23/05/2016

Żegnaj, TeslaCrypt: wielki finał

Informacje Zagrożenia

Według teorii prawdopodobieństwa dziwne rzeczy przydarzają się co jakiś czas. Chociaż istnieje mała szansa, że wydarzy się jakaś konkretna rzecz, to przecież dziwnymi moglibyśmy nazwać nieskończoną ilość rzeczy lub zdarzeń. Czasami te dziwne rzeczy mogą być dobre — jak na przykład informacja, że cyberprzestępcy stojący za zagrożeniem TeslaCrypt niespodziewanie upublicznili klucz główny. Przy jego użyciu każdy może odszyfrować pliki, które zostały zainfekowane dowolną wersją TeslaCrypt. Tak po prostu.

teslacrypt-master-key-FB

Wygląda na to, że z jakiegoś powodu cyberprzestępcy zdecydowali się przestać dystrybuować TeslaCrypt — program żądający okupu, który był uważany za jeden z najgorszych jak do tej pory. Kampanie dystrybucyjne, których zadaniem było infekowanie ofiar programem TeslaCrypt, przekształciły się w dostarczanie CryptXXX (dla którego Kaspersky Lab utworzył antidotum).

Badacze bezpieczeństwa z firmy ESET zauważyli to i zdecydowali się użyć należącej do TeslaCrypt strony wsparcia technicznego (znajdującej się w sieci TOR) do zapytania cyberprzestępców, czy mogliby upublicznić klucz główny… i oni się zgodzili. Klucz ten został umieszczony na nieistniejącej już stronie pomocy, na które widniała też informacja, że projekt jest zamknięty i że przepraszają.

teslacrypt-closed

Jednak dla przeciętnego użytkownika komputera klucz jest bezużyteczny bez kodu. To dlatego użytkownik BloodDolly strony BleepingComputer, który już wcześniej próbował utworzyć narzędzia deszyfrujące dla TeslaCrypt, użył klucza do zaktualizowania swojego TeslaDecoder.

Narzędzie jest dosyć łatwe w użyciu: aby odszyfrować pliki, należy wprowadzić klucz, wybrać rozszerzenie, którego TeslaCrypt użył do zaszyfrowania plików, a następnie wybrać folder docelowy zawierający zaszyfrowane pliki — lub zwyczajnie pozwolić narzędziu na przeskanowanie całego dysku twardego.

TeslaDecoder od BloodDolly można pobrać ze strony BleepingComputer.

Upadek TeslaCrypt jest nadzwyczaj dobrą wiadomością, ponieważ metody szyfrowania tego programu żądającego okupu nieustannie ewoluują od momentu jego upublicznienia w lutym 2015 r. Tutaj, na Kaspersky Daily, wiele razy pisaliśmy o TeslaCrypt. Chociaż badaczom udało się wynaleźć lekarstwo na pierwszą wersję, nie zdołali uzyskać tego samego rezultatu z drugą i trzecią. Jednak po udostępnieniu klucza głównego wreszcie stało się to możliwe.

Chociaż przypadki, w których przestępcy zdają sobie sprawę z tego, że naprawdę skrzywdzili ludzi i decydują się na zmianę swojego podejścia, raczej rzadko się zdarzają, mamy nadzieję, że to nie ostatni przypadek, gdy twórcy ransomware wstrzymują swoją czarną robotę i próbują naprawić wyrządzone szkody. Jest wiele różnych programów żądających okupu i mała szansa na to, że chociaż jeden przestępca zda sobie sprawę z krzywdzącego charakteru swoich czynów. Ale przecież wielkie rzeczy składają się z wielu małych, więc nasze nadzieje nie są bezpodstawne.