てすたんの日記

testa021の日記 TeslaCrypt、ランサムウェア、mp3ウイルス、VVVウイルス、パソコンとかソフトのレビューが多い感じ?

スポンサーリンク

teslacryptはRS-A2048→RSA-4096→暗号化アルゴリズム改善と進化している?teslacrypt2.2.0と2.2.0改、3.0の身代金ページ比較してみた

teslacrypt2.2.0(VVVウイルス)は何度かマイナーバージョンアップをしてるみたいです。

なので

 

①割りと初期のバージョン

ツイッターで話題になった当時はこのバージョンだと思います。

②マイナーバージョンアップ版

12月中旬ぐらいからはこれに感染した人が多いかもです。

③teslacrypt3.0(xxxウイルス)

1月12日ごろ検体が出てます。

 

と比較してみました。

 

teslacrypt2.2.0 左が①初期、右が②マイナーバージョンアップ版

①はRSA-2048がなのに対して②はRSA-4096になってますね。

私はRSAや暗号について全くの無知ですが(wiki見てもよくわからない)、これは表記だけじゃなくて実際に変わってるのかもしれません。

 

なぜそう思うかというと

①のRSA-2048の感染ファイルは復号化にcorei7で数時間しかかからなかったのに対して

②のRSA-4096で暗号化されたファイルは復号化に1周間弱かかって苦労しました。

※復号化には公開鍵の割り出し(環境整えればすぐ出てくる)のと、秘密鍵の解析が必要なんですが、秘密鍵の解析にやたらCPUパワーと時間がかかります。

 

また、復号化が簡単に成功している人と、数日たっても復号化出来ない人に分かれているのはこのせいだと思います。(もちろんマシンパワーの差もあると思いますが・・・)

f:id:testa021:20160116113940p:plain

 

 

③teslacrypt3.0の身代金ページ 

 

f:id:testa021:20160116114925p:plain

 

②のと同じくRSA-4096とありますが、復号化ツールの作者さんによると

このバージョンは、もはや単純な因数分解の攻撃に対して脆弱ではありません

 と言っているので、RSA-4096以外の何かが変わったんじゃないでしょうか。

RSAで暗号化されたファイルを解析する攻撃手法は色々あるみたいなので、暗号化アルゴリズムによっては時間を短縮して解析出来てしまう脆弱性があるようです。

①、②のバージョンはそういった脆弱性があったということですかね?(②で強化したとはいえ)

teslacryptは以前のバージョン(2.2.0 VVVじゃない奴)でもTeslaDecrypterなどのツールがあったようですね。※これは確かそもそも秘密鍵がPCか何かに残ってたとかそういう話だったかな・・・?よくわからないですすみません。

 

teslacrypt3.0でも復号化出来るようになることを祈りましょう(´;ω;`)