questo link è possibile scaricare la guida completa

Transcript

RAGIONE SOCIALE
Marenzi Carlo Loc. Gerbidi Inferiori, 2/G
27057 Varzi (PV) - Italy
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
web: www.techsolma.com
Skype: Carlo Marenzi
E’ possibile decifrare i file criptati con TeslaCrypt?
In alcuni casi sì.
Da quasi tre anni a questa parte si è assistito ad una crescente diffusione dei cosiddetti ransomware, ovvero
malware che si contraddistinguono dagli altri perché sono in grado di cifrare tutti i dati dell’utente, chiedendo in
seguito un “riscatto” (ransom, in inglese) da pagarsi tramite BitCoin o altri metodi difficilmente tracciabili, in cambio
del ripristino del sistema alla normalità.
A chi è rivolta questa guida?
A tutti coloro che, tempo fa, sono stati attaccati da una specifica variante del ransomware TeslaCrypt e hanno
conservato i files criptati nella speranza che, col tempo, fosse possibile recuperare la chiave di cifratura necessaria a
ripristinare i loro dati.
Come è possibile per decifrare i file crittografati?
TeslaCrypt 2.2.0 e le sue versioni meno recenti utilizzano l'algoritmo di scambio password ECDH per proteggere la
chiave privata.
Gli sviluppatori TeslaCrypt hanno pensato di moltiplicare l’ECDH calcolato con la chiave privata generata sul computer
della vittima. Questa scelta ci offre la possibilità di recuperare la chiave privata originale dal SharedSecret*PrivateKey
mediante il ”factoring” di questo numero e quindi l'utilizzo di questi fattori primi per ricostruire la chiave privata
originale. Utilizzando i vari strumenti resi disponibili da BloodDolly possiamo recuperare le informazioni necessarie per
recuperare e ricreare la chiave privata. Una volta recuperata questa chiave possiamo usare TeslaDecoder per
decriptare i file crittografati in precedenza dal ransomware.
Si deve considerare che il tempo necessario al recupero della chiave di decodifica di un file criptato potrebbe essere di
breve durata (meno di 5 minuti) oppure molto lungo (anche un paio di giorni). Pertanto, più è potente il computer che
utilizzeremo, più sarà veloce il processo. Quindi non c'è modo di determinare a priori le tempistiche utili a recuperare
la chiave di decrittazione.
Quali versioni possono essere decifrati con questo metodo?
Tutte le versioni dalla 0.3.4 alla 2.2.0.
Le estensioni dei file crittografati compatibili sono: ecc (0.3.4a +), ezz, exx, xyz, zzz, aaa, abc, ccc, vvv.
Purtroppo, TeslaCrypt 3.0.0 e successivi non possono essere decriptati con questo metodo. Inoltre, le estensioni dei
file crittografati incompatibili sono: xxx, ttt, micro, mp3
Terminologia utilizzata in questo documento:
La terminologia utilizzata dall’autore può essere differente da quella utilizzata da altri ricercatori. Per chiarire la
situazione, viene definito di seguito il significato di ciascun termine utilizzato in questo processo.
ECDH SharedSecret - curva ellittica Diffie-Hellman
TeslaPrivateKey - chiave privata dei creatori di Tesla. Ci sono 3 chiavi utilizzate in TeslaCrypt fino alla versione suddetta.
Queste chiavi possono decifrare ogni file crittografato alla corrispondente versione di TeslaCrypt. Queste chiavi sono
sconosciute all’autore.
PrivateKeyBC - chiave privata utilizzata per il calcolo BitCoin. Questa chiave viene utilizzata da TeslaCrypt come chiave
principale per il computer infetto. Tutti i file cifrati dal computer possono essere decifrati tramite questo numero.
L'obiettivo principale è, quindi, trovarlo.
1
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
PrivateKeySHA256BC - Hashed PrivateKeyBC che utilizza l'algoritmo SHA256
PublicKeyBC - chiave pubblica per il calcolo degli indirizzi BitCoin. Maggiori informazioni su questo calcolo possono
essere recuperate al seguente indirizzo:
https://en.bitcoin.it/wiki/Technical_background_of_version_1_Bitcoin_addresses
SharedSecretBC – Chiave segreta condivisa calcolata dal PrivateKeyBC, PublicKeyBC e dalla TeslaPublicKey. In
TeslaViewer, questo parametro è chiamato SharedSecert1.
PrivateKeyFile - Questo numero è direttamente utilizzato come chiave AES per la cifratura/decodifica dei files e viene
modificato ogni volta che TeslaCrypt viene eseguito sul computer infetto. Questo numero può decifrare i file cifrati
solo nella sessione "corrente". Se non si è in grado di ottenere la PrivateKeyBC in tempi ragionevoli, si può provare a
usare SharedSecret2*PrivateKeyFile e Publickeyfile per recuperarla.
Publickeyfile - chiave pubblica del PrivateKeyFile.
SharedSecretFile - Chiave segreta condivisa calcolata dal PrivateKeyFile, Publickeyfile e PublicKeyBC o
PublicKeySHA256BC. In TeslaViewer è stata chiamata SharedSecret2.
Istruzioni:
Al fine di recuperare la chiave di decifratura dei file, abbiamo bisogno di recuperare la PrivateKeyBC o PrivateKeyFile,
ma dobbiamo prima di determinare le corrispondenti chiavi condivisa segreta e chiave pubblica. Queste informazioni
possono essere ottenute da una delle seguenti fonti:
• File Recovery (RECOVERY_KEY.TXT, RECOVERY_FILE.TXT, recovery_file _ *. Txt, recover_file _ *. Txt che si trova nella
cartella documenti).
• Qualsiasi file crittografato
• file di dati di Tesla (key.dat *)
* Informazioni key.dat:



delle dimensioni di 636 e 648 byte, key.dat non contiene ECDH tant’è che non è supportato in TeslaViewer.
lungo 656 bytes, key.dat è una versione ibrida ed è supportato in TeslaViewer se il contenuto è valido (questo
file di dati andrebbe controllato manualmente. Si prega di contattare BloodDolly via PM su
BleepingComputer.com.)
lungo 752 byte, key.dat è supportato in TeslaViewer.
La fattorizzazione
In matematica la fattorizzazione è la riduzione in fattori: fattorizzare un numero intero positivo n significa trovare un
insieme di numeri interi positivi {a0, a1, a2, a3 ...} tali che il loro prodotto sia il numero originario (n = a0 x a1 x a2 x a3
x ...). Per maggiori informazioni: https://it.wikipedia.org/wiki/Fattorizzazione .
2
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fase 1: Impostazione della cartella di lavoro
Il primo passo è quello di creare una cartella sul desktop denominata TD_Test (per Tesla Decrypt Test) che useremo
come cartella di lavoro. Di seguito, copiamo un file criptato nella cartella (nell’esempio è stato utilizzato un file con
estensione .abc).
In caso di files criptati con estenzione .ecc o .ezz, occorre usare anche key.dat che si trova nella cartella % appdata% o
RECOVERY_KEY.TXT / RECOVERY_FILE.TXT incluso nella cartella Documenti.
Adesso occorre scaricare i seguenti file nella cartella TD_Test:
• TeslaDecoder http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip (accertarsi di avere l'ultima
versione)
• Yafu http://download.bleepingcomputer.com/td/yafu.zip
Fase 2: Utilizzo di TeslaViewer per estrarre la SharedSecret1*PrivateKeyBC e la
PublicKeyBC
Una volta scaricati i files, andare nella cartella TD_Test/TeslaDecoder e fare doppio clic su TeslaViewer. Si aprirà una
schermata simile a quella seguente:
Fig. 1 Tesla Viewer 0.0.4
3
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fare clic sul pulsante Browse, come indicato dalla freccia rossa e passare alla cartella TD_Test dove è stato salvato il file
campione crittografato . Quindi selezionare il file che cercheremo di decifrare. In caso di file cifrati con estensione .ecc
o .ezz si rende necessario selezionare il file key.dat. TeslaViewer ora visualizzerà una serie di informazioni recuperate
dal file, così come illustrato di seguito.
Fig. 2 Le informazioni del file caricate in Tesla viewer 0.0.4
Come si può notare, TeslaViewer riesce a recuperare le informazioni sul PublicKeyBC e la SharedSecret1*PrivateKeyBC
di cui abbiamo bisogno.
Per utilizzare queste informazioni, la cosa più semplice da fare è copiarle in un file di testo: a questo scopo, ci viene
incontro il pulsante “Create work.txt” che creerà il file work.txt nella stessa locazione in cui si trova TeslaViewer.
Un esempio del file work.txt è illustrato in seguito:
4
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 3 Esempio di work.txt
Ora che abbiamo le informazioni necessarie per violare la cifratura, possiamo passare alla successiva Fase 3.
Fase 3: Risparmiamo tempo per vedere se il numero SharedSecret1*PrivateKeyBC è già
“fattorizzato” (scomposto) da Factordb.com
Al fine di ricreare la chiave di cifratura necessaria al decrypt dei files, è necessario eseguire la prima fattorizzazione sul
numero decimale SharedSecret1*PrivateKeyBC. Purtroppo, l’operazione di fattorizzazione di grandi numeri è piuttosto
complicata e generalmente di lunga durata. Per fortuna esiste il sito web www.actordb.com che consente di
immettere un numero e vedere se è scomponibile in fattori primi. Siccome Factordb.com accetta solo i numeri
decimali, avremo bisogno di copiare il numero decimale del SharedSecret1*PrivateKeyBC dal file work.txt che
abbiamo creato nel passaggio precedente. Di seguito è riportato lo stesso file work.txt precedentemente mostrato, in
cui il numero decimale SharedSecret1*PrivateKeyBC a noi necessario è evidenziato dal riquadro blu.
Fig. 4 Numero decimale della PrivateKeyBC
5
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
A questo punto, possiamo andare su www.factordb.com e incollare questo numero nel campo di ricerca. Quando i
risultati vengono visualizzati, è importante prestare particolare attenzione alla colonna Status. Se il valore in Status è
FF (come illustrato di seguito) possiamo ritenerci fortunati perché ciò significa che il numero primo è completamente
fattorizzato e, quindi, possiamo evitare il lungo compito di fattorizzazione dei numeri. Invece, se nella colonna Status
compare CF, allora solo alcuni dei fattori sono noti e sarà necessario eseguire la fattorizzazione del numero.
Fig. 5 Numero completamente fattorizzato
Se il numero è stato completamente scomposto (FF), allora il nostro lavoro è sostanzialmente concluso. Basta copiare
semplicemente in un file ciascuna linea del fattore, come evidenziato nei numeri sottolineati sopra, perché ci
serviranno durante la fase successiva.
A volte i fattori verranno visualizzati come qualcosa di simile a 1884516739 ... 69 <146>. In questo caso, è necessario
fare clic sul fattore per vedere il numero completo, che nell’esempio è lungo 146 cifre. Ora che avete copiato in modo
sicuro ogni fattore in un file è possibile passare alla fase 5 per ricostruire la chiave di cifratura privata.
Purtroppo, se lo Status corrisponde a CF come mostrato di seguito, allora significa che sono stati riconosciuti solo
alcuni fattori ed è necessario proseguire con la fattorizzazione.
6
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 6 Status CF – Occorre nuova fattorizzazione
Fintanto che il numero non è fattorizzato, sarà necessario eseguire la il prime factoring seguendo lo step successivo.
Fase 4: Prime factoring del numero decimale SharedSecret1 * PrivateKeyBC
Per eseguire la prima fattorizzazione sul SharedSecret1*PrivateKeyBC abbiamo bisogno di utilizzare strumenti specifici
come Yafu e Msieve. In questa guida andremo a utilizzare lo strumento Yafu, già scaricato durante la Fase 1. Yafu
normalmente può essere recuperato da qui ( http://sourceforge.net/projects/yafu/ ), ma questa versione richiede di
scaricare altri componenti come GGNFS ( http://gilchrist.ca/jeff/factoring/ ) e GMP-ECM (
http://gilchrist.ca/jeff/factoring/ )perché possa funzionare correttamente. Per rendere più semplice la cosa, l’autore ha
creato un download per Yafu con i componenti necessari già inclusi al seguente link:
http://download.bleepingcomputer.com/td/yafu.zip
Di seguito vengono riportate le istruzioni di come eseguire la fattorizzazione del numero decimale
SharedSecret*PrivateKeyBC utilizzando Yafu.
Per coloro che non hanno familiarità con la linea di comando di Windows, sono stati creati alcuni file batch che
rendono più semplice l’esecuzione del processo di comando. Diversamente è possibile utilizzare la versione GUI
chiamata RunYafu.exe. Ogni file batch è distribuito in versione x86 e x64 da utilizzarsi a seconda del tipo di sistema
operativo.
Prima di iniziare il processo di fattorizzazione, si suggerisce di eseguire tuneX86.bat (utenti a 32 bit) o tuneX64.bat
(utenti a 64 bit) al fine di ottimizzare Yafu per il computer in uso. Questo processo può richiedere un po’ di tempo, per
cui è necessario essere pazienti mentre viene completato. È inoltre possibile utilizzare la riga di comando per regolare
Yafu, utilizzando il comando appropriato riportato di seguito, nel caso non si desideri utilizzare il file tune.bat:
Yafu x86: Yafu-Win32.exe tune ()
Yafu X64: Yafu-x64.exe tune ()
Quando il processo di sintonizzazione si avvierà, vedremo una finestra simile a quella riportata di seguito.
7
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 7 – Sintonizzazione (Tuning)
Utilizzando Yafu, aprire il file work.txt e copiare il numero decimale associato con la SharedSecret*PrivateKeyBC,
come indicato sopra nella figura 4. Per avviare la fattorizzazione occorre cliccare su factorX86.bat (utenti a 32 bit) o il
factorX64.bat (utenti a 64 bit). Poi, quando lo script richiederà il numero da fattorizzare, si procederà con il
copia/incolla del numero decimale da work.txt alla finestra nera factor.bat (pulsante destro del mouse). A questo
punto, premere Invio.
Il file batch chiederà a quantità di threads che si desidera utilizzare. In genere questo valore corrisponde alla quantità
di CPU logiche meno 1, in modo da lasciare una CPU libera per eseguire altri processi. È possibile recuperare questa
informazione andando in Gestione attività (Task Manager) e quindi facendo clic sulla cartella “Prestazioni”
(Performance) illustrata di seguito.
8
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig.8a – CPUs logiche (Windows 7)
Fig.8b – CPUs logiche (Windows 10)
Da notare come nella figura 8a siano presenti 8 CPU logiche, quindi il numero di thread da utilizzare corrisponderà a 7.
Una volta inserito il numero e premuto INVIO, Yafu inizierà la fattorizzazione del numero.
9
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Volendo è possibile utilizzare la riga di comando per fattorizzare il numero utilizzando i comandi riportati di seguito:
Yafu x86: yafu-Win32.exe factor(SharedSecret1*PrivateKeyBC) -threads %numthreads% -ecm_path .\ecm70devsvn2256-win32-gc\ecm.exe -ggnfs_dir .\ggnfs-svn413-win32-p4\
Esempio: yafu-Win32.exe
factor(11527342064346297739214759177984130940725395967313621020643738089914627809566771219400808
008919326552604889440925360662121935500770201695002015362402011598) -threads 7 -ecm_path
.\ecm70dev-svn2256-win32-gc\ecm.exe -ggnfs_dir .\ggnfs-svn413-win32-p4\
Yafu X64: yafu-x64.exe factor(SharedSecret1*PrivateKeyBC) -threads %numthreads% -ecm_path
.\ecm644_win64_i7\ecm.exe -ggnfs_dir .\ggnfs-svn413-win64-core2\
Esempio: yafu-x64.exe
factor(11527342064346297739214759177984130940725395967313621020643738089914627809566771219400808
008919326552604889440925360662121935500770201695002015362402011598) -threads 7 -ecm_path
.\ecm644_win64_i7\ecm.exe -ggnfs_dir .\ggnfs-svn413-win64-core2\
La fattorizzazione della chiave SharedSecret1*PrivateKeyBC si avvierà e verrà evidenziata una schermata simile alla
seguente:
Fig. 9 – Fattorizzazione della chiave: stato di avanzamento
Come già detto, questo processo può richiedere tempistiche di esecuzione differenti a seconda del numero da
fattorizzare, per cui si prega di essere pazienti. Una volta concluso, verrà visualizzato un elenco di fattori primi, come
illustrato di seguito.
10
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 10 – Fattori trovati
A questo punto è necessario copiare ciascuno di questi fattori nel file work.txt in modo di poterli utilizzare durante il
passaggio successivo, rispettando esattamente l’ordine di stampa, affinché siano elencati in work.txt nel modo
seguente:
2
3
3
41
3361
38866319599229
25433607871792657
81415054410163345727807339
819550306355181631870889300587105344677651549
70459990975800105851204343089192935552177499917
Sarà ora possibile procedere al punto 5 per ricreare la chiave di decriptazione.
Fase 5: Refactoring della chiave privata
Adesso che abbiamo tutti i fattori del numero SharedSecret1*PrivateKeyBC, useremo TeslaRefactor per ricostruire la
chiave di decrittazione privata. Una volta avviato TeslaRefactor, avremo una schermata simile a quella sottostante.
11
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 11 Tesla Refactor 0.1.6
A questo punto è necessario copiare l'elenco dei fattori salvati nel documento work.txt e incollarli nell’area di grandi
dimensioni indicata dalla freccia blu. Di seguito copiare il PublicKeyBC (prendendola da Tesla viewer o dal file work.txt)
nel campo Public Key (hex), come indicato dalla freccia rossa.
La finestra di Tesla Refactor sarà ora simile alla seguente:
12
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 12 Tesla Refactor 0.1.6 con i dati inseriti
Per ricostruire la nostra chiave di cifratura privata, è sufficiente cliccare sul pulsante “Find private key”. Tesla Refactor
ricostruirà la chiave e la visualizzerà nel programma come mostrato in Figura 13.
13
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 13 La chiave di cifratura privata è stata trovata
Come si può vedere nell'immagine sopra riportata, abbiamo trovato la seguente chiave privata:
DC4DEDDE529A0FBE69448DBCE2DF6B7EB49E1E6FC986C7DF25F3AF363AF450A3.
Se ci fosse un problema nel rilevare la chiave privata, si consiglia di confrontare il valore del Product (dec) e del
Product (hex) con la SharedSecret1*PrivateKeyBC contenuta in work.txt.
Se il prodotto è lo stesso nel file work.txt, deselezionare la casella di controllo Optimization e cliccare nuovamente sul
pulsante “Find private key”.
Se il programma non è ancora in grado di trovare la chiave, contattare BloodDolly via PM su BleepingComputer.com.
Se avete la chiave privata, copiarla nel file work.txt affinché possa essere utilizzata nel passaggio successivo.
14
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Passo 6: Decifrare i file con la chiave privata
Ora che abbiamo recuperato la chiave privata è possibile decifrare i files utilizzando TeslaDecoder. pertanto aprire il
programma TeslaDecoder.exe in modo che venga visualizzata la schermata principale, come mostrato in Figura 14. Per
avere accesso alle cartelle personali o nascoste è necessario eseguire TeslaDecoder.exe come amministratore (clic con
il pulsante destro su TeslaDecoder.exe e selezionare “Esegui come amministratore”).
Fig. 14 Tesla decoder 1.0.0
Quando viene visualizzata la schermata principale, fare clic sul pulsante “Set Key” e incollare la chiave privata
recuperata nel passaggio precedente. Quindi selezionare l'estensione dei file crittografati. È possibile vedere un
esempio nell'immagine seguente:
15
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Fig. 15 Inserire la chiave privata (Private Key)
Ora cliccate sul tasto tasto Set Key per caricare la chiave n TeslaDecoder. A questo punto è possibile eseguire una
decrittazione di test sul file di esempio abbiamo copiato nella cartella TD_Test creata in precedenza. Se il file viene
decifrato con successo, è possibile utilizzare il pulsante di decodificare tutti per decifrare tutti i file sul disco rigido.
Fig. 16 Risultati
Una volta eseguito Tesladecoder, possiamo vedere l’esito direttamente attraverso la finestra del tool oppure attraverso
il file log.txt che verrà generato.
16
RAGIONE SOCIALE
P.IVA: 02536340181
CONTATTI:
Cell. +39 348 35.70.818
Questa procedura è tratta dall’originale di BloodDolly e Lawrence Abrams e tutti i diritti rimangono dei legittimi
proprietari. I passaggi indicati in queste pagine sono stati testati ed eseguiti con successo dallo scrivente.
© 2015-2016 BloodDolly
© 2015-2016 BleepingComputer.com Tutti i diritti riservati.
17

questo link è possibile scaricare la guida completa

Transcript

Documenti analoghi

1994 - Processo per l`omicidio di Carlo D`Andrea

Scheda Accettazione PC

mezzogiorno in musica - Teatro Regio di Parma

Domenica 6 Novembre 2016 Auto e moto d`epoca in sostegno all

SCHEDA DI ADESIONE - Ospedale San Carlo

Esempio di lettera di accompagnamento o di presentazione

Modalità di configurazione Skype Ver1.00

“AVERE FIDUCIA PER GENERARE FIDUCIA” Costruire

Liberatoria all`utilizzo di immagini, riprese audio/video/fotografiche