Создан инструмент для восстановления файлов, зашифрованных вымогателем TeslaCrypt

image

Теги: вымогатель, дешифрование, инструмент

Инструмент способен восстановить зашифрованный контент при наличии крипто-ключа в файле key.dat.

В марте этого года специалисты Bromium Labs  обратили  внимание общественности на появление нового крипто-вымогателя, разработанного по типу вредоносной программы Cryptolocker. Новый вредонос, получивший название TeslaCrypt, шифрует файлы видеоигр и связанное с ними ПО. В основном, такие файлы содержат профили игроков, сохраненные игры, режимы, риплеи и пр.

Эксперты из Cisco Talos Group  разрабатывают  инструмент для восстановления зашифрованных TeslaCrypt документов. Согласно уведомлению о выкупе, которое демонстрируется на инфицированных компьютерах, TeslaCrypt использует ассиметричное шифрование, основанное на криптосистеме с открытым ключом. Данное утверждение означает, что информация шифруется открытым ключом, расположенным на системе, а для ее дешифровки используется личный ключ, который находится в руках злоумышленников.

Однако, проанализировав вредоносную программу, исследователи выяснили, что крипто-вымогатель шифрует файлы с помощью симметрического алгоритма AES, использующего один и тот же ключ для шифрования и дешифровки. Инфицировав компьютер жертвы, некоторые версии TeslaCrypt хранят крипто-ключ в файле под названием key.dat, но большинство удаляет его по окончанию шифрования документов.

Инструмент, разрабатываемый специалистами Cisco, способен восстановить зашифрованный контент при наличии ключа в файле key.dat. В настоящее время эксперты пытаются осуществить реверс-инжиниринг алгоритма с целью восстановления универсального крипто-ключа. В случае успеха, пользователи получат возможность расшифровать документы, зашифрованные версиями TeslaCrypt, удаляющими универсальный ключ.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.