Η ερευνητική ομάδα ασφάλειας Τalos της εταιρείας Cisco κυκλοφόρησε πριν από μερικές ημέρες ένα δωρεάν εργαλείο αποκρυπτογράφησης για τα θύματα του ransomware TeslaCrypt, το οποίο μπορεί να χρησιμοποιηθεί για την αποκρυπτογράφηση των αρχείων που έχουν κλειδωθεί από το κακόβουλο λογισμικό.
Σύμφωνα με τους ερευνητές, το TeslaCrypt φαίνεται να βασίζεται στο ευρέως εξαπλωμένο ransomware CryptoLocker και χρησιμοποιεί συμμετρική κρυπτογράφηση AES, γεγονός που επέτρεψε στη Cisco να δημιουργήσει ένα εργαλείο για την αποκρυπτογράφηση των αρχείων των θυμάτων, χρησιμοποιώντας το κλειδί αποκρυπτογράφησης του Ransomware.
Είναι ενδιαφέρον ότι το TeslaCrypt προειδοποιεί για χρήση ισχυρής ασύμμετρης κρυπτογράφησης AES-2048 για το κλείδωμα των αρχείων των θυμάτων, ωστόσο κάτι τέτοιο δεν ισχύει.
Το TeslaCrypt στοχεύει διάφορους τύπους θυμάτων, συμπεριλαμβανομένων και PC gamers. Το κακόβουλο λογισμικό έχει τη δυνατότητα να κρυπτογραφεί αρχεία παιχνιδιών, όπως Game Saves και Steam activations keys. Μία από τις πιο αξιοσημείωτες δυνατότητες του Ransomware είναι ότι στoχεύει αρχεία που έχουν μεγάλη αξία για τους χρήστες, εξαναγκάζοντάς τους να καταβάλουν τα ζητούμενα λύτρα για την αποκρυπτογράφηση των αρχείων τους. Ένα Game Save για παράδειγμα, το οποίο μπορεί να είναι αποτέλεσμα αμέτρητων ωρών παιχνιδιού, είναι εξαιρετικά πολύτιμο για έναν παίχτη και πολύ δύσκολο να αντικατασταθεί.
Οι ερευνητές της Cisco κατάφεραν να εντοπίσουν και να αναλύσουν δύο δείγματα του Teslacrypt, πάνω στα οποία βασίστηκαν για την ανάπτυξη του εργαλείου αποκρυπτογράφησης.
«Με χρήση αντίστροφης μηχανικής, αναλύσαμε τον τρόπο που το TeslaCrypt λειτουργεί και καταφέραμε να αναπτύξουμε το εργαλείο βασιζόμενοι σε αυτό», ανέφερε ο ερευνητής ασφάλειας της Talos, Earl Carter. «Στο παρελθόν, έχουμε επίσης χρησιμοποιήσει αντίστροφη μηχανική και σε άλλα ransomware, όπως στο Cryptowall, στην περίπτωση αυτή όμως το ransomware χρησιμοποιούσε ασύμμετρη κρυπτογράφηση και η δημιουργία ενός εργαλείου δεν ήταν εφικτή».
Πρόσφατα, η Kaspersky Lab, κυκλοφόρησε επίσης ένα δωρεάν εργαλείο αποκρυπτογράφησης για τα θύματα του ransomware CoinVault. Η Kaspersky συνεργάστηκε με την Ολλανδική αστυνομία, η οποία κατάφερε να αποκτήσει πρόσβαση σε κλειδιά αποκρυπτογράφησης του CoinVault που ήταν αποθηκευμένα σε έναν command & control διακομιστή του Ransomware. Οι ερευνητές βασίστηκαν στα στοιχεία αυτά για τη δημιουργία ενός εργαλείου αποκρυπτογράφησης, το οποίο μπορεί να βρεθεί στον σύνδεσμο: https://noransom.kaspersky.com
Το εργαλείο δεν είναι 100 τοις εκατό αποτελεσματικό, αλλά, καθώς η έρευνα προχωρά, οι αστυνομικοί ελπίζουν να ανακαλύψουν νέα κλειδιά και να βελτιώσουν το ποσοστό επιτυχίας του λογισμικού αποκρυπτογράφησης.
