El
grupo de investigación de amenazas online Talos (de Cisco) ha publicado un estudio sobre el
ransomware TeslaCrypt, en el que destaca la posibilidad de descifrar los archivos cifrados por éste sin la necesidad
de pagar el rescate en algunas de sus versiones.
TeslaCrypt es un ransomware (software que secuestra recursos de un sistema
informático y pide un rescate por su
liberación) que afecta a plataformas Windows, aparentemente derivado del famoso
CryptoLocker. Además de los objetivos habituales (fotos, vídeos,
documentos...), TeslaCrypt se caracteriza por tener como objetivos adicionales partidas
guardadas de videojuegos y archivos relacionados con iTunes.
Las versiones más modernas de
ransomware
suelen implementar una infraestructura
de clave pública, que les permite evitar que la clave de descifrado de los
archivos resida en algún momento en el sistema infectado. Con lo que
irremediablemente sería necesario pagar a los atacantes para obtener la clave,
lo que no se recomienda por no tener garantía de que se vaya a obtener
efectivamente. O confiar en la posibilidad de que las bases de datos con las
claves privadas (las necesarias para descifrar los archivos) sean recuperadas
por alguna operación contra la infraestructura usada por el ransomware y las ponga
a disposición de los infectados (como ya ocurrió en la
Operación Tovar contra
CryptoLocker).
TeslaCrypt, afortunadamente, en algunas versiones no usa este tipo de cifrado.
A pesar de anunciar en el mensaje que aparece tras la infección que usa el
criptosistema RSA (de clave pública, o asimétrico), tras un análisis en
profundidad, los investigadores de Talos han descubierto que usa el
criptosistema AES (asimétrico). Concretamente, lo que hace es generar una clave
maestra partir de diversa información del sistema operativo (por ejemplo,
información sobre la memoria física, procesos en ejecución...) y números aleatorios
resultantes de llamadas a la API Windows Crypto. Esta clave se almacena en un
fichero llamado 'key.dat', presente
en la carpeta 'Application Data'
perteneciente al usuario, y se usa para cifrar los archivos. Además, se envía
esta clave a servidores en control de los atacantes. Al usar un criptosistema
simétrico, la misma clave usada para cifrar es usada para descifrar, y esto es
lo que aprovecha TeslaDecrypt, la herramienta desarrollada por Talos para
descifrar los archivos.
Por desgracia, otras versiones de
TeslaCrypt (presumiblemente las más nuevas), generan una clave de recuperación
derivada de la clave maestra que almacenan en un fichero llamado 'RECOVERY_KEY.TXT' en la carpeta de
documentos del usuario, y eliminan la clave maestra del fichero 'key.dat'. Uno de los investigadores de
Talos, Andrea Allievi, está trabajando en un algoritmo que permita recuperar la
clave maestra a partir de la clave de recuperación, pero no puede asegurar que
esto sea posible (dependerá del criptosistema usado y si su implementación contiene
alguna vulnerabilidad), y recomienda estar pendiente del blog de Talos para
futuras actualizaciones.
TeslaDecrypt, la herramienta que proporcionan los investigadores de
Talos para descifrar los archivos
cifrados en el caso de que la clave maestra no haya sido eliminada, puede
ser encontrada en la siguiente URL:
Sus instrucciones de uso, una
versión en Python y el código fuente del binario
se pueden encontrar en
el blog oficial de Talos. Se recomienda hacer una copia de seguridad de los
archivos encriptados antes de ejecutar la herramienta.
Más información:
Threat Spotlight: TeslaCrypt – Decrypt It
Yourself
There's now a decryption tool for TeslaCrypt
ransomware
New Utility Decrypts Data Lost to TeslaCrypt
Ransomware
TeslaCrypt: Video game Safety 101
Cryptolocker victims to get files back for free
Carlos Ledesma
