奥义智能研究Prometheus勒索软件弱点并发布解密工具

为了阻止勒索软件的危害,过去已有一些安全企业,设法找到勒索软件的弱点,或是协同执法单位破获其组织,进而开发出相应的解密工具,而且免费提供给大家使用,让受害者免于继续遭受勒索软件威胁,恢复那些被恶意加密的文件。最近,又有一款勒索软件解密工具发布,是针对普罗米修斯(Prometheus)勒索软件而来,而它的开发者正是近年来备受关注的台湾安全创业公司企业──奥义智能,他们也是继趋势科技之后,台湾第二间打造出勒索软件解密工具的公司。

在7月13日,奥义智能在官方英文博客上,宣布于GitHub发布Prometheus Decryptor,顾名思义,这是针对Prometheus勒索软件解密的工具,遭受此勒索软件的受害者,可以通过这款具有GUI接口的工具,自行将被加密绑架的文件解密。

关于Prometheus勒索软件的起源,最早是在2020年被发现,在其幕后组织于暗网设立的资料外泄网站上,已有多达40个受害者,特别的是,他们自称隶属于恶名昭彰的REvil组织,但根据多方证据显示,Prometheus应是Thanos勒索软件的变种。

例如,根据Palo Alto Network旗下威胁情报资料研究机构Unit 42,在今年6月就针对Prometheus提出分析报告,他们指出,该勒索软件的受害者遍布全球30国,同时也确认它与Thanos勒索软件的关联,而最近推出解密工具的奥义智能,同样指出该勒索软件与Thanos的关联。

此外,这套免费解密工具发布之后,对Prometheus的运行产生很大的冲击。例如,8月1日国外媒体The Record有一篇报道指出,Prometheus勒索软件解密工具发布两个星期之后,该组织在暗网上似乎已经停止行动,疑似另起炉灶。

奥义智能发布勒索软件解密工具,可还原被Prometheus加密的文件。今年7月中旬,奥义智能发布Prometheus勒索软件解密工具于GitHub,让全球遭受该勒索软件攻击的受害者,能免费通过该解密工具,可有很大机会恢复文件。而根据国外媒体The Record的报道,其中引述了安全企业Emsisoft的专家说法,指出该解密工具主要对小型文件有效。

从Prometheus勒索软件在暗网设立的资料外泄网站上,可看出已有40多个受害企业组织。 (图片来源:奥义智能)

勒索软件的危害已经不言而喻,但要开发出相应的解密工具,让受害者免于受勒索加密之苦,并不容易,因为厂商和安全专家不仅要花时间与心力去研究,也要看是否真能找出其弱点。所以,对于奥义智能为何会开发这样的解密工具,外界也很好奇。

事实上,Prometheus勒索软件受害者遍布全球,台湾也有企业遭殃。奥义智能共同创办人丛培侃表示,最初他们就是接到台湾客户安全事件,因此参与Prometheus勒索软件有关的事件调查。

他表示,这家公司具有上千人规模,一些计算机都因勒索软件而瘫痪,在协助调查过程中,发现连备份资料也同样遭到加密,对运营造成很大冲击,因此他们也曾接洽该勒索软件组织,希望在其中斡旋,但对方提出勒索金额,是这家企业所没法承受的天价,因此希望奥义智能帮忙。

然而,有别于一般遭遇勒索软件攻击的企业,丛培侃表示,这家公司并未要求奥义智能让他们的系统能立刻恢复运营,而是让他们继续调查攻击事件的入侵过程,以及对此勒索软件进行逆向工程解析,自身则采纸质作业来维持公司运行。

基本上,没有厂商打包票能破解勒索软件。他表示,被勒索加密的这些文件能否恢复,需要针对病毒进行全方位分析,以及黑用户群体体背景调查,过程其中相当耗耗时间精力成本,也不确定是否可以成功。

不过,这家客户还是希望奥义智能能找出一些解法,并且对于他们进行的调查相当有耐心。而奥义智能的做法,则是请对方设法搜集被加密的文件,以及可能残留的勒索病毒样本,还有勒索信,有了这些信息,能帮助他们加速判断,了解该勒索软件的算法核心是否有问题。

经过评估之后,他们研判有机会在有限的时间内做到解密功能,也将这样的信息提供给客户,最终经历了一个月的努力,奥义智能整个研究团队终于开发出能够解开勒索软件加密文件的工具。

丛培侃表示,每家公司的危机处理态度都不一样,很少企业的决策是愿意等待厂商的研发,所幸这次最终也有不错的结果,可以在有限时间内,找出成功战胜勒索病毒的方法。

不过,Prometheus勒索软件本身究竟有什么样的弱点?奥义智能资深研究员陈仲宽表示,最主要是他们发现其加解密算法的缺陷,对于每个文件加密密钥的生成,是与系统启动后的时间相关,并且只使用较短的32位元的长度,因此,虽然黑客也使用RSA 4096加密技术,用于保护加密每个文件的密钥,但奥义智能的对策,是找出绕过高强度加密防护的方式,直接将被加密的文件解密恢复。

基本上,这类勒索软件可能为了在短时间能获得最大效果,因此对于每个文件的加密,使用ChaCha20、Salsa20等算法以达到快速加密的目的,但这次最主要得以破解的原因,还是因为上述所提及用时间来对每个文件产生加密密钥。

若是企业组织不幸遭受Prometheus勒索软件攻击,用户可通过奥义智能提供的这款解密工具来恢复文件。使用上,这款解密工具提供了GUI接口让用户操作,只要选择文件或文件夹,以及解密文件输出位置,即可执行解密。特别的是,若是用户知道被加密的时间点,在接口中输入对应参数,以及打开计算机多执行序的运算,将可加快解密过程。 (图片来源:奥义智能)

目前已知提供解密工具的安全企业,其中有许多都加入全球知名的No More Ransom计划,奥义智能是否也打算加入?

对此,奥义智能表示,他们已经提出申请。丛培侃说明,上述客户的安全事件发生在2021年2月,到了3月,他们正式开发出解密工具,不过,当时只是通过命令行执行的工具,目的也只是为了协助该客户。

不过,奥义智能也想贡献一己之力,因此决定申请加入No More Ransom计划。

他们也分享了这方面的申办经验。例如,他们最初找不到No More Ransom的联系窗口,由于他们同时身为国际安全事件应变组织FIRST成员,询问国际伙伴之后,才得到对方的联系方式,丛培侃表示,加入这个计划需得到该平台创始成员的同意,并要有所贡献,才能加入,而他们后来取得Associate合作伙伴的资格,也就是贡献勒索软件解密工具。

对于解密工具的共享,该组织的要求也不少,陈仲宽表示,他们需要提供解密工具与病毒样本,对方也会自行寻找样本来测试,态度相当严谨。

特别的是,奥义智能最初研究Prometheus勒索软件时,曾以为它是Thanos勒索软件,而在与No More Ransom之间的合作之下,比对更多信息后,对方也协助他们验证,经过数次沟通,奥义智能也确认是Thanos的变种,其中有沿用部分程序代码。事实上,Prometheus勒索软件一词,也是直到今年6、7月才出现。

而且,No More Ransom对于解密工具的对外提供,也有一定的要求,因为要让普遍受害者都能下载后自行使用。因此,他们将原本是命令行的解密工具,在7月改版为GUI接口发布,而包括操作接口与相游说明文件,也都要经过该组织审核,评估是否能让一般人都能看懂与使用。

发表评论