28.09.2016
LJ
23° / 8°

Zato se bodo izsiljevalci obrisali pod nosom

Končno se je pojavilo orodje za dekodiranje datotek, ki so jih zaklenili izsiljevalski trojanski programi TeslaCrypt. Doslej je bila edina rešitev za povračilo datotek plačilo 500 dolarjev.

Najboljša zaščita pred izsiljevalskimi programi je uporaba kakovostnih protivirusnih programov in redno izdelovanje varnostnih kopij pomembnih podatkov.

Na spletni strani bleepingcomputer.com so objavili rešitev ob napadu z izsiljevalskimi virusi TeslaCrypt, ki poizkuša najti kodirni ključ za odkodiranje datotek s podaljški .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC in .VVV. Trenutno žal ni rešitve za podaljške .TTT, .XXX in .MICRO. Doslej je bila edina rešitev za povračilo datotek plačilo odkupnine izsiljevalcem. Sedaj se lahko z uporabo namenskega programa TeslaViewer pridobi del ključa in s pomočjo programa TeslaRefactor izračuna ključ za dekriptiranje, so sporočili iz Amisa.

Postopek dekodiranja je po navedbah Amisa naslednji:

- Na disku se oblikuje nov imenik in vanj razpakira datoteki TeslaDecoder.zip ter yafu.zip.
- Odpre se TeslaViewer in z "Browse" poišče eno od zakodiranih datotek. Izpišejo se različne vrednosti, ki jih z "Create work.txt" shranimo v datoteko.
- Odpremo datoteko work.txt in poiščemo desetiško vrednost SharedSecret1*PrivateKeyBC v delu dec.
- Vrednost skopiramo na naslov factordb.com in poiščemo nasprotno vrednost.

Ključavnica
Doslej je bila edina rešitev po okužbi TeslaCrypt plačilo odkupnine. (Foto: Thinkstock)
Med izračunom ključa za dekriptiranje se izvajajo kompleksne matematične operacije, tako da lahko izračun traja od nekaj minut do nekaj ur ali celo dni.

- Če za vrednost že obstaja ustrezna nasprotna vrednost, se pred rezultatom izpiše status FF.
- Če se izpiše CF, poženemo še tuneX86.bat (32-bitni računalniki) oziroma tuneX64.bat (64-bitni računalniki). Proces traja nekaj minut. Ko program konča z delom, poženemo še factorX86.bat (32-bitni računalniki) oziroma factorX64.bat (64-bitni računalniki), skopiramo desetiško vrednost SharedSecret*PrivateKeyBC in v "Amount of Threads" število jeder našega računalnika zmanjšano za 1 (koliko jih imamo, izvemo, če odpremo "Upravitelj opravil"/"Task manager", "Učinkovitost delovanja" in spodaj pogledamo vrednost "Jedra"). Program bo pričel izračunavati vrednosti, postopek lahko traja od nekaj sekund do nekaj dni.
vrednosti iz naslova factordb.com (če je vrednost skrajšana - ima podpisano dolžino, npr <43>, kliknemo nanjo da dobimo celotno) oziroma vrednosti, ki smo jih dobili s pomočjo programa Yafu, vnesemo v program TeslaRefactor po eno na vrstico (samo vrednosti desno od enačaja, če smo jih računali s programom Yafu), v polje "Public key (hex)" pa skopiramo vrednost PublicKeyBC.
- S tipko "Find private key" poizkusimo najti dekodirni ključ. Če postopek ni uspešen, odstranimo kljukico pri "Optimization" in vnovič poizkusimo.
- Če se je v polju "Private key (hex)" izpisala vrednost, odpremo program TeslaDecoder, kliknemo na "Set Key" in vrednost skopiramo v polje "Key (hex)". Pod "Extension" izberemo podaljšek, ki so ga dobile kriptirane datoteke.
- Z "Decrypt Folder" izberemo mapo, v kateri se nahajajo kriptirane datoteke. Pojavi se okno, če želimo pobrisati zakodirane datoteke ("Do you want to delete original encrypted files after decryption?"). Priporočamo, da tukaj izberete "Ne". Program bo sedaj dekodiral datoteke v mapi.
- Če je bil postopek dekriptiranja uspešen, se v mapi sedaj nahajajo odkodirane datoteke z originalnimi podaljški.

Največ žrtev izsiljevalskega virusa TeslaCrypt v Sloveniji je bilo konec lanskega novembra in v začetku decembra. Največ jih je bilo zaklenjenih s podaljškom .VVV. Virus se je širil po elektronski pošti, zašifriral datoteke na disku in zahteval plačilo odkupnine v višini 500 dolarjev (461 evrov). Sporočilo je imelo za zadevo datum in čas v ameriški obliki (recimo: “11/24/2015 9:20:27 AM” ali “11/28/2915 10:22:58 AM”). Vsebina je bila prazna, v prilogi pa je bila ZIP datoteka - love.zip ali img.zip, lahko pa tudi doc_u54kDZ.

Ob odprtju se je v njej nahajala javascript datoteka (s končnico .js). Virus se je presnel ob kliku. Zašifriral je dokumente, slike in druge datoteke, se izbrisal z računalnika in po datotečnih mapah odložil navodilo za plačilo odkupnine v 160 urah. Zašifriral je tudi datoteke na vseh dostopnih omrežnih diskih, so pojasnili v SI-CERT.

FB članek - join us

Pošlji sporočilo

Tvoja E-pošta:

E-pošta prejemnika:

Kratko sporočilo:

Glasuj

Prenesi v

Komentarjev: 1
oxy.elite 29.01.2016 09:18:58
Torej TeslaCrypt lahko žašifrira tudi datoteke, ki jih imamo v DropBoxu, v klikor imamo nameščen programček za prenos in sinhronizacijo datotek v oblak?
Več komentarjev

Iskanje

 

Anketa

Ali se dobro počutite v službi?

calculate
glossary
indexes
indexes