heise online Logo
Anmelden
Menü
  • c't – Magazin für Computertechnik
  • iX – Magazin für professionelle Informationstechnik
  • MIT Technology Review – Das Magazin für Innovation von Heise
  • c't Fotografie - Das Magazin rund ums digitale Bild
  • Mac & i – Nachrichten, Tests, Tipps und Meinungen rund um Apple
  • Make – Kreativ mit Technik
  • Alle Magazine im Browser lesen
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise Shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige Go! Schule morgen
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. TeslaCrypt 2.0 entschlüsselt

TeslaCrypt 2.0 entschlüsselt

Hintergrund 05.02.2016 06:00 Uhr Dennis Schirrmacher, Jürgen Schmidt
TeslaCrypt 2.0 entschlüsselt

(Bild: Brenda Clarke, CC BY 2.0 )

Die Ransomware TeslaCrypt ist geknackt und betroffene Nutzer können auch ohne das Zahlen von Lösegeld wieder Zugriff auf ihre verschlüsselten Daten erlangen. Heise Security hat das erfolgreich ausprobiert.

Die Kopie einer Festplatte eines TeslaCrypt-Opfers hatten wir noch; also machten wir uns daran, das soeben entdeckte TeslaDecode damit auszuprobieren und die verschlüsselten Dateien wiederherzustellen. Wir orientierten uns dabei an einer Anleitung der Macher von TeslaDecoder (PDF-Download). Trotz anfänglicher Skepsis gelang es uns schließlich, Dateien mit der TeslaCrypt-Endung .vvv zu entschlüsseln.

Zum Hintergrund: TeslaCrypt verschlüsselt die Dateien selbst mit einem symmetrischen AES-Schlüssel. Ohne den kommt man also nicht mehr an die Daten. Dieser AES-Schlüssel steht aber im Kopf jeder verschlüsselten Datei – und ist dort zumindest bei TeslaCrypt 2 zum Glück eher verschwurbelt als verschlüsselt. Man muss also letztlich nur den AES-Schlüssel entschwurbeln und damit dann die Dateien wieder entschlüsseln.

Die Entschlüsselungs-Tools

Dazu besorgten wir uns die Tools TeslaDecoder (Download) und YAFU (Download) von der IT-Site Bleeping Computer, deren Community sie bis zur Benutzbarkeit weiterentwickelt hat. Achtung: Beim Download des TeslaDecoders kann der Viren-Wächter anspringen; auch unser Windows 10 hielt die Datei für bedrohlich. Dabei handelt es sich wahrscheinlich um Fehlalarme, wir konnten jedenfalls auf unserem Test-Sytem keine verdächtigen Aktivitäten feststellen. Wer auf Nummer sicher gehen will, benutzt wie wir die Tesla-Tools nur auf einem virtuellen Test-System ohne Netzwerk-Verbindung oder nimmt gleich die Open-Source-Kommandozeilen-Scripte TeslaCrack von Github.

Bild 1 von 10

TeslaCrypt 2.0 entschlüsseln (10 Bilder)

TeslaDecoder kommt zusätzlich noch mit den Anwendungen TeslaRefactor und TeslaViewer daher.

Im ersten Schritt benutzten wir den TeslaViewer, um aus einer verschlüsselten Datei das Produkt aus Shared Secret und Private Key zu extrahieren. Diese 523-Bit-Zahl verfütterten wir dann an YAFU, ein hochoptimiertes Open-Source-Tool zur Ermittlung der Prim-Faktoren. Es ging auf unserem 4-Kerner mit mehreren Threads zu Werke und präsentierte schon nach zwanzig Sekunden ein Ergebnis. Wir hatten dabei Glück, denn unsere Zahl enthielt viele kleine Prim-Faktoren, die sehr schnell gefunden wurden, was den Rest dann leicht machte. Berichten zufolge kann das im schlimmsten Fall auch mal einige Tage dauern.

In weniger als einer Minute entschlüsselt

Aus diesen Prim-Faktoren rekonstruierte dann "Tesla refactor" mit Hilfe des ebenfalls vom TeslaViewer gelieferten Public Key ruckzuck den so genannten "Private Key", bei dem nicht ganz klar ist, ob das schon der AES- oder der zum Public Key gehörende Schlüssel ist. Die Entwickler verwenden zum Teil sehr eigenwillige Bezeichnungen. Jedenfalls konnte schließlich TeslaDecoder unsere .vvv-Datei entschlüsseln. Ein schneller Blick bewies: Die PDF-Datei war wieder heil.

TeslaCrypt verwendet zur Laufzeit für alle Dateien den gleichen AES-Key, sodass man den einmal gewonnenen Schlüssel weiter benutzen kann. Nur bei einem Neustart erzeugt TeslaCrypt einen neuen AES-Schlüssel und man muss die in der Bilderstrecke noch genauer dokumentierten Vorgänge gegebenenfalls erneut durchführen. Wer übrigens Dateien mit der Endung .xxx, .ttt, oder .micro auf seinem PC vorfindet, wurde Opfer der aktualisierten Version TeslaCrypt 3, die sich mit diesen Tools nicht knacken lässt. Aber wer weiß – vielleicht findet sich ja auch dafür noch ein Weg.

Kommentare lesen (17 Beiträge)

Mehr zum Thema

  • Cybercrime
  • Malware
  • Ransomware
  • TeslaCrypt
  • Trojaner
  • Verschlüsselung

Forum bei heise online: Verschlüsselung

Teile diesen Beitrag

https://heise.de/-3094987 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Aruba ClearPass Policy Manager

Sonicwall

NetBSD & Playstation

ZoneAlarm

Anzeige
  • OPPO Find X5 Pro: Fotos und Videos auf professionellem Niveau
  • Mehr Flexibilität durch Infrastructure as Code
  • Zuverlässiger Zugriff dank Zero Trust
  • Wie IT zu nachhaltigem Wirtschaften beitragen kann
  • MediaMarkt: Der bessere Geschäftskunden-Service
  • Sicher entwickeln im Open-Source-Universum
  • Fujitsu Data & Storage Days 02.06. – 20.07.2022
  • SANS eröffnet Cyber-Ressource Center
  • Kundenservice mit künstlicher Intelligenz
  • Wann lohnt es sich, die IT-Security auszulagern?
Artikel

Utimaco, der Krypto-Miner und ein Disclosure-Desaster​

Auch Anbieter von Hochsicherheitslösungen sind vor Securityproblemen nicht gefeit. Man sollte sich vorbereiten, bevor man davon erfährt, sagt Jürgen Schmidt.

11 Kommentare
Aufmacher: Kommentar Welt-Passwort-Gedenktag

Kommentar: "Willkommen zum Welt-Passwort-Gedenktag"

Welt-Passwort-Tag: Jürgen Schmidt, Senior Fellow Security bei Heise, hat einen Kommentar aus einer Zukunft ohne Passwörter geschickt.

230 Kommentare
  • Passwortsicherheit – Alles, was Sie wissen müssen
  • Welt-Passwort-Tag: Zugangssicherheit im Fokus

Der Patch-Alptraum: Wenn schnell nicht schnell genug ist

Neben den überbewerteten Zero-Day-Lücken gibt es eine weniger bekannte Bedrohung durch "Beinahe-Zero-Days". Die sind weitverbreitet und brandgefährlich.

95 Kommentare

Neueste Forenbeiträge

  1. WeTransfer und gefährliche Ratschläge
    Viele Menschen nutzen gern den kosenlosen Service von WeTransfer, um große Dateien zu übertragen. WeTransfer verschickt dann E-Mails, um…

    Forum:  Diverses

    Paul Lenz hat keinen Avatar
    von Paul Lenz; 11.05.2022 13:57
  2. Re: sudo apt-get update: Signatur abgelaufen
    Hallo, per eMail vom Redakteur ein neues Zertifikat anfordern. Evtl. reicht es auch das Zertikat zu importieren. Andernfalls dieses durch eine…

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; 09.05.2022 12:44
  3. Re: Herr Schirrmacher ist eine Vorschau auf das kommende Desinfec't schon möglic
    In der Heftvorschau des aktuellen Heft 11 ist Desinfec't nicht in den Topthemen aufgeführt. Entweder es wird noch gründlich überarbeitet und…

    Forum:  Desinfect

    maal1 hat keinen Avatar
    von maal1; 06.05.2022 12:06
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Cookies & Tracking
  • Impressum
  • Kontakt
  • Barriere melden
  • Mediadaten
  • 1743838
  • Content Management by InterRed
  • Hosted by Plus.line
  • Copyright © 2022 Heise Medien