思科发布针对勒索软件TeslaCrypt的解密工具

这是一个真实的案例:就在上个月,小编的朋友,一位银行高管不慎点开了一封邮件的附件,真真切切的遭遇了原本以为只有在FreeBuf上看到的“新鲜玩意”——勒索软件。如同本文的主角TeslaCrypt一样,他的电脑被彻底加密,只有依照软件提示交付赎金才能恢复,这让我的朋友欲哭无泪……

Cisco(思科)公司在对勒索软件TeslaCrypt经过长期的分析后,近日发布了一款解密工具,这款工具能够解密被TeslaCrypt勒索而加密的文件。

百科:勒索木马

勒索软件是一种近年来愈发流行的木马,这些木马会通过加密锁定被感染的计算机,要求受害者支付赎金后才能返还控制权,否则你硬盘里的文件将永远被木马加密了。勒索软件近年来层出不穷,FreeBuf也进行过大量报道。

目前一些安全公司已经开始开发针对勒索软件的解密工具。比如前不久,卡巴斯基与荷兰国家高科技犯罪小组、荷兰国家检察官办公室开发了一款工具帮助用户恢复被勒索木马CoinVault加密的文件。截止4月17日,解密软件数据库中已有超过700个密钥。

勒索软件TeslaCrypt

TeslaCrypt是一款臭名昭著的勒索软件CryptoLocker的变体,专攻那些热门游戏的玩家,被它盯上的游戏包括:使命召唤、暗黑破坏神、异尘余生、Minecraft、魔兽争霸、F.E.A.R、刺客信条、生化危机、魔兽世界、英雄联盟以及坦克世界等超过20种。研究人员同时发现,Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用这款工具。

一旦感染计算机,TeslaCrypt就会加密计算机上的文件,然后指示受害者前往一个解密网站,受害者要支付2.5个比特币(约550美元)才能恢复他们的文件。不过调查显示截止今年4月16日,还没有人支付赎金。

解药来了

思科发布的TeslaCrypt解密工具需要key.dat文件,以恢复加密时使用的主密钥。

“在执行操作之前,程序会在用户应用数据目录或当前目前目录搜索‘key.dat’文件,”思科Talos研究人员写道,“如果程序找不到key.dat文件,就会返回错误自动退出。”

如果能够找到key.dat文件,用户就可以指定解密那个文件或目录。程序中还附带了一些命令行选项,不仅能解密文件和目录,还可以终止并删除TeslaCrypt程序。

思科建议用户在使用这款工具之前备份好经过加密的文件。

思科还发布了不同版本的工具:Windows可执行版本、Python脚本和工具的源码。

Windows可执行程序:

ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6

Python脚本:

ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e

Windows可执行文件的源码:

ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

“我们的工具还缺少了几个功能。我们还没时间实现从恢复密钥中获取主密钥”思科研究员称,“这个功能很重要,因为在某些TeslaCrypt版本中,文件加密过程完成后,主密钥就从‘key.dat’文件移除了。”

通过分析发现,勒索软件TeslaCrypt使用的其实是对称的AES加密,而非软件展示给受害者的警告中所说的非对称RSA-2048加密算法。游戏玩家们应该注意,这款勒索软件会加密保存的游戏和Steam的激活密钥。

作者:Sphinx

来源:51CTO

时间: 2024-11-02 18:32:36

思科发布针对勒索软件TeslaCrypt的解密工具的相关文章

专家困惑了:勒索软件TeslaCrypt解密主密钥公开

ESET研究人员联系TeslaCrypt背后的团队,并索要该勒索软件使用的私钥,他们得到的回复远超预期.TeslaCrypt团队的某个人告诉ESET,称该勒索软件已经关闭,并提供了TeslaCrypt主密钥,甚至还表示道歉. ESET已经创建了通用解密工具,让受勒索的任何人都可以恢复他们的数据.但对于TeslaCrypt突然发布主密钥的做法,专家感到很困惑. Digital Shadows公司联合创始人兼首席执行官Alastair Paterson表示:"该勒索软件突然关闭很奇怪,要知道Tesl

赛门铁克针对勒索软件WannaCry发布全球预警

2017年5月12日,全球爆发一种新型比特币勒索病毒家族的攻击,该勒索软件名为Ransom.CryptXXX(WannaCry).该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,其中,欧洲用户为重灾区. WannaCry勒索软件的特点: 感染后,WannaCry勒索软件将会加密受害者的数据文件,并要求用户支付约0比特币的赎金.攻击者表明,如果延迟支付,赎金将会在三天后增加一倍:如果延迟付款一个星期,加密文件将被删除. 勒索信息截图(中文)勒索信息截图(英文) 不仅如此,攻击者还留下一个

赛门铁克针对勒索软件Petya发布全球预警

昨晚,一个名为Petya的勒索软件开始大肆传播,许多企业遭遇攻击.与WannaCry勒索病毒类似,Petya同样是利用"永恒之蓝"漏洞实现传播. 企业是否能够抵御Petya勒索软件攻击? Symantec Endpoint Protection(SEP)解决方案和诺顿产品能够主动帮助用户抵御Petya勒索软件利用"永恒之蓝"漏洞进行传播.此外,赛门铁克SONAR行为检测技术同样能够主动防御Petya感染. 赛门铁克的产品已检测到Petya的组件Ransom.Pety

思科发布免费开源软件云管理平台OpenStack

为进一步显示对OpenStack项目的承诺,思科推出了这个开源软件http://www.aliyun.com/zixun/aggregation/14224.html">云管理平台的一个免费发布版.这个软件还包括虚拟网络和高可用性功能等其它服务. 思科已经成为OpenStack日益增多的已经发布开源软件代码的机构会员之一.这些会员与Red Hat.SUSE.Canonical和Ubuntu等Linux发布公司以及专营Rackspace和OpenStack的公司Piston Cloud Co

新勒索软件在受害者阅读两篇勒索软件文章后解密

安全研究员 Michael Gillespie 发现了 Koolova 勒索软件正在开发的新变种,该勒索软件要求受害者阅读两篇有关勒索软件的文章,然后将会提供免费的解密密钥.两篇文章分别是Google安全博客的"Stay safe while browsing",以及BleepingCompute的"Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom", Koolo

交通运输部发布针对手机软件召车征求意见通知

交通运输部页面截图新浪科技讯 5月27日 下午消息,今日交通运输部办公厅起草了一则征求意见通知,该通知为关于征求<关于促进手机软件召车等出租汽车电召服务有序发展的通知(征求意见稿)>(以下简称<通知>).<通知>草案中共8条规定:进一步促进 各类出租汽车电召服务协调有序发展:加快实现出租汽车服务管理信息共享:严格驾驶员终端软件发放与使用管理:逐步实现出租汽车电召服务统一接入管理:保障出租汽车电召服务安全规范:严格执行出租汽车价格管理规定:加强手机软件召车服务市场监管以及

花式勒索,仅去年12月新增33款勒索软件变种

前言 整个2016年,勒索软件呈现出集中的爆发态势.那么,到底爆发到了什么程度?来看一下12月份的统计数据,相当令人震惊:整个12月份,出现了32个新勒索软件样本,并出现了33个勒索软件的新变种.安全专家发布了9款勒索软件的解密工具,他们的工作还是很有成效的,但是,与出现的速度相比,还有很大差距. 下面我们按照时间,来具体说明每天发生的勒索事件.及反勒索事件. 12月1日 (1)Matrix勒索软件首次出现,并使用了GnuPG加密系统 研究人员在实际环境中发现了一款新型勒索木马,叫做"Matri

发票 发票 Necurs僵尸网络也开假发票 实则传播Locky勒索软件

思科Talos安全研究人员称,Necurs垃圾邮件僵尸网络通过发送伪装成虚假发票的信息传播 Locky勒索软件 .去年,Locky跻身为勒索软件前列,幕后主推手为Necurs僵尸网络,两者活动密切相关. 2017年 Necurs僵尸网络像火山一样开始活跃 2017年3月, Necurs僵尸网络整合垃圾邮件.勒索软件.DDoS攻击三种功能, 随后在4月Necurs开始传播Locky勒索软件.大约在5月12日,Necurs开始传播一种新的 勒索软件Jaff ,而 WannaCry勒索软件 在同一天首

解密勒索软件 遭到疯狂报复 Enjey勒索软件在攻击 cloudflare防护在等待

勒索软件Enjey对ID Ransomware在线服务实施了DDoS攻击, 因为 ID Ransomware索引了勒索软件作者刚发布的软件,而且居然还发现了方法,解密他的勒索软件. ID Ransomware服务宕机了4个小时 勒索软件Enjey在Twitter上声明对此次攻击负责,随后在跟媒体的沟通中提供了一段攻击ID Ransomware的代码.随后他发动了第二次DDoS攻击,证明那确实是他.但这个时候已经引起了ID Ransomware的注意,并且到现场应对第二次攻击.在这次攻击期间,服务