首页
社区
课程
招聘
[原创]TeslaCrypt 勒索解密指南
发表于: 2019-11-21 22:58 7445

[原创]TeslaCrypt 勒索解密指南

2019-11-21 22:58
7445
TeslaCrypt 是一个曾经专事勒索的木马程序。而当前该程序已宣告终止,加密密钥也已被其开发者公布。ESET 公司据其密钥已开发出对应的解密软件。早期的 TeslaCrypt 针对电脑游戏数据进行加密。新版本的 TeslaCrypt则像其他勒索软件一样,对用户的其他文件一并加密。在早期版本中,TeslaCrypt 会对其已知的 40 款游戏中共 185 种的文件类型进行加密,包括使命召唤、魔兽世界、Minecraft、战车世界等游戏进行加密。受加密的文件包括存储在受害者磁碟上的游戏数据、玩家账户数据、自定义地图、游戏模块等。新版本的 TeslaCrypt 则向其他勒索软件看齐,将受害者的 Microsoft Word、PDF、JPEG 等文件一起加密。每一位受害者都会被提示要缴出等值于 500 美元的比特币赎金,才能让被加密的文件解密。虽然和另一个著名的勒索软件 CryptoLocker 有相似之处,TeslaCrypt 却未与其共享代码,而是独立开发的病毒。TeslaCrypt 利用 Anglar Adobe Flash 漏洞潜入受害者的电脑。虽然该恶意软件声称其使用的加密方式为公开密钥加密(非对称加密),思科公司的网络安全公司 Talos 却发现该病毒实际上使用的是对称密钥加密,并据此开发出了一款破解工具。这个弱点在下一次的改进中被修正了,因此遭受 2.0 版 TeslaCrypt 攻击的电脑无法利用此套工具进行解密。在 2015 年 11 月,卡巴斯基实验室的研究员已经在私底下获得了 2.0 版本病毒的弱点细节,但是他们小心的屏蔽消息,避免对外传开,以免让病毒开发者有机会再次进行补强。不过到了隔年(2016 年)的 1 月时,他们发现 3.0 版本的 TeslaCrypt 已经修正了该弱点。JoeSecurity 公司对该病毒进行过全面的分析,并且在该公司的网站上公开了病毒活动的细节。2016 年 5 月,TeslaCrypt 的开发者宣布停止勒索行为,并对外发布了加密的主密钥。在数天后,ESET 发布了一个程序,能用该加密密钥还原受害者被锁住的文件。

2 起因

日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm。笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。

文中给出的结论是无法解密,如下:
日常浏览论坛的时候发现有小伙伴对该勒索进行了分析,[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm。笔者学习恶意代码分析有几个月了,主要还是对勒索病毒进行分析,毕竟现在勒索病毒的流行程度实在是太高了。个人挺气愤这种黑客行为。自然,有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索,而正巧的是该勒索是可以解密的。为了不误导后来人,这里就详细记录下。

文中给出的结论是无法解密,如下:


本文就总结一下,几个月来研究并分析勒索软件的一点心得,当初次遇到未知勒索时,该如何应对。

3 分析

当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?

3.1 判断勒索家族

首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F
通过 virustotal 搜索到样本如下:
https://www.virustotal.com/gui/file/9651d0cbca5c0affc47229c33be182b67e7bfbc09d08fd2d1c3eb2185bb29cdf
当我们拿到一个恶意软件,且知道是勒索样本时,如何去着手获取需要的信息呢?
首先是需要判断该勒索是否已经出现过,并是否有被分析人员给分析后归类了,这里的话主要是通过搜索勒索核心样本的 hash 值(有些勒索软件会通过外壳程序进行伪装)。举例的话就拿文章给的例子举例吧,hash 为:DBD5BEDE15DE51F6E5718B2CA470FC3F
通过 virustotal 搜索到样本如下:
https://www.virustotal.com/gui/file/9651d0cbca5c0affc47229c33be182b67e7bfbc09d08fd2d1c3eb2185bb29cdf


很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。

3.1.1 加密后缀

勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。

3.1.2 联系邮箱

邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。

3.1.3 勒索信

勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。

3.1.4 代码相似度

代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。

以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
https://id-ransomware.malwarehunterteam.com/identify.php?case=c541fccfde0350c891261a5059ff0e4e7be1da21


3.2 搜索解密工具

拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt




最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:


TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。

经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。

4 解密演示

拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:



文字版勒索信,如下:
----------------------------------------------------
NOT YOUR LANGUAGE? USE https://translate.google.com
What's the matter with your files?
Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA-4096 https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What exactly that means?
It means that on a structural level your files have been transformed . You won't be able to use , read , see or work with them anymore .
In other words they are useless , however , there is a possibility to restore them with our help .
What exactly happened to your files ???
*** Two personal RSA-4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key , which you received over the web .
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.
What should you do next ?
There are several options for you to consider :
*** You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
*** You can start getting BitCoins right now and get access to your data quite fast .
In case you have valuable files , we advise you to act fast as there is no other option rather
than paying in order to get back your data.
In order to obtain specific instructions , please access your personal homepage by choosing one of the few addresses down below :
http://uj5nj.onanwhit.com/B9B74EF16D0C198
http://2gdb4.leoraorage.at/B9B74EF16D0C198
http://9hrds.wolfcrap.at/B9B74EF16D0C198
If you can't access your personal homepage or the addresses are not working, complete the following steps:
*** Download TOR Browser - http://www.torproject.org/projects/torbrowser.html.en
*** Install TOR Browser and open TOR Browser
*** Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/B9B74EF16D0C198
*** Read instructions !!!
*** *** *** *** *** *** *** IMPORTANT INFORMATION *** *** *** *** *** ***
Your personal homepages
http://uj5nj.onanwhit.com/B9B74EF16D0C198
http://2gdb4.leoraorage.at/B9B74EF16D0C198
http://9hrds.wolfcrap.at/B9B74EF16D0C198
Your personal homepage Tor-Browser k7tlx3ghr3m4n2tu.onion/B9B74EF16D0C198
Your personal ID B9B74EF16D0C198

删除卷影,防止恢复文件。


每个目录下,都会存在这两个勒索信文件。


找一个已经被加密的文件,进行查看。



接下来就使用上述下载的解密工具对其解密,先设置 key,如下:



由于该样本加密后,不会改变文件名后缀,所以选择扩展名为初始。



设置完 key 后,就可以解密文件了,如下:



为了防止解密失败,最好是备份一下原文件。



查看刚刚的文件,确实解密成功了,如下:



5 总结

幸好该勒索的开发者良心发现,公布了加密密钥,不然确实无法解密,后来想了想,即使勒索软件来势凶猛,我们也要努力去分析,尽力去攻破并阻止它,相信正义终会胜利的。

6 参考

https://zh.wikipedia.org/zh-cn/TeslaCrypt
很多引擎标记出了 TeslaCrypt 勒索,此时并不能完全相信给出的标记,很有概率会存在误判,因为后续还需要很多信息结合后才能进一步判定。
勒索软件加密文件后,大部分情况下会对源文件名进行重命名,所以新的文件后缀(加密后缀)通常也是判断勒索软件属于哪个家族的指标。
邮箱是非常重要的指标,因为大部分情况下想解密都得通过邮箱与黑客取得联系。
勒索信的信息也是分类勒索软件的指标之一,由于勒索软件是由不同制作者制作的,所以会有不同的个人习惯,但勒索信它会给出很详细的信息,并给出相应的联系方式与用户自己本地生成的个人 ID 值。
代码相似度的话要求分析人的水平较高,需要有相关的一定量的家族样本收集,这里就不再介绍了。

以上信息收集完毕后,就进行下一阶段,针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后,就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索,效率上会比较慢,前期学习的话可以多试试,后期的话这里推荐一个国外的勒索识别站点
https://id-ransomware.malwarehunterteam.com/identify.php?case=c541fccfde0350c891261a5059ff0e4e7be1da21


3.2 搜索解密工具

拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt
拿上面的 TeslaCrypt 勒索进行举例,通过搜索引擎搜索到了思科发布了有关的文章与解密工具,Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt




最后描述写道,更新了开发者释放的加密密钥 3.x/4,随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接,如下:


TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。

经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。
TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道,解密密钥已公开发布,可以将TeslaDecoder 更新到 1.0 版,以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后,后缀带有.xxx,.ttt,.micro,.mp3 或没有扩展名的加密文件现在都可以免费解密文件。

经过对比,思科发布的没有相关的解密工具使用流程,而在 bleepingcomputer 站点介绍了解密工具的使用方式,所以这里就考虑选择该站点的工具进行下载,思科的作为备用。

4 解密演示

拿到样本后,本地运行后让系统被加密,模拟受害者,加密完成后,生成的勒索信如下:

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 2
支持
分享
最新回复 (2)
雪    币: 292
活跃值: (153)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
2
。。。。。。我还能说啥。我以为是一顿IDA分析。。。
2019-11-22 01:31
0
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
3
Dstlemoner 。。。。。。我还能说啥。我以为是一顿IDA分析。。。
2019-11-22 07:35
0
游客
登录 | 注册 方可回帖
返回
//