GRN DATA Blog

ランサムウェアの一種でvvvウイルスと言う名称で有名になったTeslaCryptですが、どうやら復号方法があるようです。
と言っても、鍵を素因数分解して求めるという力技なので、何時間～何年かかるか分からない方法ではありますが。

セキュリティ業界では有名な、ソフトバンク・テクノロジーの辻さんが、検証されてました。
検証結果で出ているPrimeを見る感じ複数の素因数が出てきていたので、このマルウェアはRSAの公開鍵暗号を使いながらも、ひょっとして安全な鍵が作られていないのかな？と思った次第です。
いずれにせよ、不幸中の幸いですね。
※TesraCrackのサイトを見るとAES鍵がウンタラと出ていたので、多分RSAでAESの共有鍵を暗号化している形なのかな？？間違ってたらごめんなさい。

まあ、この手の攻撃はスピード＆スタートダッシュ命だから、安全な鍵をのんきに作ってられない、というのも有るのかもしれません。
※元々この手の暗号は、巨大な素数を使うことで、素因数分解が難しくなるというところを根拠に安全性を維持してます。うまく作れば、素因数は単位元（1）を除いて、2個しか出ないはずです。

また、TeslacCryptがvolume shadow copyを削除するところで出てくるUACを阻止出来ていれば、shadow explorerなどでも復旧することが出来ます。

まあ、何はともあれ、基本はバックアップとっておきましょう。

この手の攻撃には、バックアップが一番よく効きます。