Pagine

Visualizzazioni totali

martedì 14 giugno 2016

Come decriptare qualsiasi versione di TeslaCrypt con Cisco Talos Decryption Tool



Avevamo già spiegato come decriptare il file cifrati dal ransomware TeslaCrypt dopo che i criminali avevano rilasciato le chiavi di cifratura. Pochi giorni fa Cisco ha appena rilasciato un tool gratuito e open source per decriptare qualunque versione del ransomware TeslaCrypt e AlphaCrypt. Il TALOS TeslaCrypt Decryption Tool, in versione Windows, è scaricabile da questo link o direttamente dal repository su GitHub e funziona da linea di comando.
Il tool per decifrare i documenti criptati dal trojan TeslaCrypt, sviluppato e distribuito gratuitamente da Cisco, necessita solamente del file “key.dat” dal quale ricava la master key utilizzata per cifrare i file. All’avvio, il tool TALOS TeslaCrypt Decrypter cerca il file “key.dat” nella sua posizione originaria (la directory “Application Data” dell’utente) o nella cartella corrente. Se il tool non trova il file “key.dat” interrompe la sua esecuzione restituendo un errore.
I
l tool TALOS TeslaCrypt Decrypter di Cisco supporta i seguenti parametri da linea di comando:

/help – Mostra il messaggio di aiuto
/key – Specificare manualmente la master key per la decifratura (32 bytes/64 digits)
/keyfile – Specificare il percorso del file “key.dat” utilizzato per recuperare la master key
/file – Decifrare un file criptato
/dir – Decifrare tutti i file con estensione “.ecc” nella directory selezionata e nelle sottodirectory
/scanEntirePc –Decifrare tutti i file con estensione “.ecc” presenti nel computer
/KeepOriginal – Keep the original file(s) in the encryption process
/deleteTeslaCrypt – Interrompere ed eliminare il dropper TeslaCrypt (se attivo sul PC)

  • La Versione 1.0 del locker è in grado di decryptare qualunque file cifrato da qualunque versione dei cryptovirus TeslaCrypt eAlphaCrypt:
  • TeslaCrypt 0.x –  Cifra i file con l’algoritmo AES-256 CBC
  • AlphaCrypt 0.x -Cifra i file con l’algoritmo AES-256 e cifra la chiave con le Curve Ellittiche EC
  • TeslaCrypt 2.x – Come il precedente ma questo trojan cifrante usa le curve ellittiche per creare una chiave di recupero. L’applicazione è in grado di utilizzare la fattorizzazione per recuperare la chaive privata della vittima.
  • TeslaCrypt 3 & 4 – Per le ultime versioni del cryptor, TALOS TeslaCrypt Decryption Tool è in grado di recuperare i file cifrati grazie al alla chiave privata EC del C&C rilasciata dagli autori del ransomware.
Miglioramenti dell’applicazione di recupero dei file criptati TALOS:
  • Algoritmo di decifratura riscritto per gestire file grandi e occupare meno RAM
  • Aggiunto il supporto per l’algoritmo di fattorizzazione (TeslaCrypt 2.x) per ricostruire la chiave privata della vittima
  • Algoritmo per gestire e lanciare Msieve, analizzando il suo file di log
  • Agigunto supporto per TeslaCrypt 3.x e 4.x
  • Aggiunti algoritmi di verifica della chiave  (TeslaCrypt 2.x/3/4) per evitare di produrre file invalidi
  • Argomenti da linea di comando
  • Importata la chiave privata del Command & Control di  TeslaCrypt 3.x/4
Cisco precisa di eseguire un backup dei propri file criptati prima di lanciare il tool, dato che si tratta comunque di un software sperimentale fornito senza garanzie di alcun genere.
Si spera che Cisco, Kaspersky o altre case produttrici, visti questi successi, riescano a scoprire come decriptare ransomware come Cryptolocker, CTB-Locker, Locky, Crypt0l0cker, CryptXXX e i vari cryptovirus che stanno mietendo vittime in tutto il mondo.