Fajlove koje su šifrovale starije verzije ransomwarea TeslaCrypt je moguće vratiti
Vesti, 21.01.2016, 01:00 AM
Više od meseca dana, stručnjaci kompanije Kaspersky i korisnici foruma Bleeping Computer krišom su pomagali žrtvama ransomwarea TeslaCrypt da vrate svoje fajlove. To je bilo moguće zahvaljujući grešci u načinu na koji se enkripcijski ključevi čuvaju na računarima žrtava.
Ova informacija da fajlovi koje je šifrovao ransomware TeslaCrypt mogu biti dešifrovani morala je da ostane tajna jer bi inače autor malvera saznao za to i ispravio propust.
Međutim, nedavno je objavljena nova verzija ransomwarea TeslaCrypt, verzija 3.0, sa kojom je ovaj propust ispravljen, pa je Bleeping Computer odlučio da objavi informacije o tome kako žrtve mogu generisati ključ za dešifrovanje fajlova koje je šifrovao TeslaCrypt a koji imaju ekstenzije .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABX, .CCC, i .VVV.
Nažalost, trenutno nije moguće dešifrovati fajlove koje su šifrovale novije verzije ransomwarea, koje koriste .TTT, .XXX i .MICRO ekstenzije.
Propust nije bio u enkripcijskom algoritmu, već u tome kako se enkripcijski ključevi čuvaju na računaru žrtve. Kada TeslaCrypt šifruje fajlove on koristi AES enkripcijski algoritam, koji koristi isti ključ za šifrovanje i dešifrovanje fajla. Svaki put kada je TeslaCrypt bio ponovo pokrenut, novi AES ključ bi se generisao i sačuvao u fajlovima koji su kriptovani tokom te sesije. To znači da neki fajlovi na računaru žrtve mogu biti šifrovani sa različitim ključevima u odnosu na neke druge fajlove. Pošto je autor ransomwarea želeo da sačuva ove enkripcijske ključeve u svakom šifrovanom fajlu, on je morao da se pobrine za to da žrtva ne može da ekstrahuje svoj ključ i dešifruje svoje fajlove. Da bi zaštitio taj ključ, autor TeslaCrypta bi najpre koristio drugi algoritam za širfovanje ključa, i zatim bi sačuvao informacije o ovom šifrovanom ključu u svakom šifrovanom fajlu.
Najpre su to otrkili stručnjaci Kaspersky Laba koji su pomogli nekim svojim korisnicima da dešifruju fajlove bez plaćanja kriminalcima. Oni su odlučili da je bolje da ovo ostane tajna jer nisu želeli da autor malvera sazna za ovaj propust.
Ipak, za ovo se nekako saznalo a ubrzo zatim član foruma Bleeping Computer, “Googulator”, je objavio da je otkrio kako da pomogne žrtvama TeslaCrypta i objavio Pythons kripte koje su omogućavale analizu fajlova koje je zaključao Tesla Crypt i ekstrakciju AES ključa. On je svoj metod objavio na GitHub pod nazivom TeslaCrack. Kao i Kaspersky Lab, i Bleeping Computer nije želeo da autor malvera sazna za ovo, pa je otvorena psoebna tema na forumu što je omogućilo žrtvama ransomwarea da traže pomoć. Pomoć su pružili volonteri, među kojima je bilo i nekadašnjih žrtava ovog malvera. Oni su uložili i vreme i svoje kompjuterske resurse da bi pomogli žrtvama, što je u nekim slučajevima trajalo pet minuta, a u nekim i po nekoliko dana.
Nažalost, za mnoge žrtve proces vraćanja fajlova je bio veoma zbunjujući i one su se teško snalazile sa tim.
U isto vreme, BloodDolly, autor TeslaDecodera, objavio je nove verzije svojih alata koji rade na Windowsu, i koji su jednostavniji za korišćenje i uz pomoć kojih žrtve mogu vratiti fajlove koje su šifrovale starije verzije ransomwarea.
Bleeping Computer se zahvalio korisnicima foruma i stručnjacima Kaspersky Laba koji su pomogli žrtvama TeslaCrypta.
Izdvojeno
Hakerska grupa Matrix koristi veliki IoT botnet za DDoS napade
Istraživači firme Aqua Nautilus upozoravaju na DDoS napade ruskog hakera ili hakerske grupe Matrix, koja koristi ranjivosti i pogrešne konfiguracij... Dalje
Malver koristi stari Avastov drajver da bi deaktivirao različite antivirusne programe na sistemima
Istraživači sajber-bezbednosti iz firme Trellix otkrili su novi napad koji koristi tehniku poznatu kao Bring Your Own Vulnerable Driver (BYOVD) da b... Dalje
Za skoro polovinu sajber napada odgovorno je svega nekoliko ransomware grupa
Prema istraživanju Corvus Insurance, pet ransomware grupa odgovorno je za 40% svih sajber-napada u trećem kvartalu 2024. Podaci iz izveštaja osigu... Dalje
Sajber kriminalci imaju novu trik: malver šalju poštom
Sajber kriminalci imaju novi trik za inficiranje uređaja malverom: slanje pisama, pravih pisama sa poštanskom markicom, koja sadrže zlonamerne QR k... Dalje
Lažni AI generator slika i video snimaka krade podatke sa Windows i macOS računara
Malveri Lumma Stealer i AMOS trenutno se šire preko veb sajtova na kojima se nudi aplikacija koja se lažno predstavlja kao AI generator slika i vide... Dalje
Pratite nas
Nagrade