ADVERTISEMENT
筆者先前有簡單過,當電腦遭受到勒索軟體感染後,惡意程式會將受害電腦中的檔案加密,讓使 用者無法正常開啟檔案,基本上遭加密的檔案因為無法自行解密,所以將再也無法開啟,只能以高價向攻擊者購買解密金鑰。但是目前已經有2款勒索軟體「慘遭破解」,使用者可以自行救回檔案。
Emsisoft提出解藥
簡單地說,勒索軟體就是應用非對稱式加密技術,將受害電腦中的檔案加密,導致檔案無法正常開啟或讀取,會造成資料毀損或程式無法正常執行等情況。由於受害者不知道正確的解密金鑰,所以無法自行解密,只能以高價向攻擊者購買解密金鑰,然而若是受害者沒有在期限內交付贖金,解密金鑰就會慘遭「撕票」,遭加密的檔案將再也無法開啟。
不過由於CrypBoss系列勒索軟體的程式碼被洩露在,所以給遭勒索軟體感染的電腦一線生機。奧地利資安公司Emsisoft的資安研究員Fabian Wosar在分析程式碼之後,成功破解該勒索軟體的加密演算法,並開發了解密程式,讓遭CrypBoss與其衍生勒索軟體(如HydraCrypt、UmbreCrypt)加密的檔案,可以解密還原成原始格式。
ADVERTISEMENT
不過Fabian Wosar也表示,因為HydraCrypt、UmbreCrypt雖然採用CrypBoss相同的演算法,但是開發者還是有稍做修改,所以會造成遭感染檔案的最後15Byte資料無法還原。
好在這些資料大多不太重要,許多檔案最後的片段屬於緩衝資料,可以透過檔案修復軟體重建,所以還是有很大的機會,能將檔案還原成原本的樣貌。
解密軟體的操作相當簡單,使用者需要準備下列2組檔案的其中1組
ADVERTISEMENT
1. 遭到加密與未遭加密的相同檔案
2. 遭到加密的PNG圖片檔案與任意PNG圖片檔案
只要將任意1組檔案拖曳到解密軟體的圖示上,解密軟體就能經過計算得到解密金鑰,於是使用者就可以透過這組解密金鑰還原被感染的檔案。
▲將上述任意1組檔案拖曳到解密軟體的圖示上,解密軟體就會自動分析。(圖片來源:,下同)
ADVERTISEMENT
▲經過計算之後可以得到解密金鑰,Emsisoft建議使用者可以先嘗試用該金鑰解密少數被感染的檔案,確認無誤後再將所有檔案還原。
解密軟體下載位置:
注意:該解密軟體與說明皆取自,筆者尚未親自測試。
再從原理分析,還是可行!
之前筆者分析勒索軟體難以破解的主要原因,就是因為不知道勒索軟體的原始碼與所採用的演算法,如今因為已經從原始碼得知演算法,所以就可以推算出勒索軟體所使用的加密金鑰與解密金鑰。
ADVERTISEMENT
雖然根據柯克霍夫原則第二條「系統內不應含任何機密物,即使落入敵人手中也不會造成困擾」,設計嚴謹的勒索軟體不應該會因原始碼洩露,就能被反推、製作出解密軟體。
但是筆者猜想,其中還有個關鍵因素,就是勒索軟體一定會將金鑰資訊回傳給攻擊者,這樣才能向受害者兜售解密金鑰。解密軟體很有可能就是從這個切入點下手,因此才能推算出正確的解密金鑰。
延伸閱讀:
ADVERTISEMENT