Cabecera-v2-web.jpg

Herramienta para desencriptar archivos encriptados por Teslacrypt


Se ha encontrado una vulnerabilidad en el ransomware Teslacrypt, la cual ha permitido recuperar archivos encriptados por este ransomware. A fines de noviembre del año pasado se observó un aumento importante de campañas de distribución de una nueva versión de Teslacrypt, a través de correos electrónicos con adjuntos .zip.

Teslacrypt es un ransomware,un tipo de software malicioso (malware) que encripta los archivos, exigiendo que la ví­ctima pague un "rescate" de 500 hasta 1000 US$ para desencriptarlos.

scrypt.jpg

Investigadores han descubierto una vulnerabilidad en el ransomware, que permite la desencripción de aquellos archivos encriptados por las versiones anteriores a Teslacrypt 3.0, la cual añade extensiones .ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, y .VVV a los archivos encriptados.

La vulnerabilidad se encuentra en la manera en que se almacenan las claves de cifrado en el ordenador de la ví­ctima. Cuando TeslaCrypt encripta los archivos utiliza el algoritmo de cifrado AES, un algoritmo de cifrado simétrico, es decir, que utiliza la misma clave para cifrar y descifrar un archivo. Cada vez que se reinicia TeslaCrypt, se genera una nueva clave AES y se almacena en los archivos que fueron cifrados durante esta sesión. Esto significa que algunos archivos en la máquina de la ví­ctima podrí­a ser cifrados con una clave diferente a otros archivos. Dado que los desarrolladores de Teslacrypt querí­an almacenar estas claves en todos los archivos cifrados, necesitaban una manera de asegurar que la ví­ctima no pudiera simplemente extraer su clave y descifrar sus archivos. Para proteger esta clave, los desarrolladores utilizaron otro algoritmo, ECDH, para cifrar esta clave y luego almacenar la información de esta clave cifrada en cada archivo cifrado. La robustez del algoritmo ECDH se basa, principalmente, en la longitud de los números primos elegidos como base.

Sin embargo, la longitud de esta clave almacenada no es lo suficientemente larga para la potencia de procesamiento promedio disponible actualmente. Así­ fue posible utilizar programas especializados para factorizar estos grandes números con el fin de recuperar sus números primos. Una vez que se recuperaron los números primos, con la ayuda de una herramienta construida por un investigador, TeslaCrack, es posible reconstruir la clave de descifrado.

Como los números primos varí­an para cada ví­ctima, a algunos, el proceso de recuperación de los archivos podrí­a tomar tan poco como 5 minutos, mientras que a otros podrí­a llevar dí­as.

La herramienta Teslacrack fue desarrollada por un investigador de alias Googulator, y se encuentra disponible en el siguiente enlace: https://github.com/Googulator/TeslaCrack.

Ha sido escrita en Python, y puede ser ejecutada en sistema operativo Unix o Windows. Sin embargo, la misma requiere un nivel de conocimiento técnico intermedio/avanzado. Otro investigador de alias Bloodydolly ha incorporado parte de esta herramienta y sus conceptos en la antigua herramienta TeslaDecoder, la cual serví­a para versiones antiguas de Teslacrypt. Con esta actualización, TeslaDecoder permite también desencriptar los archivos encriptados por las versiones nuevas. Esta herramienta requiere un conocimiento técnico básico/intermedio y se encuentra disponible aquí­:

http://download.bleepingcomputer.com/BloodDolly/Te...

La misma es más sencilla de usar, ya que no requiere estar familiarizado con el uso de la consola de lí­nea de comandos de Windows ni con Python. La misma debe ser ejecutada en sistema operativo Windows.

Ambas herramientas permiten desencriptar archivos que han sido encriptados por aquellas versiones de Teslacrypt que añaden extensiones ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, o .VVV.

Recientemente los desarrolladores de Teslacrypt han corregido la vulnerabilidad y publicado una nueva versión, Teslacrypt v3.0 que añade una extensión '.xxx', '.micro' y '.ttt', las cuales hasta el momento no pueden ser desencriptadas.


El CERT-PY ha desarrollado una guí­a para la desencripción de los archivos utilizando la herramienta TeslaDecoder, la misma puede ser obtenida aquí­: Guia_TeslaDecoder.pdf


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11