-
-
[原创]TeslaCrypt 勒索解密指南
-
发表于: 2019-11-21 22:58
-
TeslaCrypt 是一个曾经专事勒索的木马程序。而当前该程序已宣告终止,加密密钥也已被其开发者公布。ESET 公司据其密钥已开发出对应的解密软件。早期的 TeslaCrypt 针对电脑游戏数据进行加密。新版本的 TeslaCrypt则像其他勒索软件一样,对用户的其他文件一并加密。在早期版本中,TeslaCrypt 会对其已知的 40 款游戏中共 185 种的文件类型进行加密,包括使命召唤、魔兽世界、Minecraft、战车世界等游戏进行加密。受加密的文件包括存储在受害者磁碟上的游戏数据、玩家账户数据、自定义地图、游戏模块等。新版本的 TeslaCrypt 则向其他勒索软件看齐,将受害者的 Microsoft Word、PDF、JPEG 等文件一起加密。每一位受害者都会被提示要缴出等值于 500 美元的比特币赎金,才能让被加密的文件解密。虽然和另一个著名的勒索软件 CryptoLocker 有相似之处,TeslaCrypt 却未与其共享代码,而是独立开发的病毒。TeslaCrypt 利用 Anglar Adobe Flash 漏洞潜入受害者的电脑。虽然该恶意软件声称其使用的加密方式为公开密钥加密(非对称加密),思科公司的网络安全公司 Talos 却发现该病毒实际上使用的是对称密钥加密,并据此开发出了一款破解工具。这个弱点在下一次的改进中被修正了,因此遭受 2.0 版 TeslaCrypt 攻击的电脑无法利用此套工具进行解密。在 2015 年 11 月,卡巴斯基实验室的研究员已经在私底下获得了 2.0 版本病毒的弱点细节,但是他们小心的屏蔽消息,避免对外传开,以免让病毒开发者有机会再次进行补强。不过到了隔年(2016 年)的 1 月时,他们发现 3.0 版本的 TeslaCrypt 已经修正了该弱点。JoeSecurity 公司对该病毒进行过全面的分析,并且在该公司的网站上公开了病毒活动的细节。2016 年 5 月,TeslaCrypt 的开发者宣布停止勒索行为,并对外发布了加密的主密钥。在数天后,ESET 发布了一个程序,能用该加密密钥还原受害者被锁住的文件。
2 起因
日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm。笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。
文中给出的结论是无法解密,如下:
日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm。笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。
文中给出的结论是无法解密,如下:
本文就总结一下,几个月来研究并分析勒索软件的一点心得,当初次遇到未知勒索时,该如何应对。
3 分析
当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?
3.1 判断勒索家族
首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F
通过 virustotal 搜索到样本如下:
5ceK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6%4g2A6i4K6u0r3k6X3W2D9k6g2)9J5c8U0V1$3y4e0q4V1x3r3y4T1j5$3p5#2j5K6m8S2k6X3k6U0y4o6M7J5x3U0W2U0x3K6y4T1k6e0p5^5x3X3t1$3y4$3f1%4j5X3k6T1j5K6l9&6k6o6l9^5k6X3b7J5k6o6q4U0x3$3g2T1x3U0p5^5y4h3u0T1x3U0W2U0k6r3j5`.
当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?
首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F
通过 virustotal 搜索到样本如下:
5ceK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6%4g2A6i4K6u0r3k6X3W2D9k6g2)9J5c8U0V1$3y4e0q4V1x3r3y4T1j5$3p5#2j5K6m8S2k6X3k6U0y4o6M7J5x3U0W2U0x3K6y4T1k6e0p5^5x3X3t1$3y4$3f1%4j5X3k6T1j5K6l9&6k6o6l9^5k6X3b7J5k6o6q4U0x3$3g2T1x3U0p5^5y4h3u0T1x3U0W2U0k6r3j5`.
很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。
3.1.1 加密后缀
勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。
3.1.2 联系邮箱
邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。
3.1.3 勒索信
勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。
3.1.4 代码相似度
代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。
以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
3cdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6k6q4)9J5k6s2u0S2L8Y4y4G2L8i4N6S2M7X3g2Q4x3X3g2E0j5h3I4%4j5i4u0W2K9s2g2F1N6r3g2J5N6r3g2S2L8g2)9J5k6h3y4G2L8g2)9J5c8X3W2V1k6h3&6@1K9h3k6&6i4K6u0W2M7r3S2H3i4K6y4r3j5$3q4K6k6g2)9K6c8r3x3#2y4o6q4X3j5$3y4X3k6r3f1H3x3K6f1H3j5K6R3&6x3e0t1$3x3h3p5#2x3o6f1&6k6X3j5H3k6e0c8W2y4$3u0W2x3h3c8S2x3U0p5`.
3.2 搜索解密工具
拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs 904K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4M7#2)9J5k6h3y4A6M7$3y4G2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6@1j5h3I4G2M7#2)9J5c8Y4c8W2M7$3I4S2j5%4u0&6M7s2b7`.
最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:
TeslaCrypt shuts down and Releases Master Decryption Key 67cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6r3g2K6L8r3q4U0M7Y4W2H3N6q4)9J5k6s2y4Z5N6i4c8K6i4K6u0V1k6r3!0%4L8W2)9J5k6r3q4F1k6q4)9J5k6s2u0W2L8r3g2S2M7$3g2K6i4K6u0V1L8h3q4K6N6r3g2J5i4K6u0V1k6r3g2U0M7Y4W2H3N6r3W2G2L8W2)9J5k6r3E0W2P5g2)9J5c8R3`.`. 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。
经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。
4 解密演示
拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:
文字版勒索信,如下:
---------------------------------------------------- NOT YOUR LANGUAGE? USE 10dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1M7X3q4F1M7$3I4S2N6r3g2Q4x3X3g2Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3@1`. What's the matter with your files? Your data was secured using a strong encryption with RSA4096. Use the link down below to find additional information on the encryption keys using RSA-4096 152K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6W2L8W2)9J5k6i4N6A6K9$3W2H3k6h3c8A6j5g2)9J5k6h3!0J5k6#2)9J5c8Y4N6A6K9$3W2Q4x3V1k6d9f1@1q4Q4y4h3k6Q4x3U0S2U0M7Y4W2H3N6r3!0K6P5i4y4@1k6h3#2Q4x3U0V1`. What exactly that means? It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore . In other words they are useless , however , there is a possibility to restore them with our help . What exactly happened to your files ??? *** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private. *** All your data and files were encrypted by the means of the public key , which you received over the web . *** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers. What should you do next ? There are several options for you to consider : *** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or *** You can start getting BitCoins right now and get access to your data quite fast . In case you have valuable files , we advise you to act fast as there is no other option rather than paying in order to get back your data. In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below : cecK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2B7y4h3&6B7i4K6u0W2L8$3&6S2L8Y4N6Z5K9i4c8Q4x3X3g2U0L8$3#2Q4x3V1k6n7z5f1t1%4y4p5g2r3x3e0k6p5x3p5x3I4z5e0R3`. b0aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0u0Y4k6r3t1@1i4K6u0W2L8r3g2G2M7X3q4G2M7X3q4Y4k6g2)9J5k6h3q4@1i4K6u0r3b7U0W2n7y4K6c8q4c8U0p5$3c8o6m8o6x3e0V1^5 f16K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0W2Z5M7X3c8K6i4K6u0W2N6$3!0D9k6X3y4J5j5i4m8Q4x3X3g2S2N6q4)9J5c8V1t1&6b7U0M7@1c8f1j5I4y4V1b7H3b7K6p5&6z5l9`.`. If you can't access your personal homepage or the addresses are not working, complete the following steps: *** Download TOR Browser - 1a8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8G2M7Y4m8J5L8$3A6W2j5%4c8Q4x3X3g2G2M7X3N6Q4x3V1k6H3M7X3!0B7k6h3y4@1M7#2)9J5c8Y4c8G2M7X3u0J5L8%4N6K6k6i4u0Q4x3X3g2Z5N6r3#2D9i4K6u0W2k6h3^5`. *** Install TOR Browser and open TOR Browser *** Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/B9B74EF16D0C198 *** Read instructions !!! *** *** *** *** *** *** *** IMPORTANT INFORMATION *** *** *** *** *** *** Your personal homepages 478K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2B7y4h3&6B7i4K6u0W2L8$3&6S2L8Y4N6Z5K9i4c8Q4x3X3g2U0L8$3#2Q4x3V1k6n7z5f1t1%4y4p5g2r3x3e0k6p5x3p5x3I4z5e0R3`. b64K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0u0Y4k6r3t1@1i4K6u0W2L8r3g2G2M7X3q4G2M7X3q4Y4k6g2)9J5k6h3q4@1i4K6u0r3b7U0W2n7y4K6c8q4c8U0p5$3c8o6m8o6x3e0V1^5 e26K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0W2Z5M7X3c8K6i4K6u0W2N6$3!0D9k6X3y4J5j5i4m8Q4x3X3g2S2N6q4)9J5c8V1t1&6b7U0M7@1c8f1j5I4y4V1b7H3b7K6p5&6z5l9`.`. Your personal homepage Tor-Browser k7tlx3ghr3m4n2tu.onion/B9B74EF16D0C198 Your personal ID B9B74EF16D0C198
删除卷影,防止恢复文件。
每个目录下,都会存在这两个勒索信文件。
找一个已经被加密的文件,进行查看。
接下来就使用上述下载的解密工具对其解密,先设置 key,如下:
由于该样本加密后,不会改变文件名后缀,所以选择扩展名为初始。
设置完 key 后,就可以解密文件了,如下:
为了防止解密失败,最好是备份一下原文件。
查看刚刚的文件,确实解密成功了,如下:
5 总结
幸好该勒索的开发者良心发现,公布了加密密钥,不然确实无法解密,后来想了想,即使勒索软件来势凶猛,我们也要努力去分析,尽力去攻破并阻止它,相信正义终会胜利的。
6 参考
148K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6i4N6A6K9$3W2H3k6h3c8A6j5g2)9J5k6h3!0J5k6#2)9J5c8Y4A6Z5i4K6u0V1j5$3&6Q4x3V1k6f1k6i4y4D9j5f1y4J5P5i4m8@1
很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。
勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。
邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。
勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。
代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。
以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
3cdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6k6q4)9J5k6s2u0S2L8Y4y4G2L8i4N6S2M7X3g2Q4x3X3g2E0j5h3I4%4j5i4u0W2K9s2g2F1N6r3g2J5N6r3g2S2L8g2)9J5k6h3y4G2L8g2)9J5c8X3W2V1k6h3&6@1K9h3k6&6i4K6u0W2M7r3S2H3i4K6y4r3j5$3q4K6k6g2)9K6c8r3x3#2y4o6q4X3j5$3y4X3k6r3f1H3x3K6f1H3j5K6R3&6x3e0t1$3x3h3p5#2x3o6f1&6k6X3j5H3k6e0c8W2y4$3u0W2x3h3c8S2x3U0p5`.
3.2 搜索解密工具
拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs 904K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4M7#2)9J5k6h3y4A6M7$3y4G2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6@1j5h3I4G2M7#2)9J5c8Y4c8W2M7$3I4S2j5%4u0&6M7s2b7`.
拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs 904K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4M7#2)9J5k6h3y4A6M7$3y4G2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3V1k6@1j5h3I4G2M7#2)9J5c8Y4c8W2M7$3I4S2j5%4u0&6M7s2b7`.
最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:
TeslaCrypt shuts down and Releases Master Decryption Key 67cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6r3g2K6L8r3q4U0M7Y4W2H3N6q4)9J5k6s2y4Z5N6i4c8K6i4K6u0V1k6r3!0%4L8W2)9J5k6r3q4F1k6q4)9J5k6s2u0W2L8r3g2S2M7$3g2K6i4K6u0V1L8h3q4K6N6r3g2J5i4K6u0V1k6r3g2U0M7Y4W2H3N6r3W2G2L8W2)9J5k6r3E0W2P5g2)9J5c8R3`.`. 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。
经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。
TeslaCrypt shuts down and Releases Master Decryption Key 67cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3N6r3g2K6L8r3q4U0M7Y4W2H3N6q4)9J5k6s2y4Z5N6i4c8K6i4K6u0V1k6r3!0%4L8W2)9J5k6r3q4F1k6q4)9J5k6s2u0W2L8r3g2S2M7$3g2K6i4K6u0V1L8h3q4K6N6r3g2J5i4K6u0V1k6r3g2U0M7Y4W2H3N6r3W2G2L8W2)9J5k6r3E0W2P5g2)9J5c8R3`.`. 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。
经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。
4 解密演示
拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:
|
|
|---|---|
|
|
|
|
|
|
