CrypBoss、HydraCrypt、UmbreCrypt 等勒索軟體已成功「破解」
原文網址:http://technews.tw/2016/02/18/crypboss-hydracrypt-umbrecrypt-crack/
筆者先前有簡單分析過,當電腦遭受到勒索軟體感染後,惡意程式會將受害電腦中的檔案
加密,讓使用者無法正常開啟檔案,基本上遭加密的檔案因為無法自行解密,所以將再也
無法開啟,只能以高價向攻擊者購買解密金鑰。但是目前已經有 2 款勒索軟體「慘劇破
解」,使用者可以自行救回檔案。
Emsisoft 提出解藥
簡單地說,勒索軟體就是應用非對稱式加密技術,將受害電腦中的檔案加密,導致檔案無
法正常開啟或讀取,會造成資料毀損或程式無法正常執行等情況。由於受害者不知道正確
的解密金鑰,所以無法自行解密,只能以高價向攻擊者購買解密金鑰,然而若是受害者沒
有在期限內交付贖金,解密金鑰就會慘遭「撕票」,遭加密的檔案將再也無法開啟。
不過由於 CrypBoss 系列勒索軟體的程式碼被洩露在 Pastebin,所以給遭勒索軟體感染
的電腦一線生機。奧地利資安公司 Emsisoft 的資安研究員 Fabian Wosar 在分析程式碼
之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,讓遭 CrypBoss 與其衍生
勒索軟體(如 HydraCrypt、UmbreCrypt)加密的檔案,可以解密還原成原始格式。
不過 Fabian Wosar 也表示,因為 HydraCrypt、UmbreCrypt 雖然採用 CrypBoss 相同的
演算法,但是開發者還是有稍做修改,所以會造成遭感染檔案的最後 15Byte 資料無法還
原。
好在這些資料大多不太重要,許多檔案最後的片段屬於緩衝資料,可以透過檔案修復軟體
重建,所以還是有很大的機會,能將檔案還原成原本的樣貌。
解密軟體的操作相當簡單,使用者需要準備下列 2 組檔案的其中 1 組
1. 遭到加密與未遭加密的相同檔案
2. 遭到加密的 PNG 圖片檔案與任意 PNG 圖片檔案
只要將任意一組檔案拖曳到解密軟體的圖示上,解密軟體就能經過計算得到解密金鑰,於
是使用者就可以透過這組解密金鑰還原被感染的檔案。
864b8923785f4d65b89f4295ef7706c3
▲ 將上述任意一組檔案拖曳到解密軟體的圖示上,解密軟體就會自動分析。(Source:
Emsisoft,下同)
becba3974e4ade2ee789c3075620bc6c
▲ 經過計算之後可以得到解密金鑰,Emsisoft 建議使用者可以先嘗試用該金鑰解密少數
被感染的檔案,確認無誤後再將所有檔案還原。
解密軟體下載位置:
http://emsi.at/DecryptHydraCrypt
注意:該解密軟體與說明皆取自 Emsisoft 官方部落格,筆者尚未親自測試。
再從原理分析,還是可行!
之前筆者分析勒索軟體難以破解的主要原因,就是因為不知道勒索軟體的原始碼與所採用
的演算法,如今因為已經從原始碼得知演算法,所以就可以推算出勒索軟體所使用的加密
金鑰與解密金鑰。
雖然根據柯克霍夫原則第二條「系統內不應含任何機密物,即使落入敵人手中也不會造成
困擾」,設計嚴謹的勒索軟體不應該會因原始碼洩露,就能被反推、製作出解密軟體。
但是筆者猜想,其中還有個關鍵因素,就是勒索軟體一定會將金鑰資訊回傳給攻擊者,這
樣才能向受害者兜售解密金鑰。解密軟體很有可能就是從這個切入點下手,因此才能推算
出正確的解密金鑰。
(本文由 T客邦 授權轉載;首圖來源:Flickr/Don Hankins CC BY 2.0)