解药来了:思科发布针对勒索软件TeslaCrypt的解密工具

这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的“新鲜玩意”——勒索软件。如同本文的主角TeslaCrypt一样,他的电脑被彻底加密,只有依照软件提示交付赎金才能恢复,这让我的朋友欲哭无泪……

Cisco(思科)公司近日在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件。

FreeBuf百科:勒索木马

勒索软件是一种近年来愈发流行的木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文件将永远被木马加密了。勒索软件近年来层出不穷,FreeBuf也进行过大量报道。

目前一些安全公司已经开始开发针对勒索软件的解密工具。比如前不久,卡巴斯基与荷兰国家高科技犯罪小组、荷兰国家检察官办公室开发了一款工具帮助用户恢复被勒索木马CoinVault加密的文件。截止4月17日,解密软件数据库中已有超过700个密钥。

勒索软件TeslaCrypt

TeslaCrypt是一款臭名昭著的勒索软件CryptoLocker的变体,专攻那些热门游戏的玩家,被它盯上的游戏包括:使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等超过20种。研究人员同时发现,Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用这款工具。

一旦感染计算机,TeslaCrypt就会加密计算机上的文件,然后指示受害者前往一个解密网站,受害者要支付2.5个比特币(约550美元)才能恢复他们的文件。不过调查显示截止今年4月16日,还没有人支付赎金。

解药来了

思科发布的TeslaCrypt解密工具需要key.dat文件,以恢复加密时使用的主密钥。

“在执行操作之前,程序会在用户应用数据目录或当前目前目录搜索‘key.dat’文件,”思科Talos研究人员写道,“如果程序找不到key.dat文件,就会返回错误自动退出。”

如果能够找到key.dat文件,用户就可以指定解密那个文件或目录。程序中还附带了一些命令行选项,不仅能解密文件和目录,还可以终止并删除TeslaCrypt程序。

思科建议用户在使用这款工具之前备份好经过加密的文件。

思科还发布了不同版本的工具:Windows可执行版本、Python脚本和工具的源码。

Windows可执行程序: ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6 Python脚本: ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e Windows可执行文件的源码: ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

“我们的工具还缺少了几个功能。我们还没时间实现从恢复密钥中获取主密钥”思科研究员称,“这个功能很重要,因为在某些TeslaCrypt版本中,文件加密过程完成后,主密钥就从‘key.dat’文件移除了。”

通过分析发现,勒索软件TeslaCrypt使用的其实是对称的AES加密,而非软件展示给受害者的警告中所说的非对称RSA-2048加密算法。游戏玩家们应该注意,这款勒索软件会加密保存的游戏和Steam的激活密钥。

*参考来源Threatpost & Cisco,译/Sphinx,文章有修改,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-04-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

特别企划 | 那些年你“听不懂”的安全名词

也许你已经对网络钓鱼耳熟能详了,也许你也遇到过一些勒索软件或者病毒的攻击。但 catfishing 是什么?水坑攻击为什么叫水坑攻击?51% 攻击又是什么?边信...

33570
来自专栏安恒信息

安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”

2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-2...

29240
来自专栏安恒信息

物联网安全漏洞!LED灯泡存漏洞幸已修补

英国资安研究公司ContextInformation Security发布声明警告所有与物联网相关的公司,由LIFX公司生产,支持无线连网的LED...

36370
来自专栏FreeBuf

一条短信为何能让你银行卡里的钱不翼而飞?

卡还在,钱怎么没了? 近日央视曝光:银行卡盗刷事件频发,原来,不法分子已经形成了一条黑色产业链!他们先是通过改装POS机、发钓鱼链接及黑客WIFI盗取银行卡信...

47190
来自专栏FreeBuf

不止一个!戴尔又一根证书漏洞被黑客利用

本月25日我们讨论了戴尔eDellRoot根证书漏洞,同样的问题今天又被曝露出来:在某些戴尔系统中发现了第二个自签名的根证书DSDTestProvider,并且...

216100
来自专栏区块链

快快改密码!14亿账号密码数据库泄露

点击下方“关键字”,查看更多精彩内容 现在无论是网购还是微信登录都需要注册账户名和设置密码,而相应我们的一些个人资料、手机号甚至是银行卡账户都需要与账户进行绑定...

67590
来自专栏程序员互动联盟

计算机木马是如何产生的?原理是什么?

作为一个从业十几年的程序员来分析下计算机木马原理,计算机木马原来称呼为特洛伊木马,主要流传于古希腊,攻城不对久攻不下,于是让人专门制作了一个体积非常大的马,把士...

17730
来自专栏FreeBuf

德勤之后,另一家咨询公司埃森哲也被曝出安全问题

继上月末四大咨询公司之一的德勤被黑后,另一家咨询公司埃森哲也被爆出安全问题。 安全公司UpGuard发现,埃森哲的部分业务数据被放在了公开的Amazon S3 ...

28850
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

374100
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

13840

扫码关注云+社区

领取腾讯云代金券