CrypBoss、HydraCrypt、UmbreCrypt 等勒索软件已成功“破解”
原文网址:http://technews.tw/2016/02/18/crypboss-hydracrypt-umbrecrypt-crack/
笔者先前有简单分析过,当电脑遭受到勒索软件感染后,恶意程式会将受害电脑中的档案
加密,让使用者无法正常开启档案,基本上遭加密的档案因为无法自行解密,所以将再也
无法开启,只能以高价向攻击者购买解密金钥。但是目前已经有 2 款勒索软件“惨剧破
解”,使用者可以自行救回档案。
Emsisoft 提出解药
简单地说,勒索软件就是应用非对称式加密技术,将受害电脑中的档案加密,导致档案无
法正常开启或读取,会造成资料毁损或程式无法正常执行等情况。由于受害者不知道正确
的解密金钥,所以无法自行解密,只能以高价向攻击者购买解密金钥,然而若是受害者没
有在期限内交付赎金,解密金钥就会惨遭“撕票”,遭加密的档案将再也无法开启。
不过由于 CrypBoss 系列勒索软件的程式码被泄露在 Pastebin,所以给遭勒索软件感染
的电脑一线生机。奥地利资安公司 Emsisoft 的资安研究员 Fabian Wosar 在分析程式码
之后,成功破解该勒索软件的加密算法,并开发了解密程式,让遭 CrypBoss 与其衍生
勒索软件(如 HydraCrypt、UmbreCrypt)加密的档案,可以解密还原成原始格式。
不过 Fabian Wosar 也表示,因为 HydraCrypt、UmbreCrypt 虽然采用 CrypBoss 相同的
算法,但是开发者还是有稍做修改,所以会造成遭感染档案的最后 15Byte 资料无法还
原。
好在这些资料大多不太重要,许多档案最后的片段属于缓冲资料,可以透过档案修复软件
重建,所以还是有很大的机会,能将档案还原成原本的样貌。
解密软件的操作相当简单,使用者需要准备下列 2 组档案的其中 1 组
1. 遭到加密与未遭加密的相同档案
2. 遭到加密的 PNG 图片档案与任意 PNG 图片档案
只要将任意一组档案拖曳到解密软件的图示上,解密软件就能经过计算得到解密金钥,于
是使用者就可以透过这组解密金钥还原被感染的档案。
864b8923785f4d65b89f4295ef7706c3
▲ 将上述任意一组档案拖曳到解密软件的图示上,解密软件就会自动分析。(Source:
Emsisoft,下同)
becba3974e4ade2ee789c3075620bc6c
▲ 经过计算之后可以得到解密金钥,Emsisoft 建议使用者可以先尝试用该金钥解密少数
被感染的档案,确认无误后再将所有档案还原。
解密软件下载位置:
http://emsi.at/DecryptHydraCrypt
注意:该解密软件与说明皆取自 Emsisoft 官方部落格,笔者尚未亲自测试。
再从原理分析,还是可行!
之前笔者分析勒索软件难以破解的主要原因,就是因为不知道勒索软件的原始码与所采用
的算法,如今因为已经从原始码得知算法,所以就可以推算出勒索软件所使用的加密
金钥与解密金钥。
虽然根据柯克霍夫原则第二条“系统内不应含任何机密物,即使落入敌人手中也不会造成
困扰”,设计严谨的勒索软件不应该会因原始码泄露,就能被反推、制作出解密软件。
但是笔者猜想,其中还有个关键因素,就是勒索软件一定会将金钥资讯回传给攻击者,这
样才能向受害者兜售解密金钥。解密软件很有可能就是从这个切入点下手,因此才能推算
出正确的解密金钥。
(本文由 T客邦 授权转载;首图来源:Flickr/Don Hankins CC BY 2.0)