Разработан инструмент для восстановления зашифрованных TeslaCrypt файлов

Появившееся около года назад вымогательское ПО семейства TeslaCrypt содержит уязвимость, позволившую ИБ-экспертам разработать инструмент для восстановления зашифрованных им файлов. Как сообщил исследователь безопасности Лоуренс Абрамс (Lawrence Abrams), проблема связана со способом хранения ключей шифрования и затрагивает TeslaCrypt и TeslaCrypt 2.0. Уязвимость была исправлена в TeslaCrypt 3.0, однако файлы, зашифрованные более ранними версиями, можно восстановить без уплаты выкупа.

Данное семейство вредоносного ПО впервые было обнаружено в феврале прошлого года. Разработчики создали TeslaCrypt по типу шифровальщика Cryptolocker. В отличие от других вымогателей, вредонос способен шифровать не только фото, видео и текстовые документы, но также файлы, связанные с iTunes и видеоиграми.

Предоставленное экспертами решение TeslaCrack позволяет восстанавливать файлы, зашифрованные с расширением .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC и .VVV. Инструмент не восстанавливает файлы, зашифрованные новейшей версией TeslaCrypt с расширением .TTT, .XXX и .MICRO.

По словам Абрамса, уязвимость существует не в самом алгоритме шифрования, а в способе хранения ключей на компьютере жертвы. TeslaCrypt шифрует файлы с помощью алгоритма AES, использующего для шифрования и дешифровки один и тот же ключ. При каждой перезагрузке вредонос генерирует новый ключ и сохраняет его в файле, зашифрованном в течение сессии. В свою очередь ключи шифруются с помощью другого алгоритма и сохраняются в каждом зашифрованном файле. Там же сохраняется информация о зашифрованных ключах.

Методы и инструменты для восстановления файлов, зашифрованных TeslaCrypt, появились некоторое время назад, однако не предавались огласке с целью сохранить их в тайне от создателей вредоноса. С появлением TeslaCrypt 3.0 стали развиваться проекты наподобие TeslaCrack, предоставляющие широкому кругу пользователей возможность восстанавливать файлы без уплаты выкупа.