Зашифрованные вымогателем TeslaCrypt файлы можно будет расшифровывать


Cisco Talos GroupTeslaCrypt - вредоносное ПО, шифрующее файлы видеоигр и связанных с ним программное обеспечение, а затем вымогающий оплату за их расшифровку. Данный вредонос разработан по типу вредоносной программы Cryptolocker.

В настоящее время эксперты из Cisco Talos Group разрабатывают инструмент для восстановления зашифрованных TeslaCrypt документов. На первый взгляд, по уведомлению о выкупе, которое демонстрируется на инфицированных компьютерах, эксперты предположили, что TeslaCrypt использует ассиметричное шифрование, основанное на криптосистеме с открытым ключом. Т.е., информация шифруется открытым ключом, расположенным на системе, а чтобы дешифровать эту информацию, необходимо использовать личный ключ, который находится в руках злоумышленников.

Однако, после тщательного анализа данной вредоносной программы, удалось установить, что крипто-вымогатель шифрует файлы с помощью симметрического алгоритма AES, использующего один и тот же ключ для шифрования и дешифровки. Некоторые версии TeslaCrypt, после инфицирования компьютера жертвы, сохраняют крипто-ключ в файле под названием key.dat. Однако большинство из них удаляют его по окончанию шифрования документов.

Тот инструмент, который разрабатывается специалистами Cisco, способен восстановить зашифрованный контент при наличии ключа в файле key.dat. В настоящее время эксперты пытаются осуществить реверс-инжиниринг алгоритма с целью восстановления универсального крипто-ключа. В случае успеха, у пользователей появится возможность расшифровывать документы, которые были зашифрованы версиями TeslaCrypt, удаляющими универсальный ключ.


Обновлено (29.04.2015 19:47)