajlova koje je šifrovao kripto-ransomware TeslaCrypt

Vesti, 29.04.2015, 08:30 AM

Istraživači napravili alat za dešifrovanje fajlova koje je šifrovao kripto-ransomware TeslaCrypt

Dobre vesti za žrtve kripto-ransomwarea TeslaCrypt: stručnjaci kompanije Cisco Systems napravili su alat kojim korisnici sami mogu dešifrovati fajlove koje je šifrovao malver i tako izbeći da plate kriminalcima otkup koji oni traže da bi fajlovi bili vraćeni u prvobitno stanje.

Kada se TeslaCrypt prvi put pojavio u martu ove godine on je najpre zbunio istraživače jer malver veoma mnogo podseća na mnogo poznatiji ransomware Cryptolocker.

Ali osim uobičajenog asortimana fajlova koje šifruju kripto-malveri, kao što su dokumenti, slike, video snimci i drugi, TeslaCrypt šifruje i fajlove koji su povezani sa video igrama i softverom za video igre, i po tome je poseban. Pored toga, malver šifruje i fajlove povezane sa iTunes. Ukupan broj ekstenzija koje cilja ovaj malver je 185, od čega je više od 50 ekstenzija povezano sa video igrama i softverom za video igre.

Iako malver u obaveštenju koje prikazuje korisnicima inficiranih računara tvrdi da fajlove šifruje RSA-2048 asimetričnim algoritmom, on ustvari koristi AES simetrični algoritam, što znači da se isti ključ koristi i za šifrovanje i za dešifrovanje fajlova. Da je ono što malver tvrdi tačno, to bi značilo da su fajlovi šifrovani javnim ključem sačuvanim na sistemu i da mogu biti dešifrovani samo privatnim ključem koji je u posedu napadača.

Međutim, analiza malvera je otkrila istraživačima iz Cisco Talos Group da malver ustvari koristi AES simetrični kriptografski algoritam koji koristi isti ključ i za šifrovanje i za dešifrovanje.

Neke verzije TeslaCrypt malvera čuvaju enkripcijski ključ u key.dat fajlu na inficiranom sistemu, dok druge verzije brišu ključ kada završe sa šifrovanjem fajlova i čuvaju šifrovanu verziju ključa u fajlu nazvanom RECOVERY_KEY.TXT.

To je omogućilo istraživačima da naprave delimično delotvoran alat kojim je moguće doći do master enkripcijskog ključa ako se on nalazi u key.dat fajlu. Korisnici bi trebalo da sačuvaju kopiju ovog fajla čim shvate da su im računari inficirani malverom TeslaCrypt da bi ga kasnije mogli iskoristiti za dešifrovanje fajlova uz pomoć alata koji su razvili istraživači iz Cisco Systems.

Ako key.dat ne uključuje master ključ, alat neće raditi.

Istraživači još uvek rade na reverznom inženjeringu algoritma koji koriste napadači da bi uspeli da dođu do ključa u RECOVERY-KEY.TXT. Ako uspeju u tome, to će im omogućiti da dešifruju i fajlove koje su šifrovale verzije malvera TeslaCrypt koje brišu ključ iz key.dat fajla kada malver završi sa šifrovanjem fajlova na inficiranom računaru.

Istraživači kažu da je njihov alat za dešifrovanje lak za upotrebu a postoji i uputstvo za njegovo korišćenje.

Alat za dešifrovanje je probni alat koji nije zvanično podržan, i korisnici mogu da ga koriste na svoju odgovornost. Zbog toga, stručnjaci preporučuju korisnicima da naprave backup šifrovanih fajlova pre nego što upotrebe ovaj alat.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Otkriveno na hiljade lažnih onlajn prodavnica - kupci ostali bez novca na računima

Firma za sajber bezbednost Silent Push otkrila je na hiljade veb sajtova koji se lažno predstavljaju kao sajtovi velikih brendova kao što su Apple i... Dalje

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje