Ricerca

venerdì 9 dicembre


TeslaCrypt, possibile recuperare i file cifrati dal ransomware?

di Michele Nasi (08/02/2016)

Da alcune settimane, anche e soprattutto l'Italia, sembra esposta ad una nuova pesante ondata di attacchi ransomware.

Il ransomware ultimamente più diffuso è senza dubbio TeslaCrypt che è in circolazione in diverse varianti.

Di solito arriva via email sotto forma di una falsa comunicazione all'apparenza proveniente da contatti amici o comunque conosciuti. Nel testo del messaggio di solito non viene riportato nulla (ma il cliché utilizzato dai criminali informatici potrebbe presto cambiare…) mentre l'allegato nocivo fa riferimento a fatture o note di credito fasulle.

Cliccando due volte sul file allegato o sul file JavaScript contenuto nello Zip inviato insieme con il messaggio, viene eseguito il ransomware o il codice che si fa carico di scaricare da un server remoto ed avviare il malware vero e proprio.

Una volta in esecuzione, TeslaCrypt si comporta come gli altri ransomware più "cattivi", ossia codifica tutti i file personali dell'utente usando l'algoritmo crittografico RSA 4096 bit.

L'algoritmo RSA non ha evidenziato debolezze intrinseche: non è quindi possibile sfruttare una sua "debolezza" per decifrare i file crittografati da TeslaCrypt.

Dal momento che documenti e file personali vengono crittografati da TeslaCrypt ricorrendo ad una coppia di chiavi generate dinamicamente usando l'algoritmo RSA (in questo caso a 4.096 bit), non è possibile contare su lacune nell'algoritmo per provare un recupero dei propri dati cifrati.

La più recente versione del ransomware, battezzata TeslaCrypt 3.0, utilizza tra l'altro un nuovo algoritmo per crittografare i dati degli utenti colmando le lacune che esistevano nelle precedenti versioni.

TeslaCrypt, possibile recuperare i file cifrati dal ransomware?

Come decodificare i file crittografati da TeslaCrypt

Ad oggi, c'è la possibilità concreta di recuperare i file crittografati da TeslaCrypt 2.2.0 e precedenti (ossia quelli cifrati con le seguenti estensioni: .ecc, .ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv).

Non vi è per il momento modo di decodificare e i file cifrati da TeslaCrypt 3.0 (estensioni .xxx, .ttt, .micro).

Nelle versioni di TeslaCrypt antecedenti la 3.0, infatti, è stata scoperta la presenza di una vulnerabilità che ha facilitato la decodifica dei file.
In ogni file cifrato dalle release precedenti la 3.0, sono contenute le informazioni usate per cifrare e decifrare i file (in particolare le chiavi di decodifica). Dal momento che tali chiavi vengono generate dinamicamente da TeslaCrypt e che, ovviamente, gli sviluppatori del ransomware non potevano salvarle in chiaro, in locale, si è deciso di usare un altro algoritmo che codifica la chiave AES usata per decifrare ciascun file e la memorizza in tale forma nel file cifrato.

Il "problema" è che le chiavi, compresa quella per decifrare, che TeslaCrypt 2.2.0 salva all'interno dei file cifrati viene generata usando numeri non primi rendendo così plausibile un attacco mirato elaborato anche con i moderni PC in dotazione degli utenti.

Utilizzando particolari utilità, è stato possibile "fattorizzare" in numeri primi quanto rilevato nei file cifrati da TeslaCrypt 2.2.0 e quindi ricostruire la chiave di decodifica.

Scomporre un numero nei suoi divisori primi (fattorizzazione) è un'operazione molto lenta che richiede un impegno notevole in termini di risorse hardware ma se effettuata su numeri non particolarmente grandi, può diventare fattibile anche sui normali PC di oggigiorno.

Per decodificare i file cifrati da TeslaCrypt e recuperare i propri dati, il consiglio è quello di partire sempre dallo strumento software TeslaDecoder.

Una volta eseguito, il tool visualizza le informazioni utili nel proprio caso per tentare il recupero dei file cifrati da TeslaCrypt.

Per tentare la fattorizzazione, è possibile seguire le indicazioni riportate in questa pagina o, inglese, in questo documento.

Un'altra soluzione possibile, consiste nel fare riferimento a Dr.Web, società russa attivissima nella ricerca e sviluppo per ciò che riguarda il contrasto ai ransomware.
Nell'articolo abbiamo presentato una procedura passo-passo che permette di scoprire se si possano o meno recuperare i file cifrati da ransomware come Cryptolocker, TeslaCrypt od altri malware similari.

Allo stato attuale, l'autore di TeslaDecoder ha aggiunto una nuova routine (versione 0.0.81 del suo software; vedere il changelog aggiornato) che permette di decodificare le richieste di rete inviate ai server che sovrintendono il funzionamento di TeslaCrypt 3.0.
Manca però ancora all'appello un algoritmo efficace che permetta di estrarre la chiave di decodifica. Il lavoro è ancora in corso.

Copie shadow e backup

Così come altri ransomware, le ultime varianti di TeslaCrypt provvedono a rimuovere tutte le copie shadow dei file personali dell'utente rendendo irrecuperabili le versioni precedenti, non crittografate, dei medesimi file.

Vale comunque la pena provare ad usare utilità come Shadow Copy o tentare il ripristino delle precedenti versioni dei file (vedere, ad esempio, Windows 7: a spasso nel tempo con la funzionalità "Versioni precedenti") tenendo ben presente che si potrà aver fortuna solo con le vecchie versioni di TeslaCrypt.

TeslaCrypt provvede anche a cifrare i file contenuti su unità condivise in rete (alle quali si abbia accesso) oltre alle cartelle condivise su Google Drive, OneDrive, Dropbox e così via attraverso i rispettivi software client.

Sarebbe quindi bene impostare l'effettuazione delle operazioni di backup in maniera tale che sia il server o il NAS a recuperare i file dai sistemi client e ad effettuare un'archiviazione cronologica dei dati, senza cancellare i vecchi archivi (o comunque non quelli più recenti).
Diversamente, infatti, il contenuto delle cartelle contenente i file cifrati da TeslaCrypt o da altri ransomware potrebbe sovrascrivere le copie di backup mantenute su altre macchine.

Nel caso in cui i file siano oggetto di backup sul cloud, Drive, OneDrive e Dropbox offrono la possibilità, dall'interfaccia web, di recuperare precedenti versioni dei file.

Quali sono le principali differenze tra TeslaCrypt 2.2.0 e TeslaCrypt 3.0?

Ma quali sono le principali differenze tra TeslaCrypt 2.2.0 e 3.0?
L'abbiamo chiesto a Marco Giuliani, CEO dell'italiana Saferbytes, che spiega:

" La fondamentale differenza tra TeslaCrypt 2.2.0 e TeslaCrypt 3.0 è la modalità di "difesa" della chiave AES utilizzata per crittografare i files nel PC infetto.

TeslaCrypt codifica tutti i documenti presenti nel PC attaccato con un algoritmo di crittografia simmetrica - AES 256 bit - e appende questa chiave nei primi bytes del file codificato. Ovviamente la chiave non è in chiaro, ma è crittografata utilizzando un algoritmo di crittografia asimmetrica, a chiave pubblica/privata, chiamato Elliptic Curve Diffie Helmann (ECDH). La chiave utilizzata da TeslaCrypt 2.2.0 per la crittografia asimmetrica ECDH è di 521 bit, ma occhio perché non si tratta di una normale chiave RSA - in quel caso 521 bit sarebbero assolutamente insicuri e le chiavi facilmente decodificabili - bensì di una chiave ECDH, cioè generate utilizzando un particolare modello matematico che permette di mantenere la stessa robustezza delle chiavi RSA classiche pur diminuendone le dimensioni in termini di bit.

L'unico attacco possibile conosciuto ad oggi è il processo di fattorizzazione, un attacco matematico che permette di trovare un unico prodotto di numeri primi uguale alla chiave data (un problema matematico conosciuto da secoli e ad oggi molto attuale per cercare di compromettere la crittografia asimmetrica).

La vulnerabilità trovata in TeslaCrypt 2.2.0 non risiede nell'algoritmo di crittografia in sé, bensì nel fatto che l'algoritmo dovrebbe essere inizializzato utilizzando due numeri primi di grandi dimensioni. TeslaCrypt invece aveva una vulnerabilità tale da non utilizzare due numeri primi, bensì due numeri di arbitrarie dimensioni ma non sempre primi. Non inizializzando correttamente l'algoritmo la procedura di fattorizzazione è molto meno complessa e il recupero della chiave può avvenire in tempi brevissimi.

Purtroppo questa vulnerabilità di design è stata corretta in TeslaCrypt 3.0, dopo che è stata resa pubblica da ricercatori indipendenti. Stando ad alcune informazioni, tuttavia, questa falla era stata individuata dai ricercatori di società di antivirus già da diversi mesi, i quali si sono tuttavia ben guardati dal diffondere l'informazione".

Perché, nel caso di TeslaCrypt 2.2.0, in alcuni casi è facile recuperare la chiave mentre in altri ci vogliono giorni di tempo?

A questo proposito, Giuliani spiega che questo dipende purtroppo dalla capacità di fattorizzazione e dalla potenza di calcolo a disposizione. Essendo l'algoritmo inizializzato con valori pseudo-random può accadere che vengano generati valori più facili da fattorizzare e valori meno facili. Inoltre gli algoritmi di fattorizzazione hanno bisogno di tempo e potenza di calcolo, cambia la questione se si ha un cluster di GPU o un cluster di server a disposizione oppure un semplice PC desktop.

Quali scogli vanno superati per provare il recupero dei dati cifrati da TeslaCrypt 3.0?

Nel caso di TeslaCrypt 3.0 - continua Giuliani - non c'è al momento, purtroppo, alcun metodo conosciuto, soprattutto perché l'unica falla che era stata identificata è stata ovviamente corretta dagli autori.

Se implementato bene, l'algoritmo ECDH rende tutto molto più difficile e, ad oggi, non vi è possibilità di recupero della chiave in tempi brevi.

L'unico attacco conosciuto contro TeslaCrypt 2.2.0, l'integer factorization attack, è praticamente inutilizzabile con la potenza attuale di calcolo nei confronti di TeslaCrypt 3.0.

Giuliani ricorda che, attualmente, la versione di TeslaCrypt 3.0 codificano i file utilizzando le estensioni .XXX, .TTT e .MICRO.

Articolo seguente: Facebook consuma troppa batteria, rimuovete l'app
Articolo precedente: Spazio su Google Drive in regalo, 2 GB in più
50312 letture
Ultimi commenti
inviato da ernesto_omnia > pubblicato il 17/05/2016 12:06:26
Ho risolto il problema dei file criptati con estensione .crypt in questo modo : a) scaricare il programma -free- RannohDecryptor Version 1.9.1.0 da questo link http://support.kaspersky.com/viruses/ut ... hdecryptor b) procurarsi una copia originale di un file criptato (possibilmente il più ampio possibile….più Mb ha meglio è!) c) lanciare il programma (autonomamente scansiona tutto l’hard disk ed anche i rimovibili) Nel mio caso il successo ed il ripristino è stato prossimo al 100%, avendo recuperato quasi tutti i 14000 file oggetto di criptazione. I file decriptati avevano le seguenti estensioni dwg pdf rar zip msi docx xlsx pptx txt ma non credo abbia limitazione nei tipi. Dal mio punto di vista devo dire che lo staff Kaspersky ha fatto un lavoro eccellente, e sicuramente li onora per la gratuità!
inviato da enzo.s > pubblicato il 08/04/2016 19:42:13
Sapete se esiste uno strumento che ricostruisca la chiave di cifratura a partire dal confronto tra file infetto e file originale? Cioè, supponiamo che io abbia la copia aggiornata del file pippo.pdf che è stato cifrato. C'è uno strumento che esegua il confronto e possa ricostruire la chiave di cifratura?
inviato da nV 25 > pubblicato il 16/02/2016 12:34:48
Felice di apprendere che anche il versante italiano mette in campo qualche risorsa per contrastare questa particolare minaccia ma personalmente mi affiderei (e infatti mi affido) a soluzioni diverse...
inviato da SalvatoreMessina > pubblicato il 12/02/2016 09:21:44
Interessante video di come Virit (versione a pagamento) blocca l'attacco del TeslaCrypt 3.0 e decodifica i file .micro: https://www.youtube.com/watch?v=_SyKqqZu6-8 Bravi ragazzi ! :applauso:
inviato da nV 25 > pubblicato il 11/02/2016 11:03:16
commento del mese...
inviato da maaa > pubblicato il 11/02/2016 02:14:18
quando ti si scarica Tesla nel PC non solo ti fa fuori tutto ciò che è stato scritto,calcolato,immagini,pdf,ma ti partono ( non solo saltano ) i programmi di scrittura ma anche il Windows Installer .Nelmio caso ho provato a ri installare Office dopo aver ri installato Windows Installer ::niente,idem xLibre.Ok x Apache Open Office(3 e superiori) L' unica cosa che si salva sono i file video ( per ora) Attenzione :Tesla fa un varco per cui ti entrano PUP,, Ads, Trojan a fiumi. Se dopo poco aver aperto il pacco Tesla3.0,metti in salvo ri-modificando l' estensione di ciò che ti compare seguito da .micro e apri il tuo file e vedi che non è stato variato..il giorno dopo te lo ritrovi bruciato. Ti brucia anche la possibilità di ripristino del sistema ai giorni precedenti la Sua entrata Se contatti il produttore del Pc x chiedere come fare ripristino totale del sistema ( visto che dal tuo PC non è possibile e poichè non esistono più i CD di ripristono totale del sistema ... e se di capita dopo qualche anno dall' acquisto ,nel sito del produttore di PC non trovi più Driver ( xè secondo loro oblsoleti..sic!!!.) e ti RISPONDONO con unbelnumeretto e TI SOLLECITANO a comperare un nuovo modello ( mai comperare l' auto prima serie ; : è piena di problemi ed instabilità che vengono risolti dopo 6 mesi- 1 anno con la comparsa della 2°serie. X i PC succede lo stesso ) Vorrei proprio sapere chi sia la ditta dei ricattatori-estorsori :possibile che Antivirus Norton ,Avast ,AVG,Norton non se ne accorgano se non dopo 4 giorni dall'infezione ,mentre Antimalware ne ne accorge solo un giorno dopo ( magari alla 2° scannerizzata)???? L' epidemia sempre dopo la seconda metà di gennaio...( mai a novembre quando i programmi antivirus sono prossimi alla scadenza , che caso strano eh) Ho provato a usare Tesla Decoder : mi sono perso per strada tanto è complicato...Ma dicano chiaro che i dati sono stati persi! Al 20 gennaio si chiudono i files e le posizioni fiscali dell' anno precedente e si mettono i dati da parte ( back up) Per cui se uno si è comportato come si faceva quando si usava il cartaceo,ossia si aprivano i nuovi registri dell' anno in corso...i danni di Tesla a fine genn-inizi febbraio sono limitati sui dati. Se invece uno credeva che nel Pc si possa lasciare tutto...,beh deve ricordarsi che il Pc non è una intelligenza artificiale.. è come una porta :se non la chiudi i ladri e scocciatori ( PUP etc entrano) Ho provato a eliminare con il CC Cleaner last version i 3 file Tesla infilati nel C .beccati 719 x 3 ,ma CC Cleaner non riesce ad eliminarli !!!! perche' ????
inviato da HHkkm1104 > pubblicato il 08/02/2016 20:05:27
In caso di infezione sembrerebbe che Malwarebytes riesca a eliminare il virus dal pc, tuttavia i file cifrati sono persi per sempre se non si possiede un back up :popcorn:


Leggi tutti i commenti

Commenta anche su Facebook
Link alla home page de IlSoftware.it

P.IVA: 02472210547 | Copyright © 2001 - 2016

PRIVACY | INFORMATIVA ESTESA COOKIES | Info legali | Pubblicità | Contatti | Storia | Supporta | Credits

Segui i nostri Feed RSS de IlSoftware.it Segui i nostri Feed RSS