Prometheus勒索软件受害者能自救了！奥义智慧研究其弱点并释出解密工具

为了阻止勒索软件的危害，过去已有一些资安业者，设法找到勒索软件的弱点，或是偕同执法单位破获其组织，进而开发出相应的解密工具，而且免费提供给大家使用，让受害者免于继续遭受勒索软件威胁，恢复那些被恶意加密的档案。最近，又有一款勒索软件解密工具释出，是针对普罗米修斯（Prometheus）勒索软件而来，而它的开发者正是近年来备受关注的台湾资安新创业者──奥义智慧，他们也是继趋势科技之后，国内第二间打造出勒索软件解密工具的公司。

Prometheus于最近一年内崛起，受害者已遍布全球

在7月13日，奥义智慧在官方英文部落格上，宣布于GitHub释出Prometheus Decryptor，顾名思义，这是针对Prometheus勒索软件解密的工具，遭受此勒索软件的受害者，可以透过这款具有GUI界面的工具，自行将被加密绑架的档案解密。

关于Prometheus勒索软件的起源，最早是在2020年被发现，在其幕后组织于暗网设立的资料外泄网站上，已有多达40个受害者，特别的是，他们自称隶属于恶名昭彰的REvil组织，但根据多方证据显示，Prometheus应是Thanos勒索软件的变种。

例如，根据Palo Alto Network旗下威胁情资研究机构Unit 42，在今年6月就针对Prometheus提出分析报告，他们指出，该勒索软件的受害者遍布全球30国，同时也确认它与Thanos勒索软件的关连，而最近推出解密工具的奥义智慧，同样指出该勒索软件与Thanos的关连。

此外，这套免费解密工具发布之后，对Prometheus的运作产生很大的冲击。例如，8月1日国外媒体The Record有一篇报导指出，Prometheus勒索软件解密工具发布两个星期之后，该组织在暗网上似乎已经停止行动，疑似另起炉灶。

奥义智慧释出勒索软件解密工具，可还原被Prometheus加密的档案。今年7月中旬，奥义智慧释出Prometheus勒索软件解密工具于GitHub，让全球遭受该勒索软件攻击的受害者，能免费透过该解密工具，可有很大机会恢复档案。而根据国外媒体The Record的报导，当中引述了资安业者Emsisoft的专家说法，指出该解密工具主要对小型档案有效。
Prometheus Decryptor网址：（https://github.com/cycraft-corp/Prometheus-Decryptor）

从Prometheus勒索软件在暗网设立的资料外泄网站上，可看出已有40多个受害企业组织。（图片来源：奥义智慧）

年初因台湾企业受害，奥义研判有机会破解而投入研发

勒索软件的危害已经不言而喻，但要开发出相应的解密工具，让受害者免于受勒索加密之苦，并不容易，因为厂商和资安专家不仅要花时间与心力去研究，也要看是否真能找出其弱点。所以，对于奥义智慧为何会开发这样的解密工具，外界也很好奇。

事实上，Prometheus勒索软件受害者遍布全球，台湾也有企业遭殃。奥义智慧共同创办人丛培侃表示，最初他们就是接到国内客户资安事件，因此参与Prometheus勒索软件有关的事件调查。

他表示，这家公司具有上千人规模，一些电脑都因勒索软件而瘫痪，在协助调查过程中，发现连备份资料也同样遭到加密，对营运造成很大冲击，因此他们也曾接洽该勒索软件组织，希望居中斡旋，但对方提出勒索金额，是这家企业所没法承受的天价，因此希望奥义智慧帮忙。

然而，有别于一般遭遇勒索软件攻击的企业，丛培侃表示，这家公司并未要求奥义智慧让他们的系统能立刻恢复营运，而是让他们继续调查攻击事件的入侵过程，以及对此勒索软件进行逆向工程解析，自身则采纸本作业来维持公司运作。

基本上，没有厂商打包票能破解勒索软件。他表示，被勒索加密的这些档案能否复原，需要针对病毒进行全方位分析，以及骇客族群背景调查，过程当中相当耗费时间精力成本，也不确定是否可以成功。

不过，这家客户还是希望奥义智慧能找出一些解法，并且对于他们进行的调查相当有耐心。而奥义智慧的作法，则是请对方设法搜集被加密的档案，以及可能残留的勒索病毒样本，还有勒索信，有了这些资讯，能帮助他们加速判断，了解该勒索软件的算法核心是否有问题。

经过评估之后，他们研判有机会在有限的时间内做到解密功能，也将这样的资讯提供给客户，最终经历了一个月的努力，奥义智慧整个研究团队终于开发出能够解开勒索软件加密档案的工具。

丛培侃表示，每间公司的危机处理态度都不一样，很少企业的决策是愿意等待厂商的研发，所幸这次最终也有不错的结果，可以在有限时间内，找出成功战胜勒索病毒的方法。

不过，Prometheus勒索软件本身究竟有什么样的弱点？奥义智慧资深研究员陈仲宽表示，最主要是他们发现其加解密算法的缺陷，对于每个档案加密金钥的生成，是与系统启动后的时间相关，并且只使用较短的32位元的长度，因此，虽然骇客也使用RSA 4096加密技术，用于保护加密每个档案的金钥，但奥义智慧的对策，是找出绕过高强度加密防护的方式，直接将被加密的档案解密恢复。

基本上，这类勒索软件可能为了在短时间能获得最大效果，因此对于每个档案的加密，使用ChaCha20、Salsa20等算法以达到快速加密的目的，但这次最主要得以破解的原因，还是因为上述所提及用时间来对每个档案产生加密金钥。

若是企业组织不幸遭受Prometheus勒索软件攻击，用户可透过奥义智慧提供的这款解密工具来复原档案。使用上，这款解密工具提供了GUI界面让使用者操作，只要选择档案或资料夹，以及解密档案输出位置，即可执行解密。特别的是，若是使用者知道被加密的时间点，在界面中输入对应参数，以及开启电脑多执行序的运算，将可加快解密过程。（图片来源：奥义智慧）

奥义智慧也加入No More Ransom，提供大众能用的解密工具

目前已知提供解密工具的资安业者，当中有许多都加入全球知名的No More Ransom计划，奥义智慧是否也打算加入？

对此，奥义智慧表示，他们已经提出申请。丛培侃说明，上述客户的资安事件发生在2021年2月，到了3月，他们正式开发出解密工具，不过，当时只是透过命令列执行的工具，目的也只是为了协助该客户。

不过，奥义智慧也想贡献一己之力，因此决定申请加入No More Ransom计划。

他们也分享了这方面的申办经验。例如，他们最初找不到No More Ransom的联络窗口，由于他们同时身为国际资安事件应变组织FIRST成员，询问国际伙伴之后，才得到对方的联络方式，丛培侃表示，加入这个计划需得到该平台创始成员的同意，并要有所贡献，才能加入，而他们后来取得Associate 合作伙伴的资格，也就是贡献勒索软件解密工具。

对于解密工具的共享，该组织的要求也不少，陈仲宽表示，他们需要提供解密工具与病毒样本，对方也会自行寻找样本来测试，态度相当严谨。

特别的是，奥义智慧最初研究Prometheus勒索软件时，曾以为它是Thanos勒索软件，而在与No More Ransom之间的合作之下，比对更多资讯后，对方也协助他们验证，经过数次沟通，奥义智慧也确认是Thanos的变种，当中有沿用部分程式码。事实上，Prometheus勒索软件一词，也是直到今年6、7月才出现。

而且，No More Ransom对于解密工具的对外提供，也有一定的要求，因为要让普遍受害者都能下载后自行使用。因此，他们将原本是命令列的解密工具，在7月改版为GUI界面释出，而包括操作界面与相关说明文件，也都要经过该组织审核，评估是否能让一般人都能看懂与使用。