這是一個真實的案例：就在上個月，小編的朋友，一位銀行高管不慎點開了一封郵件的附件，真真切切的遭遇了原本以為只有在FreeBuf上看到的“新鮮玩意”——勒索軟件。如同本文的主角TeslaCrypt一樣，他的電腦被徹底加密，只有依照軟件提示交付贖金才能恢復，這讓我的朋友欲哭無淚……

Cisco(思科)公司在對勒索軟件TeslaCrypt經過長期的分析后，近日發布了一款解密工具，這款工具能夠解密被TeslaCrypt勒索而加密的文件。

百科：勒索木馬

勒索軟件是一種近年來愈發流行的木馬，這些木馬會通過加密鎖定被感染的計算機，要求受害者支付贖金后才能返還控制權，否則你硬盤里的文件將永遠被木馬加密了。勒索軟件近年來層出不窮，FreeBuf也進行過大量報道。

目前一些安全公司已經開始開發針對勒索軟件的解密工具。比如前不久，卡巴斯基與荷蘭國家高科技犯罪小組、荷蘭國家檢察官辦公室開發了一款工具幫助用戶恢復被勒索木馬CoinVault加密的文件。截止4月17日，解密軟件數據庫中已有超過700個密鑰。

勒索軟件TeslaCrypt

TeslaCrypt是一款臭名昭著的勒索軟件CryptoLocker的變體，專攻那些熱門游戲的玩家，被它盯上的游戲包括：使命召喚、暗黑破壞神、異塵余生、Minecraft、魔獸爭霸、F.E.A.R、刺客信條、生化危機、魔獸世界、英雄聯盟以及坦克世界等超過20種。研究人員同時發現，Nuclear、Sweet Orange和Angler等漏洞利用工具包正在使用這款工具。

一旦感染計算機，TeslaCrypt就會加密計算機上的文件，然后指示受害者前往一個解密網站，受害者要支付2.5個比特幣(約550美元)才能恢復他們的文件。不過調查顯示截止今年4月16日，還沒有人支付贖金。

解藥來了

思科發布的TeslaCrypt解密工具需要key.dat文件，以恢復加密時使用的主密鑰。

“在執行操作之前，程序會在用戶應用數據目錄或當前目前目錄搜索‘key.dat’文件，”思科Talos研究人員寫道，“如果程序找不到key.dat文件，就會返回錯誤自動退出。”

如果能夠找到key.dat文件，用戶就可以指定解密那個文件或目錄。程序中還附帶了一些命令行選項，不僅能解密文件和目錄，還可以終止并刪除TeslaCrypt程序。

思科建議用戶在使用這款工具之前備份好經過加密的文件。

思科還發布了不同版本的工具：Windows可執行版本、Python腳本和工具的源碼。

Windows可執行程序:

ZIP SHA256: 57ce1c16e920a9e19ea1c14f9c323857c9a40751619d3959684c7e17956d66c6

Python腳本:

ZIP SHA256: ea58c2dd975ed42b5a30729ca7a8bc50b6edf5d8f251884cb3b3d3ceef32bd4e

Windows可執行文件的源碼:

ZIP SHA256: 45908f0b3f8eb73bf820ded0a886842ac5c3e4c83068097806daad662046b1e0

“我們的工具還缺少了幾個功能。我們還沒時間實現從恢復密鑰中獲取主密鑰”思科研究員稱，“這個功能很重要，因為在某些TeslaCrypt版本中，文件加密過程完成后，主密鑰就從‘key.dat’文件移除了。”

通過分析發現，勒索軟件TeslaCrypt使用的其實是對稱的AES加密，而非軟件展示給受害者的警告中所說的非對稱RSA-2048加密算法。游戲玩家們應該注意，這款勒索軟件會加密保存的游戲和Steam的激活密鑰。