相關文章

D6e4ed8d754645cd42a2a9ca5ef3068c 筆者先前有簡單分析過,當電腦遭受到勒索軟體感染後,惡意程式會將受害電腦中的檔案加密,讓使 用者無法正常開啟檔案,基本上遭加密的檔案因為無法自行解密,所以將再也無法開啟,只能以高價向攻擊者購買解密金鑰。但是目前已經有2款勒索軟體「慘遭破解」,使用者可以自行救回檔案。

Emsisoft提出解藥

簡單地說,勒索軟體就是應用非對稱式加密技術,將受害電腦中的檔案加密,導致檔案無法正常開啟或讀取,會造成資料毀損或程式無法正常執行等情況。由於受害者不知道正確的解密金鑰,所以無法自行解密,只能以高價向攻擊者購買解密金鑰,然而若是受害者沒有在期限內交付贖金,解密金鑰就會慘遭「撕票」,遭加密的檔案將再也無法開啟。

不過由於CrypBoss系列勒索軟體的程式碼被洩露在Pastebin,所以給遭勒索軟體感染的電腦一線生機。奧地利資安公司Emsisoft的資安研究員Fabian Wosar在分析程式碼之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,讓遭CrypBoss與其衍生勒索軟體(如HydraCrypt、UmbreCrypt)加密的檔案,可以解密還原成原始格式。

不過Fabian Wosar也表示,因為HydraCrypt、UmbreCrypt雖然採用CrypBoss相同的演算法,但是開發者還是有稍做修改,所以會造成遭感染檔案的最後15Byte資料無法還原。

好在這些資料大多不太重要,許多檔案最後的片段屬於緩衝資料,可以透過檔案修復軟體重建,所以還是有很大的機會,能將檔案還原成原本的樣貌。

解密軟體的操作相當簡單,使用者需要準備下列2組檔案的其中1組

1. 遭到加密與未遭加密的相同檔案

2. 遭到加密的PNG圖片檔案與任意PNG圖片檔案

只要將任意1組檔案拖曳到解密軟體的圖示上,解密軟體就能經過計算得到解密金鑰,於是使用者就可以透過這組解密金鑰還原被感染的檔案。

▲將上述任意1組檔案拖曳到解密軟體的圖示上,解密軟體就會自動分析。(圖片來源:Emsisoft,下同)

▲經過計算之後可以得到解密金鑰,Emsisoft建議使用者可以先嘗試用該金鑰解密少數被感染的檔案,確認無誤後再將所有檔案還原。

解密軟體下載位置:

http://emsi.at/DecryptHydraCrypt

注意:該解密軟體與說明皆取自Emsisoft官方部落格,筆者尚未親自測試。

再從原理分析,還是可行!

之前筆者分析勒索軟體難以破解的主要原因,就是因為不知道勒索軟體的原始碼與所採用的演算法,如今因為已經從原始碼得知演算法,所以就可以推算出勒索軟體所使用的加密金鑰與解密金鑰。

雖然根據柯克霍夫原則第二條「系統內不應含任何機密物,即使落入敵人手中也不會造成困擾」,設計嚴謹的勒索軟體不應該會因原始碼洩露,就能被反推、製作出解密軟體。

但是筆者猜想,其中還有個關鍵因素,就是勒索軟體一定會將金鑰資訊回傳給攻擊者,這樣才能向受害者兜售解密金鑰。解密軟體很有可能就是從這個切入點下手,因此才能推算出正確的解密金鑰。

延伸閱讀:

勒索軟體解析:技術上真的無法自行救回檔案

密碼保衛守則系列文章

Apple出包,你的SSL加密是否安全?SSL原理解析,從密碼學看加密技術的安全性

使用 Facebook 留言

まゆゆ
1.  まゆゆ (發表於 2016年2月19日 13:44)
文中說的 CrypBoss 在台灣聽都沒聽過受災案例!在台灣最多人中的不外乎 Crypt0L0cker、TeslaCrypt、CryptoWall 這三種勒索病毒,不知道這三種何時才能被破解成功?
好冷酒
2.  好冷酒 (發表於 2016年3月13日 20:33)
覺得最神奇的是:「CrypBoss系列勒索軟體的程式碼被洩露在Pastebin」

圈裡反?被不具名人士駭?( ゚Д゚)

發表回應

謹慎發言,尊重彼此。按此展開留言規則