فا

‫ رمزگشايي فايل‌هاي رمزشده توسط باج‌افزار TeslaCrypt

رمزگشايي فايل‌هاي رمزشده توسط باج‌افزار TeslaCrypt


توسعه‌دهندگان نسخه‌هاي قديمي بدافزار تسلاكريپت، در هنگام توليد كليدهاي خصوصي و عمومي در انتخاب اعداد اول دقت لازم را لحاظ ننموده‌‌اند و از اين رو مي‌توان در مدت زمان قابل قبولي فاكتورهاي اول كليد عمومي را استخراج و با استفاده از آن‌ها كليد خصوصي را محاسبه نمود. به عبارت ديگر، به خاطر وجود اين آسيب‌پذيري مي‌توان فايل‌هاي رمز شده توسط نسخه‌هاي قديمي اين باج‌افزار را بدون نياز با تعامل با سازندگان بدافزار و پرداخت باج، با استفاده از قدرت محاسباتي كامپيوترهاي معمولي رمزگشايي نمود (رمزگشايي فايل ها مي تواند از 5 دقيقه تا چند روز به طول بيانجامد). البته اين نقص در نسخه  TeslaCrypt 3.0 برطرف شده است.
باج افزار TeslaCrypt بعد از رمزنگاري فايل ها، آن ها را با پسوندهاي مختلفي ذخيره مي كند. در حال حاضر فايل‌هايي با پسوندهاي زير قابل رمزگشايي هستند:
.ECC, .EZZ, EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV

البته با توجه به برطرف شدن اين نقص در نسخه جديد باج افزار، فايل هايي با پسوندهاي .TTT ، .XXX و .MICRO قابل رمزگشايي نيستند.
نقص موجود در اين باج افزار در واقع در الگوريتم رمزنگاري مورد استفاده نيست، بلكه در ارتباط با نحوه توليد و ذخيره سازي كليد رمزنگاري در سيستم قرباني مي باشد. باج افزار TeslaCrypt براي رمزنگاري فايل ها از الگويتم AES استفاده مي كند كه يك الگوريتم رمز متقارن مي باشد و براي رمزنگاري و رمزگشايي فايل ها از يك كليد يكسان استفاده مي كند. هر بار كه اين باج افزار شروع به كار مي كند، يك كليد AES جديد توليد مي شود و در يك فايل كه در طول نشست مربوطه رمزنگاري مي شود، ذخيره خواهد شد. اين بدين معني است كه ممكن است تعدادي از فايل ها بر روي سيستم قرباني با كليدي متفاوت نسبت به ديگر فايل ها رمز شده باشند. از آنجايي كه قرار است كليد رمزنگاري درون يك فايل رمزشده ذخيره شود، بايد به روشي امن اين كار انجام شود (به طوري كه قرباني نتواند به راحتي كليد رمزنگاري را از درون فايل رمزشده استخراج كند). براي محافظت از اين كليد، باج افزار ابتدا كليد رمزنگاري را با استفاده از يك الگوريتم ديگر رمزنگاري مي كند و پس از آن اين كليد رمزشده را در يك فايل رمزشده ذخيره مي كند.
البته طول كليد ذخيره شده در برابر قدرت محاسباتي سيستم هاي امروزي به اندازه كافي قوي نيست و قابل رمزگشايي مي باشد. به طوري كه مي توان با استفاده از برنامه هاي خاصي اين اعداد بزرگ را تجزيه و عامل-هاي اول آن را به‌دست آورد. پس از به‌دست آوردن عامل هاي اول،  مي توان از روي اين عامل ها كليد رمزنگاري فايل ها را مجدداً توليد كرد.
براي رمزگشايي فايل هايي كه با باج افزار TeslaCrypt 2.0 رمز شده اند و داراي پسوندهاي زير مي باشند (داراي يكي از پسوندهاي .ECC، .EZZ، .EXX، .XYZ، .ZZZ، .AAA، .ABC، .CCC و .VVV مي‌باشند)، مي توان با استفاده از اسكريپتي كه به زبان پايتون نوشته شده است، كليد خصوصي رمزنگاري را به‌دست-آورده و فايل ها را رمزگشايي كرد. اين اسكريپت در مسير زير قرار دارد:
https://github.com/Googulator/TeslaCrack

اسكريپت unfactor.py موجود در مسير فوق، با تجزيه عامل هاي اول كليد رمزنگاري سعي در به‌دست آوردن آن مي كند. اسكريپت teslacrack.py با بررسي header مربوط به فايل هاي رمزشده و استخراج كليد رمزنگاري با استفاده از unfactor.py ، فايل ها را رمزگشايي مي كند. براي استفاده از اين اسكريپت بايد پايتون بر روي سيستم نصب شده باشد. توضيحات كامل مربوط به نصب پايتون، نصب اسكريپت فوق و نحوه استفاده از اين اسكريپت را مي توان در همان آدرس مشاهده نمود.



نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 9 اسفند 1394

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0