勒索軟件是電腦保安的一大威脅,對保安公司而言最大的挑戰某過於怎樣把檔案解密。最近有研究人員成功破解 CrypBoss 以及同一系列的 HydraCrypt 和 UmbreCrypt,全因那些惡意軟件的原始碼在網上公開,使他們能夠迅速製作解密工具。
勒索軟件 HydraCrypt 和 UmbreCrypt 於今年初出現,是CryptBoss的變種。防毒軟件公司 Emsisoft 的研究人員Fabian Wosar 發現 CrypBoss 的原始碼在 PasteBin 泄漏,因此可以很快地破解加密機制,製造程式拯救被 CrytBoss 加密的檔案;Wosar 亦說只要把程式稍作修改亦可破解 HydraCrypt 和 UmbreCrypt。
雖然被 HydraCrypt 和 UmbreCrypt 加密的檔案,最尾有最多 15 Byte 的資料未能還原,但大部分情況下這些資料都不重要,只是緩衝資料,而且部分檔案格式亦有修復器來還原檔案。
Emsisoft 已發布用來破解 CrypBoss 等勒索軟件的程式。程式能夠產生解密金鑰,方法有兩種。第一是利用原有未被加密的檔案和被惡意加密的檔案,但如果受害人沒有備分檔案,也可以用第二個方法,就是把利用被加密的 PNG 圖檔和網上任何一張 PNG 圖檔。
下載程式後把兩個檔案拖曳到解密程式的圖示上,就會開始尋找解密金鑰,需時可達數日,之後程式便會為檔案解密了。他們亦建議先為數個檔案解密,確保無誤後才繼續。
Source : Softpedia