首页 > 网络安全频道 > 黑客工具 > 正文
勒索软件TeslaCrypt的解密工具
2015-04-30     我来说两句       作者:黑帽网
   我要投稿

有没有遇到过这样的事情:打开电脑不慎点开了一封邮件的附件,真真切切的遭遇了一个“新鲜玩意”——勒索软件。结果电脑被彻底加密,只有依照软件提示交付赎金才能恢复,是否感到欲哭无泪……

Cisco(思科)公司在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件。

FreeBuf百科:勒索木马

勒索木马是一种近年来愈发流行的木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文件将永远被木马加密了。勒索软件近年来层出不穷,FreeBuf也进行过大量报道。

目前一些安全公司已经开始开发针对勒索软件的解密软件。比如前不久,卡巴斯基与荷兰国家高科技犯罪小组、荷兰国家检察官办公室开发了一款工具帮助用户恢复被勒索木马CoinVault加密的文件。截止4月17日,解密软件数据库中已有超过700个密钥。

TeslaCrypt是一款臭名昭著的勒索软件CryptoLocker的变体,专攻那些热门游戏的玩家,被它盯上的游戏包括:使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等超过20种。研究人员同时发现,Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用这款工具。

一旦感染计算机,勒索木马就会加密计算机上的文件,然后指示受害者前往一个解密网站,受害者要支付2.5个比特币(约550美元)才能恢复他们的文件。不过调查显示截止今年4月16日,还没有人支付赎金。

解药来了

思科发布的TeslaCrypt解密工具需要key.dat文件,以恢复加密时使用的主密钥。
 

“在执行操作之前,程序会在用户应用数据目录或当前目前目录搜索‘key.dat’文件,”思科Talos研究人员写道,“如果程序找不到key.dat文件,就会返回错误自动退出。”

如果能够找到key.dat文件,用户就可以指定解密那个文件或目录。程序中还附带了一些命令行选项,不仅能解密文件和目录,还可以终止并删除勒索木马程序。

思科建议用户在使用这款工具之前备份好经过加密的文件。

思科还发布了不同版本的工具:Windows可执行版本、Python脚本和工具的源码。
 

Windows可执行程序:
ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6 
Python脚本:
ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e
Windows可执行文件的源码:
ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

83.jpg

“我们的工具还缺少了几个功能。我们还没时间实现从恢复密钥中获取主密钥”思科研究员称,“这个功能很重要,因为在某些TeslaCrypt版本中,文件加密过程完成后,主密钥就从‘key.dat’文件移除了。”

通过分析发现,勒索木马使用的其实是对称的AES加密,而非软件展示给受害者的警告中所说的非对称RSA-2048加密算法。游戏玩家们应该注意,这款软件会加密保存的游戏和Steam的激活密钥。

(中国黑帽编辑部)

点击收藏到自己的收藏夹!回本站首页
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:Python玩转黑客工具Metasploit
下一篇:极客讨论器:源代码协作
相关文章
图文推荐
排行
热门
网站
工具
无线
关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 中国黑帽网--致力于做最好的网络安全技术学习网站 。