3 de mayo de 2015

TESLADECRYPT. Descifra archivos cifrados por ciertas versiones de TeslaCrypt

El grupo de investigación de amenazas online Talos (de Cisco) ha publicado un estudio sobre el ransomware TeslaCrypt, en el que destaca la posibilidad de descifrar los archivos cifrados por éste sin la necesidad de pagar el rescate en algunas de sus versiones.
TeslaCrypt es un ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) que afecta a plataformas Windows, aparentemente derivado del famoso CryptoLocker. Además de los objetivos habituales (fotos, vídeos, documentos...), TeslaCrypt se caracteriza por tener como objetivos adicionales partidas guardadas de videojuegos y archivos relacionados con iTunes.
 Las versiones más modernas de ransomware suelen implementar una infraestructura de clave pública, que les permite evitar que la clave de descifrado de los archivos resida en algún momento en el sistema infectado. Con lo que irremediablemente sería necesario pagar a los atacantes para obtener la clave, lo que no se recomienda por no tener garantía de que se vaya a obtener efectivamente. O confiar en la posibilidad de que las bases de datos con las claves privadas (las necesarias para descifrar los archivos) sean recuperadas por alguna operación contra la infraestructura usada por el ransomware y las ponga a disposición de los infectados (como ya ocurrió en la Operación Tovar contra CryptoLocker).
TeslaCrypt, afortunadamente, en algunas versiones no usa este tipo de cifrado. A pesar de anunciar en el mensaje que aparece tras la infección que usa el criptosistema RSA (de clave pública, o asimétrico), tras un análisis en profundidad, los investigadores de Talos han descubierto que usa el criptosistema AES (asimétrico). Concretamente, lo que hace es generar una clave maestra partir de diversa información del sistema operativo (por ejemplo, información sobre la memoria física, procesos en ejecución...) y números aleatorios resultantes de llamadas a la API Windows Crypto. Esta clave se almacena en un fichero llamado 'key.dat', presente en la carpeta 'Application Data' perteneciente al usuario, y se usa para cifrar los archivos. Además, se envía esta clave a servidores en control de los atacantes. Al usar un criptosistema simétrico, la misma clave usada para cifrar es usada para descifrar, y esto es lo que aprovecha TeslaDecrypt, la herramienta desarrollada por Talos para descifrar los archivos.
 Por desgracia, otras versiones de TeslaCrypt (presumiblemente las más nuevas), generan una clave de recuperación derivada de la clave maestra que almacenan en un fichero llamado 'RECOVERY_KEY.TXT' en la carpeta de documentos del usuario, y eliminan la clave maestra del fichero 'key.dat'. Uno de los investigadores de Talos, Andrea Allievi, está trabajando en un algoritmo que permita recuperar la clave maestra a partir de la clave de recuperación, pero no puede asegurar que esto sea posible (dependerá del criptosistema usado y si su implementación contiene alguna vulnerabilidad), y recomienda estar pendiente del blog de Talos para futuras actualizaciones.
Recomendación
  • TeslaDecrypt, la herramienta que proporcionan los investigadores de Talos para descifrar los archivos cifrados en el caso de que la clave maestra no haya sido eliminada, puede ser encontrada en la siguiente URL: http://labs.snort.org/files/TeslaDecrypt_exe.zip
  • Sus instrucciones de uso, una versión en Python y el código fuente del binario se pueden encontrar en el blog oficial de Talos. Se recomienda hacer una copia de seguridad de los archivos encriptados antes de ejecutar la herramienta.
Más información:
Fuente: Hispasec
Publicado por en
Etiquetas: , ,