Как сообщает издание Bleeping Computer, в старых версиях программы-шифровальщика TeslaCrypt выявлена уязвимость, которая дала экспертам возможность изучить механизм работы вымогательского программного обеспечения и обнаружить способ расшифровки пораженных файлов.
В настоящее время хакеры повсеместно используют разные вариации троянской программы TeslaCrypt. Недавно появилась ее новая разновидность – TeslaCrypt 3.0. Создатели вируса обновили алгоритм шифрования и внедрили новые расширения для пораженных файлов (.MICRO, .TTT, .XXX). Почти в одно время с обнаружением новой разновидности вымогательской программы появилась информация о том, что в предыдущих версиях вируса была найдена уязвимость, которая дает возможность восстанавливать файлы, имеющие расширения .AAA, .ABX, .CCC, .ECC, .EXX, .EZZ, .VVV, .XYZ и .ZZZ.
Вымогательская программа по умолчанию использует алгоритм шифрования AES. В рамках данного алгоритма для шифрования и расшифровки файлов применяется один и тот же ключ, вследствие чего весь процесс становится проще и быстрее. Однако из-за этого страдает надежность шифрования.
Разработчики TeslaCrypt придумали интересное решение: для всех файлов жертвы используется один и тот же ключ шифрования, однако после этот ключ шифруется с помощью более стойкого алгоритма, а информация о нем прячется внутри каждого зашифрованного файла.
Впервые с последствиями использования нового механизма шифрования столкнулись специалисты «Лаборатории Касперского», когда те оказывали пострадавшим от TeslaCrypt помощь в восстановлении файлов. Позже доступ к этой информации получил пользователь форума Bleeping Computer, который известен под ником Googulator. Он создал несколько скриптов на Python для того, чтобы проводить анализ файлов, зашифрованных TeslaCrypt, и извлекать из них AES-ключ в его конечной форме. Данная разработка была названа автором TeslaCrack и размещена на GitHub. На основе TeslaCrack был создан TeslaDecoder – приложение для Windows, которое помогает осуществлять расшифровку файлов, пострадавших от старых версий TeslaCrypt.
Разработка инструмента для расшифровки держалась в строжайшем секрете, чтобы создатели TeslaCrypt раньше времени не узнали о нем. Как оказалось, исследователю и пострадавшим от вредоносной программы в расшифровке AES-ключей помогало множество волонтеров.
На расшифровку AES-ключа может уходить от пяти минут до нескольких дней, поскольку иногда для этого необходимы большие вычислительные мощности.
Атмосфера строгой секретности, окружавшая процесс создания TeslaDecoder, в итоге не помогла, поскольку в версии TeslaCrypt 3.0 создатели вируса устранили уязвимость, позволявшую извлекать AES-ключи.