TeslaCrypt 勒索解密指南

jishuzhain 看雪学院 2021-03-07

本文为看雪论坛优秀文章

看雪论坛作者ID：jishuzhain

一、摘要

TeslaCrypt 是一个曾经专事勒索的木马程序。而当前该程序已宣告终止，加密密钥也已被其开发者公布。ESET 公司据其密钥已开发出对应的解密软件。

早期的 TeslaCrypt 针对电脑游戏数据进行加密。新版本的 TeslaCrypt则像其他勒索软件一样，对用户的其他文件一并加密。在早期版本中，TeslaCrypt 会对其已知的 40 款游戏中共 185 种的文件类型进行加密，包括使命召唤、魔兽世界、Minecraft、战车世界等游戏进行加密。

受加密的文件包括存储在受害者磁碟上的游戏数据、玩家账户数据、自定义地图、游戏模块等。

新版本的 TeslaCrypt 则向其他勒索软件看齐，将受害者的 Microsoft Word、PDF、JPEG 等文件一起加密。每一位受害者都会被提示要缴出等值于 500 美元的比特币赎金，才能让被加密的文件解密。虽然和另一个著名的勒索软件 CryptoLocker 有相似之处，TeslaCrypt 却未与其共享代码，而是独立开发的病毒。

TeslaCrypt 利用 Anglar Adobe Flash 漏洞潜入受害者的电脑。虽然该恶意软件声称其使用的加密方式为公开密钥加密（非对称加密），思科公司的网络安全公司 Talos 却发现该病毒实际上使用的是对称密钥加密，并据此开发出了一款破解工具。

这个弱点在下一次的改进中被修正了，因此遭受 2.0 版 TeslaCrypt 攻击的电脑无法利用此套工具进行解密。

在 2015 年 11 月，卡巴斯基实验室的研究员已经在私底下获得了 2.0 版本病毒的弱点细节，但是他们小心的屏蔽消息，避免对外传开，以免让病毒开发者有机会再次进行补强。

不过到了隔年（2016 年）的 1 月时，他们发现 3.0 版本的 TeslaCrypt 已经修正了该弱点。JoeSecurity 公司对该病毒进行过全面的分析，并且在该公司的网站上公开了病毒活动的细节。

2016 年 5 月，TeslaCrypt 的开发者宣布停止勒索行为，并对外发布了加密的主密钥。在数天后，ESET 发布了一个程序，能用该加密密钥还原受害者被锁住的文件。

二、起因

日常浏览论坛的时候发现有小伙伴对该勒索进行了分析，[原创]带混淆的勒索病毒 https://bbs.pediy.com/thread-255523.htm。

笔者学习恶意代码分析有几个月了，主要还是对勒索病毒进行分析，毕竟现在勒索病毒的流行程度实在是太高了。

个人挺气愤这种黑客行为。自然，有关勒索病毒的资讯都会格外关注。对文章中提及的样本进行分析后发现是 TeslaCrypt 勒索，而正巧的是该勒索是可以解密的。为了不误导后来人，这里就详细记录下。

文中给出的结论是无法解密，如下：

本文就总结一下，几个月来研究并分析勒索软件的一点心得，当初次遇到未知勒索时，该如何应对。

三、分析

当我们拿到一个恶意软件，且知道是勒索样本时，如何去着手获取需要的信息呢？

>>>>
判断勒索家族

首先是需要判断该勒索是否已经出现过，并是否有被分析人员给分析后归类了，这里的话主要是通过搜索勒索核心样本的 hash 值（有些勒索软件会通过外壳程序进行伪装）。

举例的话就拿文章给的例子举例吧，hash 为：DBD5BEDE15DE51F6E5718B2CA470FC3F

通过 virustotal 搜索到样本如下：

https://www.virustotal.com/gui/file/9651d0cbca5c0affc47229c33be182b67e7bfbc09d08fd2d1c3eb2185bb29cdf

很多引擎标记出了 TeslaCrypt 勒索，此时并不能完全相信给出的标记，很有概率会存在误判，因为后续还需要很多信息结合后才能进一步判定。

1. 加密后缀

勒索软件加密文件后，大部分情况下会对源文件名进行重命名，所以新的文件后缀（加密后缀）通常也是判断勒索软件属于哪个家族的指标。

2. 联系邮箱

邮箱是非常重要的指标，因为大部分情况下想解密都得通过邮箱与黑客取得联系。

3. 勒索信

勒索信的信息也是分类勒索软件的指标之一，由于勒索软件是由不同制作者制作的，所以会有不同的个人习惯，但勒索信它会给出很详细的信息，并给出相应的联系方式与用户自己本地生成的个人 ID 值。

4. 代码相似度

代码相似度的话要求分析人的水平较高，需要有相关的一定量的家族样本收集，这里就不再介绍了。

以上信息收集完毕后，就进行下一阶段，针对性的在搜索引擎中搜索是否有相应的勒索病毒。如果搜到相关符合的家族后，就搜索是否有相关的解密工具已发布。上述纯手工去采集信息与进行搜索，效率上会比较慢，前期学习的话可以多试试，后期的话这里推荐一个国外的勒索识别站点

https://id-ransomware.malwarehunterteam.com/identify.php?case=c541fccfde0350c891261a5059ff0e4e7be1da21

>>>>
搜索解密软件

拿上面的 TeslaCrypt 勒索进行举例，通过搜索引擎搜索到了思科发布了有关的文章与解密工具，Threat Spotlight: TeslaCrypt - Decrypt It Yourself - Cisco Blogs https://blogs.cisco.com/security/talos/teslacrypt

最后描述写道，更新了开发者释放的加密密钥 3.x/4，随后发现也能在刚刚识别出的勒索家族站点里找到解密参考链接，如下：

TeslaCrypt shuts down and Releases Master Decryption Key https://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/ 文章里写道，解密密钥已公开发布，可以将TeslaDecoder 更新到 1.0 版，以便它可以解密 3.0 版和 4.0 版 TeslaCrypt 加密的文件。这意味着被 TeslasCrypt 加密文件后，后缀带有.xxx，.ttt，.micro，.mp3 或没有扩展名的加密文件现在都可以免费解密文件。

经过对比，思科发布的没有相关的解密工具使用流程，而在 bleepingcomputer 站点介绍了解密工具的使用方式，所以这里就考虑选择该站点的工具进行下载，思科的作为备用。

四、解密演示

拿到样本后，本地运行后让系统被加密，模拟受害者，加密完成后，生成的勒索信如下：

文字版勒索信，如下：

删除卷影，防止恢复文件。

每个目录下，都会存在这两个勒索信文件。

找一个已经被加密的文件，进行查看。

接下来就使用上述下载的解密工具对其解密，先设置 key，如下：

由于该样本加密后，不会改变文件名后缀，所以选择扩展名为初始。

设置完 key 后，就可以解密文件了，如下：

为了防止解密失败，最好是备份一下原文件。

查看刚刚的文件，确实解密成功了，如下：

五、总结

幸好该勒索的开发者良心发现，公布了加密密钥，不然确实无法解密，后来想了想，即使勒索软件来势凶猛，我们也要努力去分析，尽力去攻破并阻止它，相信正义终会胜利的。

六、参考

https://zh.wikipedia.org/zh-cn/TeslaCrypt

- End -

看雪ID：jishuzhain

https://bbs.pediy.com/user-678001.htm

*本文由看雪论坛 jishuzhain 原创，转载请注明来自看雪社区。

SMETA 7.0 升级培训

赋红码的张书记，重出江湖

外商来华直接投资，降至1994年以来最低

不同肤色的人种，其实是天下一家亲！

中国发布新芯片，准备好迎接挑战