专访趋势科技勒索软件解密工具藏镜人

资安业者趋势科技在日前推出一款针对Cryptxxx和TeslaCrypt两款勒索软件的解密工具。刚开始，趋势科技的解密工具只针对受骇人数最多的Cryptxxx 2.0 版，和TeslaCrypt v1、v3和v4版，但现在已可以解密被Cryptxxx 1.0版、2.0版、3.0版，以及TeslaCrypt v1、v2、v3和v4版，和SNSLocker等三款勒索软件加密的档案。

这个解密工具Ransomware File Decrypto Tool，是趋势科技一个全球性的专案。其中，研发中心位于台湾的趋势科技全球核心技术部技术顾问骆一奇，是解密Cryptxxx 1.0版、2.0版和3.0版勒索软件加密档案的藏镜人之一。

骆一奇表示，趋势科技抢先全球解密Cryptxxx 3.0版，但他也提醒，除非拿到勒索软件Cryptxxx 3.0版作者自己制作的RSA解密私钥，否则，趋势的工具也只能回复原本档案的99.2％，还须仰赖第三方档案救援工具抢救其余遗失的档案。

解密工具必须针对不同勒索软件量身打造

骆一奇表示，该公司观察勒索软件的危害状况发现，这不像是APT（进阶持续性威胁）攻击，只是锁定特定的少部分人，勒索软件的危害是乱枪打鸟的状态，每个人都可能是勒索软件的受骇者，也形成一股人人自危的不安气氛。

为了解决使用者一旦中了勒索软件，电脑中的档案就会被加密，使用者只有遵照指示，支付300元～1,000元不等的美金，希望从勒索软件的作者取得解密的私钥，不然就只有自力救济一途。

但是，骆一奇表示，许多后来跟趋势科技求救的使用者中，也不乏已经付钱，但是仍然无法顺利将档案解密的情况。因此，解密工具的推出则是可以更快、更大规模协助使用者，免于勒索软件威胁的好方法。

目前勒索软件的种类繁多，每个勒索软件作者都使用不同的加密算法，骆一奇说，这也使得包括趋势科技推出的勒索软件解密工具，都必须针对不同的勒索软件，推出一对一的解密工具。“这也是为什么，到现在都没有办法出现一款万用解密工具的原因之一。”他说。

骆一奇分析，使用者为什么会被勒索软件锁定、进一步将电脑中的档案加密，其受骇途径几乎都是，使用者使用不安全的浏览器（没有修补漏洞并更新到最新版，多数是微软的IE浏览器）点击恶意连结后，使用者电脑就被植入勒索软件，而电脑中所有档案就被勒索软件加密，接着就会跳出警告视窗，要求使用者支付赎金以取得解密档案所需要的金钥。

骆一奇负责研发Cryptxxx勒索软件的解密工具，先针对受骇人数最多的2.0版研发，再增加可解密的范围，目前已可解密被Cryptxxx 1.0版和3.0版加密的档案。但他也坦言，勒索软件的作者也一直在精益求精，新版本勒索软件所采用的算法，都比前一个版本更复杂，也因此，他们要制作解密工具的难度也越来越高。

解密Cryptxxx 1.0版，要准备明文和密文档案解密

骆一奇在分析Cryptxxx 1.0版勒索软件时发现，该名作者是采用OFB性质的加密模组，因此，他便使用逆向工程找出算法弱点，透过明文及密文间的关系找回编码用的替换盒（S-Box），进而还原其他被加密的档案。

他进一步解释，解密被Cryptxxx 1.0版加密的档案时，必须要使用2种档案，原始档和被加密过的档案，作为解密该台电脑档案的基础，如提供一张该台电脑中原本就有档案，再输入一张对应原始档案但被勒索软件加密后的档案，就可以开始进行电脑的档案解密。

解密Cryptxxx 2.0版，团队找到加密算法弱点

许多勒索软件作者在推出新版后，都会提高加密算法的复杂程度。骆一奇指出，在分析Cryptxxx 2.0版勒索软件时发现，加密金钥使用两组不同的算法，其中，一组是RSA 1,024位元的加密算法（警告讯息表示是使用RSA 4,096位元加密算法），另外一组是512位元的变种RC4算法。

因为两种算法使用的密钥长度都很长，无法暴力破解，因此，全球趋势科技团队也在思索，该怎么去克服这个困难。后来更深入分析后，团队发现了一个算法的弱点，可以将512位元长度的金钥（Key）还原，利用还原的金钥搭配解密算法，就可以把Cryptxxx  2.0版加密的档案解开。

他指出，Cryptxxx  2.0版档案加密过程，是利用512位元变种RC4算法加密档案，然后将加密档案私钥，再利用RSA 1024位元算法去加密，最后，就可以把经过RSA加密后的私钥，塞到加密的档案中。一般人，不会知道勒索软件采用什么加密算法，不会知道加密算法彼此的关系。

骆一奇表示，因为针对Cryptxxx 2.0版的解密工具，并不需要搭配输入其他明文和密文档案，多数使用者都可以直接将档案解密，因此，2.0版勒索软件加密的档案，解密成功概率也最高。

Cryptxxx 3.0版，只能成功解密99.2％的档案内容

“Cryptxxx 3.0版解密方式，是奠基于Cryptxxx 2.0版的解密方式之上，不过，解密难度却是加倍提高。”骆一奇说。

为什么被Cryptxxx 3.0版加密档案无法完全解密？骆一奇表示，这是因为Cryptxxx 3.0版作者再度提高加密算法复杂度，每一个档案同时采用两种算法加密，前64个字节（Byte）使用RSA 1,024位元算法加密，后面的8,191字节，则使用变种RC4算法加密；接下来，下一个8,255字节的档案资料，就会先采用64字节的RSA加密和8,191字节的变种RC4加密的循环中，直到整个档案区块都加密完毕。

他指出，也因为每一次的加密循环中，都有64字节的档案，一定要使用作者的私钥才能成功解密，所以在档案解密的过程中，最终只能解出99.2％的档案。但骆一奇提醒，一般使用者是无法读取这个有资料部分遗失的档案，必须经由第三方业者，例如硬盘救援公司使用档案救援工具，将这个解密的档案修复到可以读取的程度。

经过修复的档案，有些时候会和原始档案有些许落差。他说，运气好的话，档案遗失的部分不重要，并不会影响使用者读取档案；但如果运气不好，说不定，档案重要的关键数字，就是无法救援的部分。

可以从加密档案的副档名，判断被哪一个勒索软件绑架

至于，使用者要如何判断，加密的档案究竟是被哪一个勒索软件绑架呢？骆一奇表示，目前解密工具都会自动判断，但如果没有解密工具时，简单的判定方式，可以从勒索软件加密后档案的副档名判断。

如果是被Cryptxxx 1.0版、2.0版和3.0版加密的档案，加密的档案都会在原本的档案后面，加上一个.crypt的副档名。他说，从副档名看不出来是被哪一个版本的勒索软件绑架，要进一步从加密的档案内容判断是哪一个版本，被Cryptxxx 2.0版和3.0加密的档案都会有一些特征在档案尾部，要去判断档案尾部区块的特征，才能知道是被Cryptxxx 2.0版或3.0加密，如果都没有这些档案特征，就是被Cryptxxx 1.0版加密。

如果被TeslaCrypt v1勒索软件加密，档名会在原本名称后加上.ECC；被TeslaCrypt v2所加密的档案，这个被加密后的档案格式则会在原本的档名后面，加上.VVV、CCC、ZZZ、AAA或ABC的副档名；被TeslaCrypt v3加密，档名会在原本档案名称后加上.XXX、TTT、MP3或MICRO的副档名；是被TeslaCrypt v4加密，档名和副档名不会有任何变更。至于被SNSLocker加密的档案，就会在原本的档名后面出现一个.rsnslocked副档名。

但是，如果是被TeslaCrypt v4勒索软件加密，因为原本被加密后档案会和之前的名称相同，所以，透过这个解密工具后，档案名称将会是原本的档名后面加上一个decrypted.后，再加上原本的副档名。例如，ithome.docx档案被TeslaCrypt v4勒索软件加密后，档名不会变更，若是使用这个解密工具后，顺利解密后的档案就会变成ithome.decrypted.docx。

但是，他说，要确认是否解密完成，可以在执行解密工具后，看看原本被加密的档案名称经过解密后，电脑中会多出一个与原本档名相同的档案。例如，有一个加密档案test.jpg.crypt，解密成功后，会出现一个test.jpg档，但是test.jpg.crypt还是会存在电脑中

如果有进阶IT技能的使用者，要判断是否解密成功，他建议，使用者可以使用16进制编辑器，去查看档案内容，可以从中辨识出一些英文字符，或者是直接到微软操作系统内建的记事本中，也可以看到一些单字出现，而有出现单字，一般都表示有解密成功。