iThome
资安业者趋势科技在日前推出一款针对Cryptxxx和TeslaCrypt两款勒索软件的解密工具。刚开始,趋势科技的解密工具只针对受骇人数最多的Cryptxxx 2.0 版,和TeslaCrypt v1、v3和v4版,但现在已可以解密被Cryptxxx 1.0版、2.0版、3.0版,以及TeslaCrypt v1、v2、v3和v4版,和SNSLocker等三款勒索软件加密的档案。
这个解密工具Ransomware File Decrypto Tool,是趋势科技一个全球性的专案。其中,研发中心位于台湾的趋势科技全球核心技术部技术顾问骆一奇,是解密Cryptxxx 1.0版、2.0版和3.0版勒索软件加密档案的藏镜人之一。
骆一奇表示,趋势科技抢先全球解密Cryptxxx 3.0版,但他也提醒,除非拿到勒索软件Cryptxxx 3.0版作者自己制作的RSA解密私钥,否则,趋势的工具也只能回复原本档案的99.2%,还须仰赖第三方档案救援工具抢救其余遗失的档案。
解密工具必须针对不同勒索软件量身打造
骆一奇表示,该公司观察勒索软件的危害状况发现,这不像是APT(进阶持续性威胁)攻击,只是锁定特定的少部分人,勒索软件的危害是乱枪打鸟的状态,每个人都可能是勒索软件的受骇者,也形成一股人人自危的不安气氛。
为了解决使用者一旦中了勒索软件,电脑中的档案就会被加密,使用者只有遵照指示,支付300元~1,000元不等的美金,希望从勒索软件的作者取得解密的私钥,不然就只有自力救济一途。
但是,骆一奇表示,许多后来跟趋势科技求救的使用者中,也不乏已经付钱,但是仍然无法顺利将档案解密的情况。因此,解密工具的推出则是可以更快、更大规模协助使用者,免于勒索软件威胁的好方法。
目前勒索软件的种类繁多,每个勒索软件作者都使用不同的加密算法,骆一奇说,这也使得包括趋势科技推出的勒索软件解密工具,都必须针对不同的勒索软件,推出一对一的解密工具。“这也是为什么,到现在都没有办法出现一款万用解密工具的原因之一。”他说。
骆一奇分析,使用者为什么会被勒索软件锁定、进一步将电脑中的档案加密,其受骇途径几乎都是,使用者使用不安全的浏览器(没有修补漏洞并更新到最新版,多数是微软的IE浏览器)点击恶意连结后,使用者电脑就被植入勒索软件,而电脑中所有档案就被勒索软件加密,接着就会跳出警告视窗,要求使用者支付赎金以取得解密档案所需要的金钥。
骆一奇负责研发Cryptxxx勒索软件的解密工具,先针对受骇人数最多的2.0版研发,再增加可解密的范围,目前已可解密被Cryptxxx 1.0版和3.0版加密的档案。但他也坦言,勒索软件的作者也一直在精益求精,新版本勒索软件所采用的算法,都比前一个版本更复杂,也因此,他们要制作解密工具的难度也越来越高。
解密Cryptxxx 1.0版,要准备明文和密文档案解密
骆一奇在分析Cryptxxx 1.0版勒索软件时发现,该名作者是采用OFB性质的加密模组,因此,他便使用逆向工程找出算法弱点,透过明文及密文间的关系找回编码用的替换盒(S-Box),进而还原其他被加密的档案。
他进一步解释,解密被Cryptxxx 1.0版加密的档案时,必须要使用2种档案,原始档和被加密过的档案,作为解密该台电脑档案的基础,如提供一张该台电脑中原本就有档案,再输入一张对应原始档案但被勒索软件加密后的档案,就可以开始进行电脑的档案解密。
解密Cryptxxx 2.0版,团队找到加密算法弱点
许多勒索软件作者在推出新版后,都会提高加密算法的复杂程度。骆一奇指出,在分析Cryptxxx 2.0版勒索软件时发现,加密金钥使用两组不同的算法,其中,一组是RSA 1,024位元的加密算法(警告讯息表示是使用RSA 4,096位元加密算法),另外一组是512位元的变种RC4算法。
因为两种算法使用的密钥长度都很长,无法暴力破解,因此,全球趋势科技团队也在思索,该怎么去克服这个困难。后来更深入分析后,团队发现了一个算法的弱点,可以将512位元长度的金钥(Key)还原,利用还原的金钥搭配解密算法,就可以把Cryptxxx 2.0版加密的档案解开。
他指出,Cryptxxx 2.0版档案加密过程,是利用512位元变种RC4算法加密档案,然后将加密档案私钥,再利用RSA 1024位元算法去加密,最后,就可以把经过RSA加密后的私钥,塞到加密的档案中。一般人,不会知道勒索软件采用什么加密算法,不会知道加密算法彼此的关系。
骆一奇表示,因为针对Cryptxxx 2.0版的解密工具,并不需要搭配输入其他明文和密文档案,多数使用者都可以直接将档案解密,因此,2.0版勒索软件加密的档案,解密成功概率也最高。
Cryptxxx 3.0版,只能成功解密99.2%的档案内容
“Cryptxxx 3.0版解密方式,是奠基于Cryptxxx 2.0版的解密方式之上,不过,解密难度却是加倍提高。”骆一奇说。
为什么被Cryptxxx 3.0版加密档案无法完全解密?骆一奇表示,这是因为Cryptxxx 3.0版作者再度提高加密算法复杂度,每一个档案同时采用两种算法加密,前64个字节(Byte)使用RSA 1,024位元算法加密,后面的8,191字节,则使用变种RC4算法加密;接下来,下一个8,255字节的档案资料,就会先采用64字节的RSA加密和8,191字节的变种RC4加密的循环中,直到整个档案区块都加密完毕。
他指出,也因为每一次的加密循环中,都有64字节的档案,一定要使用作者的私钥才能成功解密,所以在档案解密的过程中,最终只能解出99.2%的档案。但骆一奇提醒,一般使用者是无法读取这个有资料部分遗失的档案,必须经由第三方业者,例如硬盘救援公司使用档案救援工具,将这个解密的档案修复到可以读取的程度。
经过修复的档案,有些时候会和原始档案有些许落差。他说,运气好的话,档案遗失的部分不重要,并不会影响使用者读取档案;但如果运气不好,说不定,档案重要的关键数字,就是无法救援的部分。
可以从加密档案的副档名,判断被哪一个勒索软件绑架
至于,使用者要如何判断,加密的档案究竟是被哪一个勒索软件绑架呢?骆一奇表示,目前解密工具都会自动判断,但如果没有解密工具时,简单的判定方式,可以从勒索软件加密后档案的副档名判断。
如果是被Cryptxxx 1.0版、2.0版和3.0版加密的档案,加密的档案都会在原本的档案后面,加上一个.crypt的副档名。他说,从副档名看不出来是被哪一个版本的勒索软件绑架,要进一步从加密的档案内容判断是哪一个版本,被Cryptxxx 2.0版和3.0加密的档案都会有一些特征在档案尾部,要去判断档案尾部区块的特征,才能知道是被Cryptxxx 2.0版或3.0加密,如果都没有这些档案特征,就是被Cryptxxx 1.0版加密。
如果被TeslaCrypt v1勒索软件加密,档名会在原本名称后加上.ECC;被TeslaCrypt v2所加密的档案,这个被加密后的档案格式则会在原本的档名后面,加上.VVV、CCC、ZZZ、AAA或ABC的副档名;被TeslaCrypt v3加密,档名会在原本档案名称后加上.XXX、TTT、MP3或MICRO的副档名;是被TeslaCrypt v4加密,档名和副档名不会有任何变更。至于被SNSLocker加密的档案,就会在原本的档名后面出现一个.rsnslocked副档名。
但是,如果是被TeslaCrypt v4勒索软件加密,因为原本被加密后档案会和之前的名称相同,所以,透过这个解密工具后,档案名称将会是原本的档名后面加上一个decrypted.后,再加上原本的副档名。例如,ithome.docx档案被TeslaCrypt v4勒索软件加密后,档名不会变更,若是使用这个解密工具后,顺利解密后的档案就会变成ithome.decrypted.docx。
但是,他说,要确认是否解密完成,可以在执行解密工具后,看看原本被加密的档案名称经过解密后,电脑中会多出一个与原本档名相同的档案。例如,有一个加密档案test.jpg.crypt,解密成功后,会出现一个test.jpg档,但是test.jpg.crypt还是会存在电脑中
如果有进阶IT技能的使用者,要判断是否解密成功,他建议,使用者可以使用16进制编辑器,去查看档案内容,可以从中辨识出一些英文字符,或者是直接到微软操作系统内建的记事本中,也可以看到一些单字出现,而有出现单字,一般都表示有解密成功。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09