為了阻止勒索軟體的危害,過去已有一些資安業者,設法找到勒索軟體的弱點,或是偕同執法單位破獲其組織,進而開發出相應的解密工具,而且免費提供給大家使用,讓受害者免於繼續遭受勒索軟體威脅,恢復那些被惡意加密的檔案。最近,又有一款勒索軟體解密工具釋出,是針對普羅米修斯(Prometheus)勒索軟體而來,而它的開發者正是近年來備受關注的臺灣資安新創業者──奧義智慧,他們也是繼趨勢科技之後,國內第二間打造出勒索軟體解密工具的公司。

Prometheus於最近一年內崛起,受害者已遍布全球

在7月中旬,奧義智慧在官方英文部落格上,宣布於GitHub釋出Prometheus Decryptor,顧名思義,這是針對Prometheus勒索軟體解密的工具,遭受此勒索軟體的受害者,可以透過這款具有GUI介面的工具,自行將被加密綁架的檔案解密。

關於Prometheus勒索軟體的起源,最早是在2020年被發現,在其幕後組織於暗網設立的資料外洩網站上,已有多達40個受害者,特別的是,他們自稱隸屬於惡名昭彰的REvil組織,但根據多方證據顯示,Prometheus應是Thanos勒索軟體的變種。

例如,根據Palo Alto Network旗下威脅情資研究機構Unit 42,在今年6月就針對Prometheus提出分析報告,他們指出,該勒索軟體的受害者遍布全球30國,同時也確認它與Thanos勒索軟體的關連,而最近推出解密工具的奧義智慧,同樣指出該勒索軟體與Thanos的關連。

此外,這套免費解密工具發布之後,對Prometheus的運作產生很大的衝擊。例如,8月1日國外媒體The Record有一篇報導指出,Prometheus勒索軟體解密工具發布兩個星期之後,該組織在暗網上似乎已經停止行動,疑似另起爐灶。

奧義智慧釋出勒索軟體解密工具,可還原被Prometheus加密的檔案。今年7月中旬,奧義智慧宣布釋出Prometheus勒索軟體解密工具,讓全球遭受該勒索軟體攻擊的受害者,能免費透過該解密工具,可有很大機會恢復檔案。而根據國外媒體The Record的報導,當中引述了資安業者Emsisoft的專家說法,指出該解密工具主要對小型檔案有效。

從Prometheus勒索軟體在暗網設立的資料外洩網站上,可看出已有40多個受害企業組織。(圖片來源:奧義智慧)

年初因臺灣企業受害,奧義研判有機會破解而投入研發

勒索軟體的危害已經不言而喻,但要開發出相應的解密工具,讓受害者免於受勒索加密之苦,並不容易,因為廠商和資安專家不僅要花時間與心力去研究,也要看是否真能找出其弱點。所以,對於奧義智慧為何會開發這樣的解密工具,外界也很好奇。

事實上,Prometheus勒索軟體受害者遍布全球,臺灣也有企業遭殃。奧義智慧共同創辦人叢培侃表示,最初他們就是接到國內客戶資安事件,因此參與Prometheus勒索軟體有關的事件調查。

他表示,這家公司具有上千人規模,一些電腦都因勒索軟體而癱瘓,在協助調查過程中,發現連備份資料也同樣遭到加密,對營運造成很大衝擊,因此他們也曾接洽該勒索軟體組織,希望居中斡旋,但對方提出勒索金額,是這家企業所沒法承受的天價,因此希望奧義智慧幫忙。

然而,有別於一般遭遇勒索軟體攻擊的企業,叢培侃表示,這家公司並未要求奧義智慧讓他們的系統能立刻恢復營運,而是讓他們繼續調查攻擊事件的入侵過程,以及對此勒索軟體進行逆向工程解析,自身則採紙本作業來維持公司運作。

基本上,沒有廠商打包票能破解勒索軟體。他表示,被勒索加密的這些檔案能否復原,需要針對病毒進行全方位分析,以及駭客族群背景調查,過程當中相當耗費時間精力成本,也不確定是否可以成功。

不過,這家客戶還是希望奧義智慧能找出一些解法,並且對於他們進行的調查相當有耐心。而奧義智慧的作法,則是請對方設法蒐集被加密的檔案,以及可能殘留的勒索病毒樣本,還有勒索信,有了這些資訊,能幫助他們加速判斷,了解該勒索軟體的演算法核心是否有問題。

經過評估之後,他們研判有機會在有限的時間內做到解密功能,也將這樣的資訊提供給客戶,最終經歷了一個月的努力,奧義智慧整個研究團隊終於開發出能夠解開勒索軟體加密檔案的工具。

叢培侃表示,每間公司的危機處理態度都不一樣,很少企業的決策是願意等待廠商的研發,所幸這次最終也有不錯的結果,可以在有限時間內,找出成功戰勝勒索病毒的方法。

不過,Prometheus勒索軟體本身究竟有什麼樣的弱點?奧義智慧資深研究員陳仲寬表示,最主要是他們發現其加解密演算法的缺陷,對於每個檔案加密金鑰的生成,是與系統啟動後的時間相關,並且只使用較短的32位元的長度,因此,雖然駭客也使用RSA 4096加密技術,用於保護加密每個檔案的金鑰,但奧義智慧的對策,是找出繞過高強度加密防護的方式,直接將被加密的檔案解密恢復。

基本上,這類勒索軟體可能為了在短時間能獲得最大效果,因此對於每個檔案的加密,使用ChaCha20、Salsa20等演算法以達到快速加密的目的,但這次最主要得以破解的原因,還是因為上述所提及用時間來對每個檔案產生加密金鑰。

Prometheus Decryptor網址:https://github.com/cycraft-corp/Prometheus-Decryptor

若是企業組織不幸遭受Prometheus勒索軟體攻擊,用戶可透過奧義智慧提供的這款解密工具來復原檔案。使用上,這款解密工具提供了GUI介面讓使用者操作,只要選擇檔案或資料夾,以及解密檔案輸出位置,即可執行解密。特別的是,若是使用者知道被加密的時間點,或是大概知道時間範圍,在介面中輸入對應參數,以及開啟電腦多執行序的運算,將可加快解密過程。(圖片來源:奧義智慧)

奧義智慧也加入No More Ransom,提供大眾能用的解密工具

目前已知提供解密工具的資安業者,當中有許多都加入全球知名的No More Ransom計畫,奧義智慧是否也打算加入?

對此,奧義智慧表示,他們已經提出申請。叢培侃說明,上述客戶的資安事件發生在2021年2月,到了3月,他們正式開發出解密工具,不過,當時只是透過命令列執行的工具,目的也只是為了協助該客戶。

不過,奧義智慧也想貢獻一己之力,因此決定申請加入No More Ransom計畫。畢竟,一直都還有企業組織遭受該勒索軟體的攻擊。

他們也分享了這方面的申辦經驗。例如,他們最初找不到No More Ransom的聯絡窗口,由於他們同時身為國際資安事件應變組織FIRST成員,詢問國際夥伴之後,才得到對方的聯絡方式,叢培侃表示,加入這個計畫需得到該平臺創始成員的同意,並要有所貢獻,才能加入,而他們後來取得Associate 合作夥伴的資格,也就是貢獻勒索軟體解密工具。

對於解密工具的共享,該組織的要求也不少,陳仲寬表示,他們需要提供解密工具與病毒樣本,對方也會自行尋找樣本來測試,態度相當嚴謹。

特別的是,奧義智慧最初研究Prometheus勒索軟體時,曾以為它是Thanos勒索軟體,而在與No More Ransom之間的合作之下,比對更多資訊後,對方也協助他們驗證,經過數次溝通,奧義智慧也確認是Thanos的變種,當中有沿用部分程式碼。事實上,Prometheus勒索軟體一詞,也是直到今年6、7月才出現。

而且,No More Ransom對於解密工具的對外提供,也有一定的要求,因為要讓普遍受害者都能下載後自行使用。因此,奧義智慧將原本是命令列的解密工具,在7月改版為GUI介面版本釋出,而包括操作介面與相關說明文件,也都要經過該組織審核,評估是否能讓一般人都能看懂與使用。

熱門新聞


Advertisement