TeslaCrypt Decrypted

TeslaCrypt Decrypted

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6031

Ambulanta je imala nekolicinu slucajeva gde su zrtve imali tzv. verziju 8 Ransomware, gde malware skenira disk, kriptuje fajlove i dodaje im .vvv extenziju.
Za sve zrtve, konacno imamo neke dobre vesti.

Naime, do skora, nekolicina istrazivaca je u tajnosti drzala informaciju da je izmedju ostalih, .vvv extenziju moguce dekriptovati ali usled bojazni da bi pisci malware-a mogli zakrpiti exploit koji je koriscen za dekripciju, ova informacija je zadrzana u uzem krugu izabranih sa ciljem sprecavanja javnog sirenja informacija.

Danas je TeslaCrypt zakrpio ovaj exploit, objavio novu verziju malware-a koji postavlja .xxx, .ttt, .micro extenzije, te je reseno da se detalji dekripcije za sledece extenzije obelodane siroj javnosti.

.ECC, .EZZ, .EXX, .XYZ, .ZZZ, .AAA, .ABC, .CCC, .VVV.



Danas postoje dva alata koja pruzaju mogucnost dekripcije gore navedenih extenzija, konkretno za nas interesantne i zadnje "vvv" varijante.

{radi forumskog zastitnog softvera, originalni naziv je izmenjen}

TeslaCr4ck by googulator je command-line based alat i dekripcioni proces nije zagarantovan ali dosta uspesan.
Prosecan korisnik ima ozbiljnih poteskoca koristeci sam alat usled samog nacina njegovog rada.
Postoji podrska-diskusiona tema na bleepingcomputer forumu.



--- --- --- --- ---



Postoji i laksi alat koji radi na drugacijem principu od svog prvobitnog 'kolege' i gde je sam alat u Windows modu, te je laksi za koriscenje.

TeskaDecoder od autora BloodDolly. Postoji podrska-diskusiona tema na bleepingcomputer forumu.
Zrtva treba preuzeti TeslaDecoder na svoj racunar i prateci detaljna uputstva pokusati izvrsiti dekripciju fajlova.








*** Detaljan clanak i informacije ***
bleepingcomputer.com



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • _Sale 
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 9978

Da li je moguće da je razbijena 2048-bitna enkripcija? Shocked



offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15837
  • Gde živiš: Beograd

Ma kakvi, vec je pronadjen neki exploit za malware, neka rupa koja omogucava verovatno da se pronadje jedinstveni kod za svaki racunar na kojem je infekcija prisutna.

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6031

_Sale ::Da li je moguće da je razbijena 2048-bitna enkripcija? Shocked

Pa naravno, sta s' mislio? Razz
Salim se...

Pa exploit je na koji nacin TeslaCrypt smesta sifrovane kljuceve na inficiranom racunaru u same kriptovane fajlove.
Kljucevi su takodje kriptovani ali nekim drugim algoritmom. Taj algoritam je moguce razbiti ...

Sama kripcija kriptovanih fajlova nije razbijena.

offline
  • Pridružio: 18 Jul 2003
  • Poruke: 4145
  • Gde živiš: U zlatnom kavezu

A tu je i Kaspersky Rannoh Decryptor

offline
  • magna86  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 21 Jun 2008
  • Poruke: 6031

.




Update:





TeslaCrypt v3.0, ".xxx, .ttt i .micro" varijanta




TeslaCrypt 3.0 je nova verzija ransomware malware-a koji postavlja .xxx, .ttt i .micro file extenzije. + Primer kripotavinih .jpg fajlova iz Ambulante.
Malware sada koristi modifikovan algorimat za kripciju fajlova, postavlja gore navedene extenzije. U predhodnim varijantama spomenutim u prvom postu, pronadjen je nacin da se povrati private key iz kriptovanog fajla, sto omogucava dekripciju. Sada je taj exploit (iliti rupa u kodu, metodi rada mal. softvera) zakrpljena, i objavljena nova verzija ransoma.



Arrow Trenutna dekripcija .xxx; .ttt i .micro extenzija je nemoguca Exclamation




Prevencija ljudi! Koristite zastiti softver. Exclamation
Vecina AntiVirus softvera ce spreciti ovaj malware od izvrsenja, poznatiji AntiMalware softver ce ga i uspesno ukloniti.
Dodatno se naoruzajte sa MCShield, kao i sa CryptoPrevent softverom. Vise informacija na ovom linku, puka sustina je ista.




MC AMF Tim kao clan security zajednica prati desavanja na ovom polju. Cim se bude pojavila neka dobra informacija, clanovi MyCity foruma ce biti blagovremeno obavesteni.





.

offline
  • Research Engineer @MalwareBytes
  • Pridružio: 09 Avg 2011
  • Poruke: 15837
  • Gde živiš: Beograd

Napisano: 18 May 2016 22:29

TeslaCrypt malware je prestao sa radom, losi momci dali glavni kljuc pomocu kojeg je napravljen alat za dekripciju.

http://www.bleepingcomputer.com/news/security/tesl.....ption-key/

Dopuna: 19 May 2016 14:25

ESET je takodje izbacio njihov alat za dekripciju.

http://www.welivesecurity.com/2016/05/18/eset-rele.....ansomware/

Ko je trenutno na forumu
 

Ukupno su 636 korisnika na forumu :: 49 registrovanih, 9 sakrivenih i 578 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 20:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: 8u47, aramis s, Arhiv, babble, BlekMen, Bloody, borko_marjanovic, caesar, calija.milos15, chester_perry, Cili2, Cranium, darkangel, dexter300, Djole, dragonserbia, dule_pacov, Dzoni Stek, Hussar, jaeger, JankoS, koja92, krkalon, laki123rambo, mandicdamir245, mean_machine, Milan A. Nikolic, Miskohd, nebkv, nedeljkovici, neko iz mase2, panzerwaffe, patton, pein, ray ban11, rovac, samsung, scimitar19, shone34, SOVO515, StepskiVuk, stevo, suton2, theNedjeljko, trutcina, uruk, vladom6, Webb, Wrangler