CHKLST.RU

TeslaCrypt: война за цифровую безопасность

отредактировано May 2016 Раздел: Шифровирусы шумной толпою
С шифратором Teslacrypt впервые столкнулся в декабре 2015 года. В одном из электронных сообщений клиентов было архивное вложение с кодированным js
var n=new Array();
H(n,"\x6a");H(n,"\x28");H(n,"\x43");H(n,"\x40");H(n,"\x35");H(n,"\x49");H(n,"\x66");H(n,"\x66");H(n,"\x3f");H(n,"\x6e");H(n,"\x49");H(n,"\x52");H(n,"\x2c");H(n,"\x2b");H(n,"\x73");H(n,"\x31");H(n,"\x32");H(n,"\x3a");H(n,"\x48");H(n,"\x31");H(n,"\x61");H(n,"\x4b");H(n,"\x42");H(n,"\x6f");H(n,"\x3b");H(n,"\x66");H(n,"\x55");H(n,"\x51");H(n,"\x34");H(n,"\x79");H(n,"\x21");H(n,"\x37");H(n,"\x6d");H(n,"\x38");H(n,"\x5e");H(n,"\x30");H(n,"\x2d");H(n,"\x60");H(n,"\x76");H(n,"\x74");H(n,"\x5d");H(n,"\x55");H(n,"\x5d");H(n,"\x67");H(n,"\x70");H(n,"\x4d");H(n,"\x34");H(n,"\x3a");H(n,"\x72");H(n,"\x77");H(n,"\x2d");H(n,"\x7......
после запуска js на виртуальной машине получил шифрование тестовых документов с расширением *.vvv + записку о выкупе, как и положено для типичного ransomware (how_recover+uuh.txt):
NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
....
с приглашением посетить сайт на сервере злоумышленников в Tor


судя по образу автозапуска, снятого из зашифрованной системы, шифрование было выполнено достаточно свежим экземпляром шифратора.
Создан 24.12.2015 в 13:44:31
Изменен 24.12.2015 в 09:22:17

TimeStamp 17.12.2015 в 22:13:18

SHA1 6D83E33C7B7EA44A0B54AA4BF6EE56A32A904CEF
MD5 E582A201F559FA982D67855D5A080C76

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1561517-2383145346-4023368784-1000\Software\Microsoft\Windows\CurrentVersion\Run\santa_svc
santa_svc C:\Users\safety\AppData\Roaming\crnsdacroic.exe
повторный тест привел к тому, что шифратор из виртуальной машины смог "дотянуться" до части файлов из профиля физической машины. Хм. Пришлось в предновогодние дни искать решение по расшифровке Teslacrypt не дожидаясь ответа из вирлаба: возможно ли расшифровка по Teslacrypt.vvv или нет.

С решением по расшифровке помогли на Bleepingcomputer.com. Отмечу слаженную работу команды этого форума. Ключ был оперативно вычислен после запроса и отправлен в PM вместе с декодером и комментариями к методике расшифровки от админа сайта.
Hi.

I have a good news for you.
I found the key.

- Please download the latest version of my TeslaDecoder
(http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip)
- Run TeslaDecoder as administrator (needed for hidden/system/personal folders)
- Click on Set key button, put there this key and choose extension of your encrypted files:
359EF1B394C6922BD50462905B5F085D6107EE90A6FE293047708384E8C98E8A
- Click on Set key
- You can decode encrypted files now

It should be working for all your encrypted files, but if any error will occur please let me know.

BloodDolly
Т.о. образом, форум BC предоставил полноценную методику по расшифровке всех на тот момент времени вариантов Teslacrypt. Данная методика содержится в Instructions.html.

Многие из пострадавших от Teslacrypt, благодаря данной методике стали активно помогать в расшифровке файлов для новых посетителей форума. Это явление было отмечено администрацией форума.
A Special Thanks to our Helpers and Volunteers

I would like to send a special thanks to those volunteers who sacrificed their precious time to help victim's of TeslaCrypt. A very special thanks go to BloodDolly, Googulator, VirusD, Demonslay335, NightbirD, vilhavekktesla, al1963Goosea, the encryption gurus at Kaspersky, Quietman7, and the numerous other volunteers who have spent huge amounts of time helping the TeslaCrypt victims at BleepingComputer.com. Without your help there would be many people who would have lost their data.
Как отметил один из волонтеров, в случае с vvv было выиграно сражение, но не война.

За это время хакерами были выпущены новые версии TeslaCrypt по которым (начиная с 3.0.0) расшифровка в настоящее время (еще) невозможна.
List of known versions of Tesla/AlphaCrypt: (Their version numbering)
=========================================================================
.ecc 0.2.5 - 0.3.6b
.ezz 0.3.7 - 0.3.7b
.exx 0.4.0 - 0.4.1a
.xyz 1.0.0, 1.0.1
.zzz 2.0.0 - 2.0.4a
.aaa 2.0.4b - 2.0.5a
.abc 2.0.5a, 2.0.5b, 2.1.0
as original 2.1.1 (probably only test version, because they went back to version 2.1.0)
.ccc 2.1.0a, 2.1.0b, 2.1.0c, 2.1.0d, 2.2.0
.vvv 2.2.0
.xxx/.ttt./.micro 3.0.0
.micro/.mp3 3.0.0a
.mp3 3.0.1, 4.0
as original 4.0+
текущая версия Teslacrypt - 4.2
Тэги темы:

Комментарии

  • отредактировано January 2017 PM
    Неожиданно! фантастика!

    получен мастер-ключ Tesla, который подходит для расшифровки всех файлов Tesla3,4+

    TeslaCrypt shuts down and Releases Master Decryption Key

    Теперь, когда ключ дешифрования был сделан общедоступным, это позволило BloodDolly, эксперту по TeslaCrypt, обновить TeslaDecoder до версии 1.0, так что он может расшифровать версии 3.0 и версии 4.0 TeslaCrypt зашифрованных файлов. Это означает, что любой, кто имеет TeslasCrypt зашифрованы в Teslacrypt файлы с расширением .xxx, .ttt, .micro, .mp3 или зашифрованные файлы без расширения теперь может расшифровать свои файлы бесплатно!

    ****************
    * TeslaDecoder *
    ****************
    ==========
    = 1.0.0 =
    ==========
    - Added 4th PrivateKyTesla into TeslaDecoder. All files encrypted by TeslaCrypt 3.0.0 - 4.2 can be decrypted.
    The key is predefined when extension of TeslaCrypt 3/4 is choosen in Set key dialog.

    http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/
  • safety написал:

    В одном из электронных сообщений клиентов было архивное вложение с кодированным js

    У меня тут вопросы странные назрели:
    1. А сам скрипт не расшифровавали?
    2. что он именно делал? дропер?
    3. нет полного листинга?
    проверка подписи3
  • отредактировано January 2017 PM
    NEMMO написал:

    safety написал:

    В одном из электронных сообщений клиентов было архивное вложение с кодированным js

    У меня тут вопросы странные назрели:
    1. А сам скрипт не расшифровавали?
    2. что он именно делал? дропер?
    3. нет полного листинга?
    как правило подобный js загружает исполняемый exe из сети и передает ему управление. Листинг есть. В некоторых, поздних версиях Tesla (v3) скрипты были совсем прозрачные, с явным указанием адреса.
    (Tesla (v4) распространялась через эксплойт кит Angler-EK)
    Это похоже на разделение труда. Разработчики шифратора делают свою работу, а дистрибьютеры, которые экплуатируют код, пишут средства доставки. Что-то подобное было с разработчиками скрипта Nemucod. Они через свой js в разное время распространяли Ransom.Shade/better_call_saul, потом свой шифратор Nemucod, теперь Ransom.Shade/da_vinci_code.
  • safety написал:

    В некоторых, поздних версиях Tesla (v3) скрипты были совсем прозрачные, с явным указанием адреса.

    можешь в личку скинуть код этого доставщика (который прозрачный), есть желание покопаться в его недрах, спасибо
    проверка подписи3
  • NEMMO написал:

    safety написал:

    В некоторых, поздних версиях Tesla (v3) скрипты были совсем прозрачные, с явным указанием адреса.

    можешь в личку скинуть код этого доставщика (который прозрачный), есть желание покопаться в его недрах, спасибо
    ответил.

Войдите или Зарегистрируйтесь чтобы комментировать.