رمزگشایی فایل‌های رمزشده توسط باج‌افزار TeslaCrypt

توسعه‌دهندگان نسخه‌های قدیمی بدافزار تسلاکریپت، در هنگام تولید کلیدهای خصوصی و عمومی در انتخاب اعداد اول دقت لازم را لحاظ ننموده‌‌اند و از این رو می‌توان در مدت زمان قابل قبولی فاکتورهای اول کلید عمومی را استخراج و با استفاده از آن‌ها کلید خصوصی را محاسبه نمود.

به عبارت دیگر، به خاطر وجود این آسیب‌پذیری می‌توان فایل‌های رمز شده توسط نسخه‌های قدیمی این باج‌افزار را بدون نیاز با تعامل با سازندگان بدافزار و پرداخت باج، با استفاده از قدرت محاسباتی کامپیوترهای معمولی رمزگشایی نمود (رمزگشایی فایل ها می تواند از 5 دقیقه تا چند روز به طول بیانجامد). البته این نقص در نسخه  TeslaCrypt 3.0 برطرف شده است.

باج افزار TeslaCrypt بعد از رمزنگاری فایل ها، آن ها را با پسوندهای مختلفی ذخیره می کند. در حال حاضر فایل‌هایی با پسوندهای زیر قابل رمزگشایی هستند:

.ECC, .EZZ, EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV

 

البته با توجه به برطرف شدن این نقص در نسخه جدید باج افزار، فایل هایی با پسوندهای .TTT ، .XXX و .MICRO قابل رمزگشایی نیستند.

نقص موجود در این باج افزار در واقع در الگوریتم رمزنگاری مورد استفاده نیست، بلکه در ارتباط با نحوه تولید و ذخیره سازی کلید رمزنگاری در سیستم قربانی می باشد. باج افزار TeslaCrypt برای رمزنگاری فایل ها از الگویتم AES استفاده می کند که یک الگوریتم رمز متقارن می باشد و برای رمزنگاری و رمزگشایی فایل ها از یک کلید یکسان استفاده می کند. هر بار که این باج افزار شروع به کار می کند، یک کلید AES جدید تولید می شود و در یک فایل که در طول نشست مربوطه رمزنگاری می شود، ذخیره خواهد شد. این بدین معنی است که ممکن است تعدادی از فایل ها بر روی سیستم قربانی با کلیدی متفاوت نسبت به دیگر فایل ها رمز شده باشند. از آنجایی که قرار است کلید رمزنگاری درون یک فایل رمزشده ذخیره شود، باید به روشی امن این کار انجام شود (به طوری که قربانی نتواند به راحتی کلید رمزنگاری را از درون فایل رمزشده استخراج کند). برای محافظت از این کلید، باج افزار ابتدا کلید رمزنگاری را با استفاده از یک الگوریتم دیگر رمزنگاری می کند و پس از آن این کلید رمزشده را در یک فایل رمزشده ذخیره می کند.

البته طول کلید ذخیره شده در برابر قدرت محاسباتی سیستم های امروزی به اندازه کافی قوی نیست و قابل رمزگشایی می باشد. به طوری که می توان با استفاده از برنامه های خاصی این اعداد بزرگ را تجزیه و عامل-های اول آن را به‌دست آورد. پس از به‌دست آوردن عامل های اول،  می توان از روی این عامل ها کلید رمزنگاری فایل ها را مجدداً تولید کرد. 

برای رمزگشایی فایل هایی که با باج افزار TeslaCrypt 2.0 رمز شده اند و دارای پسوندهای زیر می باشند (دارای یکی از پسوندهای .ECC، .EZZ، .EXX، .XYZ، .ZZZ، .AAA، .ABC، .CCC و .VVV می‌باشند)، می توان با استفاده از اسکریپتی که به زبان پایتون نوشته شده است، کلید خصوصی رمزنگاری را به‌دست-آورده و فایل ها را رمزگشایی کرد. این اسکریپت در مسیر زیر قرار دارد:

https://github.com/Googulator/TeslaCrack

 

اسکریپت unfactor.py موجود در مسیر فوق، با تجزیه عامل های اول کلید رمزنگاری سعی در به‌دست آوردن آن می کند. اسکریپت teslacrack.py با بررسی header مربوط به فایل های رمزشده و استخراج کلید رمزنگاری با استفاده از unfactor.py ، فایل ها را رمزگشایی می کند. برای استفاده از این اسکریپت باید پایتون بر روی سیستم نصب شده باشد. توضیحات کامل مربوط به نصب پایتون، نصب اسکریپت فوق و نحوه استفاده از این اسکریپت را می توان در همان آدرس مشاهده نمود. 

ارسال نظر

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتی