TeslaCrypt 勒索解密指南


本文为看雪论坛优秀文章

看雪论坛作者ID:jishuzhain



一、摘要



TeslaCrypt 是一个曾经专事勒索的木马程序。而当前该程序已宣告终止,加密密钥也已被其开发者公布。ESET 公司据其密钥已开发出对应的解密软件。

早期的 TeslaCrypt 针对电脑游戏数据进行加密。新版本的 TeslaCrypt则像其他勒索软件一样,对用户的其他文件一并加密。在早期版本中,TeslaCrypt 会对其已知的 40 款游戏中共 185 种的文件类型进行加密,包括使命召唤、魔兽世界、Minecraft、战车世界等游戏进行加密。

受加密的文件包括存储在受害者磁碟上的游戏数据、玩家账户数据、自定义地图、游戏模块等。

新版本的 TeslaCrypt 则向其他勒索软件看齐,将受害者的 Microsoft Word、PDF、JPEG 等文件一起加密。每一位受害者都会被提示要缴出等值于 500 美元的比特币赎金,才能让被加密的文件解密。虽然和另一个著名的勒索软件 CryptoLocker 有相似之处,TeslaCrypt 却未与其共享代码,而是独立开发的病毒。

TeslaCrypt 利用 Anglar Adobe Flash 漏洞潜入受害者的电脑。虽然该恶意软件声称其使用的加密方式为公开密钥加密(非对称加密),思科公司的网络安全公司 Talos 却发现该病毒实际上使用的是对称密钥加密,并据此开发出了一款破解工具。

这个弱点在下一次的改进中被修正了,因此遭受 2.0 版 TeslaCrypt 攻击的电脑无法利用此套工具进行解密。

在 2015 年 11 月,卡巴斯基实验室的研究员已经在私底下获得了 2.0 版本病毒的弱点细节,但是他们小心的屏蔽消息,避免对外传开,以免让病毒开发者有机会再次进行补强。

不过到了隔年(2016 年)的 1 月时,他们发现 3.0 版本的 TeslaCrypt 已经修正了该弱点。JoeSecurity 公司对该病毒进行过全面的分析,并且在该公司的网站上公开了病毒活动的细节。

2016 年 5 月,TeslaCrypt 的开发者宣布停止勒索行为,并对外发布了加密的主密钥。在数天后,ESET 发布了一个程序,能用该加密密钥还原受害者被锁住的文件。


二、起因



日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm

笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。

个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。

文中给出的结论是无法解密,如下:


本文就总结一下,几个月来研究并分析勒索软件的一点心得,当初次遇到未知勒索时,该如何应对。



三、分析



当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?

>>>>

判断勒索家族


首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。

举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F

通过 virustotal 搜索到样本如下:
https://www.virustotal.com/gui/file/9651d0cbca5c0affc47229c33be182b67e7bfbc09d08fd2d1c3eb2185bb29cdf


很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。

1. 加密后缀


勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。

2. 联系邮箱


邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。

3. 勒索信


勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。

4. 代码相似度


代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。

以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
https://id-ransomware.malwarehunterteam.com/identify.php?case=c541fccfde0350c891261a5059ff0e4e7be1da21



>>>>

搜索解密软件


拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt






最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:


TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。

经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。


四、解密演示



拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:




文字版勒索信,如下:

删除卷影,防止恢复文件。


每个目录下,都会存在这两个勒索信文件。


找一个已经被加密的文件,进行查看。




接下来就使用上述下载的解密工具对其解密,先设置 key,如下:




由于该样本加密后,不会改变文件名后缀,所以选择扩展名为初始。



设置完 key 后,就可以解密文件了,如下:




为了防止解密失败,最好是备份一下原文件。




查看刚刚的文件,确实解密成功了,如下:




五、总结



幸好该勒索的开发者良心发现,公布了加密密钥,不然确实无法解密,后来想了想,即使勒索软件来势凶猛,我们也要努力去分析,尽力去攻破并阻止它,相信正义终会胜利的。


六、参考



https://zh.wikipedia.org/zh-cn/TeslaCrypt




- End -





看雪ID:jishuzhain

https://bbs.pediy.com/user-678001.htm 

*本文由看雪论坛 jishuzhain 原创,转载请注明来自看雪社区。



推荐文章++++

CVE-2017-11882理论以及实战样本分析

恶意代码分析之 RC4 算法学习

CVE-2017-0101-Win32k提权分析笔记

ROPEmporium全解

实战栈溢出漏洞



好书推荐






公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



“阅读原文”一起来充电吧!
评论