Prometheus勒索软体受害者能自救了！台资安业者奥义智慧成功破解并提供解密工具 在最近一年内崛起的Prometheus勒索软体，全球已有40多个受害者，台湾也有大企业遇害 ，近期国内资安业者奥义智慧推出针对该勒索软体的解密工具，让受害者能够自救，复原 那些被恶意加密的档案，而他们也将加入全球性No More Ransom计画成为合作夥伴。 按赞加入iThome粉丝团 文/罗正汉 | 2021-08-11发表 为了阻止勒索软体的危害，过去已有一些资安业者，设法找到勒索软体的弱点，或是偕同 执法单位破获其组织，进而开发出相应的解密工具，而且免费提供给大家使用，让受害者 免於继续遭受勒索软体威胁，恢复那些被恶意加密的档案。最近，又有一款勒索软体解密 工具释出，是针对普罗米修斯（Prometheus）勒索软体而来，而它的开发者正是近年来备 受关注的台湾资安新创业者──奥义智慧，他们也是继趋势科技之後，国内第二间打造出 勒索软体解密工具的公司。 Prometheus於最近一年内崛起，受害者已遍布全球 在7月中旬，奥义智慧在官方英文部落格上，宣布於GitHub释出Prometheus Decryptor， 顾名思义，这是针对Prometheus勒索软体解密的工具，遭受此勒索软体的受害者，可以透 过这款具有GUI介面的工具，自行将被加密绑架的档案解密。 关於Prometheus勒索软体的起源，最早是在2020年被发现，在其幕後组织於暗网设立的资 料外泄网站上，已有多达40个受害者，特别的是，他们自称隶属於恶名昭彰的REvil组织 ，但根据多方证据显示，Prometheus应是Thanos勒索软体的变种。 例如，根据Palo Alto Network旗下威胁情资研究机构Unit 42，在今年6月就针对 Prometheus提出分析报告，他们指出，该勒索软体的受害者遍布全球30国，同时也确认它 与Thanos勒索软体的关连，而最近推出解密工具的奥义智慧，同样指出该勒索软体与 Thanos的关连。 此外，这套免费解密工具发布之後，对Prometheus的运作产生很大的冲击。例如，8月1日 国外媒体The Record有一篇报导指出，Prometheus勒索软体解密工具发布两个星期之後， 该组织在暗网上似乎已经停止行动，疑似另起炉灶。 奥义智慧释出勒索软体解密工具，可还原被Prometheus加密的档案。今年7月中旬，奥义 智慧宣布释出Prometheus勒索软体解密工具，让全球遭受该勒索软体攻击的受害者，能免 费透过该解密工具，可有很大机会恢复档案。而根据国外媒体The Record的报导，当中引 述了资安业者Emsisoft的专家说法，指出该解密工具主要对小型档案有效。 年初因台湾企业受害，奥义研判有机会破解而投入研发 勒索软体的危害已经不言而喻，但要开发出相应的解密工具，让受害者免於受勒索加密之 苦，并不容易，因为厂商和资安专家不仅要花时间与心力去研究，也要看是否真能找出其 弱点。所以，对於奥义智慧为何会开发这样的解密工具，外界也很好奇。 事实上，Prometheus勒索软体受害者遍布全球，台湾也有企业遭殃。奥义智慧共同创办人 丛培侃表示，最初他们就是接到国内客户资安事件，因此参与Prometheus勒索软体有关的 事件调查。 他表示，这家公司具有上千人规模，一些电脑都因勒索软体而瘫痪，在协助调查过程中， 发现连备份资料也同样遭到加密，对营运造成很大冲击，因此他们也曾接洽该勒索软体组 织，希望居中斡旋，但对方提出勒索金额，是这家企业所没法承受的天价，因此希望奥义 智慧帮忙。 然而，有别於一般遭遇勒索软体攻击的企业，丛培侃表示，这家公司并未要求奥义智慧让 他们的系统能立刻恢复营运，而是让他们继续调查攻击事件的入侵过程，以及对此勒索软 体进行逆向工程解析，自身则采纸本作业来维持公司运作。 基本上，没有厂商打包票能破解勒索软体。他表示，被勒索加密的这些档案能否复原，需 要针对病毒进行全方位分析，以及骇客族群背景调查，过程当中相当耗费时间精力成本， 也不确定是否可以成功。 不过，这家客户还是希望奥义智慧能找出一些解法，并且对於他们进行的调查相当有耐心 。而奥义智慧的作法，则是请对方设法蒐集被加密的档案，以及可能残留的勒索病毒样本 ，还有勒索信，有了这些资讯，能帮助他们加速判断，了解该勒索软体的演算法核心是否 有问题。 经过评估之後，他们研判有机会在有限的时间内做到解密功能，也将这样的资讯提供给客 户，最终经历了一个月的努力，奥义智慧整个研究团队终於开发出能够解开勒索软体加密 档案的工具。 丛培侃表示，每间公司的危机处理态度都不一样，很少企业的决策是愿意等待厂商的研发 ，所幸这次最终也有不错的结果，可以在有限时间内，找出成功战胜勒索病毒的方法。 不过，Prometheus勒索软体本身究竟有什麽样的弱点？奥义智慧资深研究员陈仲宽表示， 最主要是他们发现其加解密演算法的缺陷，对於每个档案加密金钥的生成，是与系统启动 後的时间相关，并且只使用较短的32位元的长度，因此，虽然骇客也使用RSA 4096加密技 术，用於保护加密每个档案的金钥，但奥义智慧的对策，是找出绕过高强度加密防护的方 式，直接将被加密的档案解密恢复。 基本上，这类勒索软体可能为了在短时间能获得最大效果，因此对於每个档案的加密，使 用ChaCha20、Salsa20等演算法以达到快速加密的目的，但这次最主要得以破解的原因， 还是因为上述所提及用时间来对每个档案产生加密金钥。 Prometheus Decryptor网址：https://github.com/cycraft-corp/Prometheus-Decryptor 若是企业组织不幸遭受Prometheus勒索软体攻击，用户可透过奥义智慧提供的这款解 密工具来复原档案。使用上，这款解密工具提供了GUI介面让使用者操作，只要选择档案 或资料夹，以及解密档案输出位置，即可执行解密。特别的是，若是使用者知道被加密的 时间点，在介面中输入对应参数，以及开启电脑多执行序的运算，将可加快解密过程。（ 图片来源：奥义智慧） 奥义智慧也加入No More Ransom，提供大众能用的解密工具 目前已知提供解密工具的资安业者，当中有许多都加入全球知名的No More Ransom计画， 奥义智慧是否也打算加入？ 对此，奥义智慧表示，他们已经提出申请。丛培侃说明，上述客户的资安事件发生在2021 年2月，到了3月，他们正式开发出解密工具，不过，当时只是透过命令列执行的工具，目 的也只是为了协助该客户。 不过，奥义智慧也想贡献一己之力，因此决定申请加入No More Ransom计画。 他们也分享了这方面的申办经验。例如，他们最初找不到No More Ransom的联络窗口，由 於他们同时身为国际资安事件应变组织FIRST成员，询问国际夥伴之後，才得到对方的联 络方式，丛培侃表示，加入这个计画需得到该平台创始成员的同意，并要有所贡献，才能 加入，而他们後来取得Associate 合作夥伴的资格，也就是贡献勒索软体解密工具。 对於解密工具的共享，该组织的要求也不少，陈仲宽表示，他们需要提供解密工具与病毒 样本，对方也会自行寻找样本来测试，态度相当严谨。 特别的是，奥义智慧最初研究Prometheus勒索软体时，曾以为它是Thanos勒索软体，而在 与No More Ransom之间的合作之下，比对更多资讯後，对方也协助他们验证，经过数次沟 通，奥义智慧也确认是Thanos的变种，当中有沿用部分程式码。事实上，Prometheus勒索 软体一词，也是直到今年6、7月才出现。 而且，No More Ransom对於解密工具的对外提供，也有一定的要求，因为要让普遍受害者 都能下载後自行使用。因此，奥义智慧将原本是命令列的解密工具，在7月改版为GUI介面 版本释出，而包括操作介面与相关说明文件，也都要经过该组织审核，评估是否能让一般 人都能看懂与使用。 新闻来源 https://www.ithome.com.tw/news/146136 你们被加密的档案还留着吗？ -- 如果说了後悔　是不是一切就能倒退　回忆多麽美　活着多麽狼狈　为什麽这个世界　 总要叫人嚐伤悲　我不能了解　也不想了解　我好想好想飞　逃离这个疯狂世界 那麽多苦　那麽多累　那麽多莫名的泪水〔伤悲〕我好想好想飞　逃离这个疯狂的世界 　　　　　　　　　　　　　　　　　　　　　　　　　　 　五月天 - 疯狂世界 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.136.216 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1628731283.A.C6D.html