CrypBoss、HydraCrypt、UmbreCrypt 等勒索软件已成功“破解”

 笔者先前有简单分析过，当电脑遭受到勒索软件感染后，恶意程序会将受害电脑中的档案加密，让使用者无法正常开启档案，基本上遭加密的档案因为无法自行解密，所以将再也无法开启，只能以高价向攻击者购买解密金钥。但是目前已经有 2 款勒索软件“惨剧破解”，使用者可以自行救回档案。

简单地说，勒索软件就是应用非对称式加密技术，将受害电脑中的档案加密，导致档案无法正常开启或读取，会造成资料毁损或程序无法正常执行等情况。由于受害者不知道正确的解密金钥，所以无法自行解密，只能以高价向攻击者购买解密金钥，然而若是受害者没有在期限内交付赎金，解密金钥就会惨遭“撕票”，遭加密的档案将再也无法开启。

不过由于 CrypBoss 系列勒索软件的程序码被泄露在 Pastebin，所以给遭勒索软件感染的电脑一线生机。奥地利资安公司 Emsisoft 的资安研究员 Fabian Wosar 在分析程序码之后，成功破解该勒索软件的加密演算法，并开发了解密程序，让遭 CrypBoss 与其衍生勒索软件（如 HydraCrypt、UmbreCrypt）加密的档案，可以解密还原成原始格式。

不过 Fabian Wosar 也表示，因为 HydraCrypt、UmbreCrypt 虽然采用 CrypBoss 相同的演算法，但是开发者还是有稍做修改，所以会造成遭感染档案的最后 15Byte 资料无法还原。

好在这些资料大多不太重要，许多档案最后的片段属于缓冲资料，可以透过档案修复软件重建，所以还是有很大的机会，能将档案还原成原本的样貌。

解密软件的操作相当简单，使用者需要准备下列 2 组档案的其中 1 组

1. 遭到加密与未遭加密的相同档案

2. 遭到加密的 PNG 图片档案与任意 PNG 图片档案

只要将任意一组档案拖曳到解密软件的图示上，解密软件就能经过计算得到解密金钥，于是使用者就可以透过这组解密金钥还原被感染的档案。

解密软件下载位置：

http://emsi.at/DecryptHydraCrypt

注意：该解密软件与说明皆取自 Emsisoft 官方博客，笔者尚未亲自测试。

之前笔者分析勒索软件难以破解的主要原因，就是因为不知道勒索软件的源代码与所采用的演算法，如今因为已经从源代码得知演算法，所以就可以推算出勒索软件所使用的加密金钥与解密金钥。

虽然根据柯克霍夫原则第二条“系统内不应含任何机密物，即使落入敌人手中也不会造成困扰”，设计严谨的勒索软件不应该会因源代码泄露，就能被反推、制作出解密软件。

但是笔者猜想，其中还有个关键因素，就是勒索软件一定会将金钥资讯回传给攻击者，这样才能向受害者兜售解密金钥。解密软件很有可能就是从这个切入点下手，因此才能推算出正确的解密金钥。