El grupo de investigación de amenazas online Talos (de Cisco) ha publicado un estudio sobre el ransomware TeslaCrypt, en el que destaca la posibilidad de descifrar los archivos cifrados por éste sin la necesidad de pagar el rescate en algunas de sus versiones.
TeslaCrypt es un ransomware (software que secuestra recursos
de un sistema informático y pide un rescate por su liberación) que afecta a
plataformas Windows, aparentemente derivado del famoso CryptoLocker. Además de
los objetivos habituales (fotos, vídeos, documentos...), TeslaCrypt se
caracteriza por tener como objetivos adicionales partidas guardadas de
videojuegos y archivos relacionados con iTunes.
Las versiones más
modernas de ransomware suelen implementar una infraestructura de clave pública,
que les permite evitar que la clave de descifrado de los archivos resida en
algún momento en el sistema infectado. Con lo que irremediablemente sería
necesario pagar a los atacantes para obtener la clave, lo que no se recomienda
por no tener garantía de que se vaya a obtener efectivamente. O confiar en la
posibilidad de que las bases de datos con las claves privadas (las necesarias
para descifrar los archivos) sean recuperadas por alguna operación contra la
infraestructura usada por el ransomware y las ponga a disposición de los
infectados (como ya ocurrió en la Operación Tovar contra CryptoLocker).
TeslaCrypt, afortunadamente, en algunas versiones no usa este
tipo de cifrado. A pesar de anunciar en el mensaje que aparece tras la
infección que usa el criptosistema RSA (de clave pública, o asimétrico), tras
un análisis en profundidad, los investigadores de Talos han descubierto que usa
el criptosistema AES (asimétrico). Concretamente, lo que hace es generar una
clave maestra partir de diversa información del sistema operativo (por ejemplo,
información sobre la memoria física, procesos en ejecución...) y números
aleatorios resultantes de llamadas a la API Windows Crypto. Esta clave se
almacena en un fichero llamado 'key.dat', presente en la carpeta 'Application
Data' perteneciente al usuario, y se usa para cifrar los archivos. Además, se
envía esta clave a servidores en control de los atacantes. Al usar un
criptosistema simétrico, la misma clave usada para cifrar es usada para
descifrar, y esto es lo que aprovecha TeslaDecrypt, la herramienta desarrollada
por Talos para descifrar los archivos.
Por desgracia, otras
versiones de TeslaCrypt (presumiblemente las más nuevas), generan una clave de
recuperación derivada de la clave maestra que almacenan en un fichero llamado
'RECOVERY_KEY.TXT' en la carpeta de documentos del usuario, y eliminan la clave
maestra del fichero 'key.dat'. Uno de los investigadores de Talos, Andrea
Allievi, está trabajando en un algoritmo que permita recuperar la clave maestra
a partir de la clave de recuperación, pero no puede asegurar que esto sea
posible (dependerá del criptosistema usado y si su implementación contiene
alguna vulnerabilidad), y recomienda estar pendiente del blog de Talos para
futuras actualizaciones.
Recomendación
- TeslaDecrypt, la herramienta que
proporcionan los investigadores de Talos para descifrar los archivos
cifrados en el caso de que la clave maestra no haya sido eliminada, puede
ser encontrada en la siguiente URL: http://labs.snort.org/files/TeslaDecrypt_exe.zip
- Sus instrucciones de uso, una versión en
Python y el código fuente del binario se pueden encontrar en el blog
oficial de Talos. Se recomienda hacer una copia de seguridad de los
archivos encriptados antes de ejecutar la herramienta.
Más información:
- Threat Spotlight: TeslaCrypt – Decrypt It
Yourself http://blogs.cisco.com/security/talos/teslacrypt
- There's now a decryption tool for TeslaCrypt
ransomware http://www.net-security.org/malware_news.php?id=3026
- New Utility Decrypts Data Lost to TeslaCrypt
Ransomware https://webimprints.wordpress.com/2015/04/28/new-utility-decrypts-data-lost-to-teslacrypt-ransomware/
- TeslaCrypt: Video game Safety 101 https://blog.malwarebytes.org/security-threat/2015/04/teslacrypt-videogame-safety-101/
- Cryptolocker victims to get files back for
free http://www.bbc.com/news/technology-28661463