這是一個(gè)真實(shí)的案例：就在上個(gè)月，小編的朋友，一位銀行高管不慎點(diǎn)開(kāi)了一封郵件的附件，真真切切的遭遇了原本以為只有在FreeBuf上看到的“新鮮玩意”——勒索軟件。如同本文的主角TeslaCrypt一樣，他的電腦被徹底加密，只有依照軟件提示交付贖金才能恢復(fù)，這讓我的朋友欲哭無(wú)淚……

Cisco(思科)公司在對(duì)勒索軟件TeslaCrypt經(jīng)過(guò)長(zhǎng)期的分析后，近日發(fā)布了一款解密工具，這款工具能夠解密被TeslaCrypt勒索而加密的文件。

百科：勒索木馬

勒索軟件是一種近年來(lái)愈發(fā)流行的木馬，這些木馬會(huì)通過(guò)加密鎖定被感染的計(jì)算機(jī)，要求受害者支付贖金后才能返還控制權(quán)，否則你硬盤(pán)里的文件將永遠(yuǎn)被木馬加密了。勒索軟件近年來(lái)層出不窮，F(xiàn)reeBuf也進(jìn)行過(guò)大量報(bào)道。

目前一些安全公司已經(jīng)開(kāi)始開(kāi)發(fā)針對(duì)勒索軟件的解密工具。比如前不久，卡巴斯基與荷蘭國(guó)家高科技犯罪小組、荷蘭國(guó)家檢察官辦公室開(kāi)發(fā)了一款工具幫助用戶恢復(fù)被勒索木馬CoinVault加密的文件。截止4月17日，解密軟件數(shù)據(jù)庫(kù)中已有超過(guò)700個(gè)密鑰。

勒索軟件TeslaCrypt

TeslaCrypt是一款臭名昭著的勒索軟件CryptoLocker的變體，專攻那些熱門(mén)游戲的玩家，被它盯上的游戲包括：使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭(zhēng)霸、F.E.A.R、刺客信條、生化危機(jī)、魔獸世界、英雄聯(lián)盟以及坦克世界等超過(guò)20種。研究人員同時(shí)發(fā)現(xiàn)，Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用這款工具。

一旦感染計(jì)算機(jī)，TeslaCrypt就會(huì)加密計(jì)算機(jī)上的文件，然后指示受害者前往一個(gè)解密網(wǎng)站，受害者要支付2.5個(gè)比特幣(約550美元)才能恢復(fù)他們的文件。不過(guò)調(diào)查顯示截止今年4月16日，還沒(méi)有人支付贖金。

解藥來(lái)了

思科發(fā)布的TeslaCrypt解密工具需要key.dat文件，以恢復(fù)加密時(shí)使用的主密鑰。

“在執(zhí)行操作之前，程序會(huì)在用戶應(yīng)用數(shù)據(jù)目錄或當(dāng)前目前目錄搜索‘key.dat’文件，”思科Talos研究人員寫(xiě)道，“如果程序找不到key.dat文件，就會(huì)返回錯(cuò)誤自動(dòng)退出。”

如果能夠找到key.dat文件，用戶就可以指定解密那個(gè)文件或目錄。程序中還附帶了一些命令行選項(xiàng)，不僅能解密文件和目錄，還可以終止并刪除TeslaCrypt程序。

思科建議用戶在使用這款工具之前備份好經(jīng)過(guò)加密的文件。

思科還發(fā)布了不同版本的工具：Windows可執(zhí)行版本、Python腳本和工具的源碼。

Windows可執(zhí)行程序:

ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6

Python腳本:

ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e

Windows可執(zhí)行文件的源碼:

ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

“我們的工具還缺少了幾個(gè)功能。我們還沒(méi)時(shí)間實(shí)現(xiàn)從恢復(fù)密鑰中獲取主密鑰”思科研究員稱，“這個(gè)功能很重要，因?yàn)樵谀承㏕eslaCrypt版本中，文件加密過(guò)程完成后，主密鑰就從‘key.dat’文件移除了。”

通過(guò)分析發(fā)現(xiàn)，勒索軟件TeslaCrypt使用的其實(shí)是對(duì)稱的AES加密，而非軟件展示給受害者的警告中所說(shuō)的非對(duì)稱RSA-2048加密算法。游戲玩家們應(yīng)該注意，這款勒索軟件會(huì)加密保存的游戲和Steam的激活密鑰。