[Virus] TeslaCrypt 解藥釋出

TeslaCrypt was a ransomware trojan. It is now defunct, and its master key released by the developers. A free decryption tool is available.

In its early forms, TeslaCrypt targeted game-play data for specific computer games. Newer variants of the malware also affect other file types.

- Refer to Wiki

圖 1-1 TeslaCrypt 勒索訊息（圖片來源）

圖 1-2 TeslaCrypt 勒索訊息（圖片來源）

TeslaCrypt 在今年二月底被發現，並快速崛起。安全研究人員 Vadim Kotov 指出此變種通過攻擊 WordPress 並散布，被攻陷的網站將被設定為將訪問者重定向一個植入了 Angler Exploit Kit 的頁面。被定向的網頁是為了檢測虛擬化環境或防毒軟體是否存在，若不存在則程式碼利用 Flash Player 漏洞（CVE-2015-0311）或早期的 IE 瀏覽器漏洞將 TeslaCrypt 植入目標系統上，主要攻擊微軟 IE 與 Opera 瀏覽器用戶。

即使 TeslaCrypt 聲稱其為 CryptoLocker 的變種，但研究人員指出兩者相似度極低。不過 TeslaCrypt 與其他勒索軟體相同，都將加密受害者文件（包括照片、影片或文件等）為 *.vv，而 TeslaCrypt 獨特之處在於他還會搜尋並加密與流行遊戲緊密相關的文件。

TeslaCrypt 的作者群將精力主攻遊戲平台且非常活躍，經常更新程式碼而讓安全研究人員疲於追逐。TeslaCrypt 除加密流行遊戲緊密相關的文件外，還有與 Steam、或遊戲開發軟體（e.g. Unity3D、RPG 製作大師等）相關的文件。TeslaCrypt 瞄準了 185 種副檔名，相較於 TorrentLocker 來的較少。但研究人員強調 TeslaCrypt 瞄準更多與遊戲相關的文件類型。

TeslaCrypt 在加密檔案後，會要求被害者給付 1.5 個比特幣或利用 PayPal My Cash Card 給付 1000 美元。FireEye 曾統計，去年 2 到 4 月間，有 163 名 TeslaCrypt 的受害者總計支付了 7.6 萬美元的贖金。

然而令人驚訝的是，TeslaCrypt 的作者在 Tor 網路上架設網站公告，針對過去所造成的使用者損害表達歉意，並且在防毒軟體公司 ESET 研究人員的詢問下，主動在過去的贖金支付網站上釋出解密金鑰。

圖 2 TeslaCrypt 道歉聲明

既然解密金鑰已公開，ESET 亦利用解密金鑰製作解密工具 ESETTeslaCryptDecryptor，放置於網路上提供受害者免費使用，同時也聲明 ESETTeslaCryptDecryptor 可針對 TeslaCrypt 與 TeslaCrypt 變種病毒來使用，只是需以 DOS 環境下執行。

圖 3 ESETTeslaCryptDecryptor.exe 程式資訊

首先先下載 ESETTeslaCryptDecryptor.exe 至桌面。下載完畢後開啟命令提示字元，可利用 Win+R 快速鍵跳出執行視窗並輸入 cmd。

圖 4 執行 cmd

進入 cmd 後，輸入下列指令

    cd C:\Users\{UserName}\Desktop

圖 5 進入桌面

將 {Username} 替換為自己的使用者名稱進到桌面後，輸入 ESETTeslaCryptDecryptor.exe 便會顯示 ESETTeslaCryptDecryptor.exe 的資訊與使用方法：

圖 6 ESETTeslaCryptDecryptor.exe

這邊稍微對 ESETTeslaCryptDecryptor.exe 與參數做說明：

ESETTeslaCryptDecryptor.exe [options] <filename directory="" name="" or="" s="">

Options:
  /s - 安靜模式
  /f - 強制清除
  /d - 除錯模式
  /n - 僅列出可解密之檔案但不進行解密動作
  /h or /? - 檢視可用方法

舉例來說，如果我要解密 C:\ 所有的檔案，可以輸入：

ESETTeslaCryptDecryptor.exe C:\

使用者可依照自己需求添加參數。若是認為在 DOS 環境下不好操作，亦可參考使用 TeslaDecoder.exe。TeslaDecoder.exe 為 TeslaCrypt 專家  BloodDolly 以 ESETTeslaCryptDecryptor.exe 為架構所推出的一款解密工具。使用者可在 TeslaDecoder.exe 方便的 GUI 介面下進行 TeslaCrypt 的加密檔案解密功能。相關使用與教學可以參考文章中的說明，這裡就不加贅述。

不免俗的還是必須提醒使用者，勒索軟體通常是基於使用者缺乏危機意識才會導致受害，在平時使用電腦時須注意勿隨意開啟不明或未受信任的網頁、連結、檔案或信件等，防毒軟體能給予使用者的幫助絕對不大於使用者優良的使用習慣。