TeslaCrypt 勒索解密指南
2020-02-10 11:18:33 Author: mp.weixin.qq.com(查看原文) 阅读量:48 收藏


文章来源:看雪学院

文章作者:jishuzhain

原文链接:

https://bbs.pediy.com/thread-255755.htm

一、摘要
TeslaCrypt 是一个曾经专事勒索的木马程序。而当前该程序已宣告终止,加密密钥也已被其开发者公布。ESET 公司据其密钥已开发出对应的解密软件。
早期的 TeslaCrypt 针对电脑游戏数据进行加密。新版本的 TeslaCrypt则像其他勒索软件一样,对用户的其他文件一并加密。在早期版本中,TeslaCrypt 会对其已知的 40 款游戏中共 185 种的文件类型进行加密,包括使命召唤、魔兽世界、Minecraft、战车世界等游戏进行加密。
受加密的文件包括存储在受害者磁碟上的游戏数据、玩家账户数据、自定义地图、游戏模块等。
新版本的 TeslaCrypt 则向其他勒索软件看齐,将受害者的 Microsoft Word、PDF、JPEG 等文件一起加密。每一位受害者都会被提示要缴出等值于 500 美元的比特币赎金,才能让被加密的文件解密。虽然和另一个著名的勒索软件 CryptoLocker 有相似之处,TeslaCrypt 却未与其共享代码,而是独立开发的病毒。
TeslaCrypt 利用 Anglar Adobe Flash 漏洞潜入受害者的电脑。虽然该恶意软件声称其使用的加密方式为公开密钥加密(非对称加密),思科公司的网络安全公司 Talos 却发现该病毒实际上使用的是对称密钥加密,并据此开发出了一款破解工具。
这个弱点在下一次的改进中被修正了,因此遭受 2.0 版 TeslaCrypt 攻击的电脑无法利用此套工具进行解密。
在 2015 年 11 月,卡巴斯基实验室的研究员已经在私底下获得了 2.0 版本病毒的弱点细节,但是他们小心的屏蔽消息,避免对外传开,以免让病毒开发者有机会再次进行补强。
不过到了隔年(2016 年)的 1 月时,他们发现 3.0 版本的 TeslaCrypt 已经修正了该弱点。JoeSecurity 公司对该病毒进行过全面的分析,并且在该公司的网站上公开了病毒活动的细节。
2016 年 5 月,TeslaCrypt 的开发者宣布停止勒索行为,并对外发布了加密的主密钥。在数天后,ESET 发布了一个程序,能用该加密密钥还原受害者被锁住的文件。
二、起因
日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm
笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。
个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。
文中给出的结论是无法解密,如下:
本文就总结一下,几个月来研究并分析勒索软件的一点心得,当初次遇到未知勒索时,该如何应对。
三、分析
当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?

>>>>

判断勒索家族

首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。
举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F
通过 virustotal 搜索到样本如下:
https://www.virustotal.com/gui/file/9651d0cbca5c0affc47229c33be182b67e7bfbc09d08fd2d1c3eb2185bb29cdf
很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。

1. 加密后缀

勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。

2. 联系邮箱

邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。
3. 勒索信
勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。

4. 代码相似度

代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。
以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
https://id-ransomware.malwarehunterteam.com/identify.php?case=c541fccfde0350c891261a5059ff0e4e7be1da21

>>>>

搜索解密软件

拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt


最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:
TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。
经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。
四、解密演示
拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:

文字版勒索信,如下:
删除卷影,防止恢复文件。
每个目录下,都会存在这两个勒索信文件。
找一个已经被加密的文件,进行查看。

接下来就使用上述下载的解密工具对其解密,先设置 key,如下:

由于该样本加密后,不会改变文件名后缀,所以选择扩展名为初始。

设置完 key 后,就可以解密文件了,如下:

为了防止解密失败,最好是备份一下原文件。

查看刚刚的文件,确实解密成功了,如下:

五、总结
幸好该勒索的开发者良心发现,公布了加密密钥,不然确实无法解密,后来想了想,即使勒索软件来势凶猛,我们也要努力去分析,尽力去攻破并阻止它,相信正义终会胜利的。
六、参考
https://zh.wikipedia.org/zh-cn/TeslaCrypt
虽然现在疫情严重,但是华盟君的团队也没有停下解密勒索病毒的脚步,现在大家都在家,也是勒索者攻击的高发期,如果不小心中毒可以及时通过公众号留言或回复【勒索病毒】联系我们,我们会在第一时间帮你处理!

推荐文章++++

*某单位花197万解密勒索病毒!

*从新型冠状病毒看勒索病毒防范

*正义制裁-看直播被勒索


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650459688&idx=2&sn=ce3d75533ce93639cdde66df4e7dd390&chksm=83bbabccb4cc22da8088a1c801fc887234c4dc72839720a321b7ecd343f121d74fd5c250c579#rd
如有侵权请联系:admin#unsafe.sh