Guadeseguridad

GuaNro.
:201601
Fechadepublicacin
:15/02/2016
Tema
:InstructivoparaladesencripcindearchivosconTeslaDecoder

Introduccin:
La herramienta TeslaDecoder permite recuperar los archivos encriptados por Teslacrypt, desde la
versin 0.3.4a a la 2.2.0, distribuida a fines de noviembre de 2015. Las extensionesde los archivos
cifradoscompatiblesson:.ecc(0.3.4a+),.ezz,.exx,.xyz,.zzz,.aaa,.abc,.ccc,.vvv
TeslaCrypt 3.0.0, que aade extensiones .xxx, .ttt y .micro, y posteriores no se puededescifrar por
estemtodo.
TeslaDecoder es una herramienta que funciona sobre sistema operativo Windows. Se recomienda
ejecutarlacomoAdministrador.
Cabe sealar que el tiempo para la determinacin de laclave de descifrado paraun archivo cifrado
podra ser muycorto (menosde5minutos)omuylargo(unpardedas),dependiendodeladificultad
de factorizacinde laclave de determinadoarchivo, ascomode lapotencia deprocesamientodela
computadora en la cual se ejecutar el proceso. La potencia de procesamiento de factorizacin es
enormementemayoren computadoras quecuentan tarjetadevdeoqueincorporantecnologaGPU.
Nohaymaneradedeterminarlorpidoqueserrecuperarlaclavededescifrado.

Instrucciones
:

PASO1:
Creeunacarpeta,lacualserutilizadacomocarpetadetrabajo.Sepuedeelegircualquiernombre,sin
embargo, para esta gua ser nombrada TD. Copie un archivo encriptado en la carpeta TD.
Inicialmente copie solo UN archivo de muestra, independientemente de que posea ms archivos
encriptados.
En caso de tratarse de archivos .ecc o .ezz debecopiar, adems,elarchivo key.dat queseencuentra
en la carpeta % appdata%oelarchivo RECOVERY_KEY.TXTRECOVERY_FILE.TXTqueseencuentraen
lacarpetaMisdocumentos.

PASO2:

1/12

DescargueTeslaDecoderdelsiguienteenlace,yextrigaloeneldirectorioTD:
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
DescargueYafudelsiguienteenlace,yextrigaloeneldirectorioTD:
http://download.bleepingcomputer.com/td/yafu.zip

PASO3:
Ingreseal directorio TD\TeslaDecoder,ejecute"TeslaViewer.exe"yhagaclicken "Browse".Seleccione
el archivo encriptado que ha copiado en el directorio TD. Para variantes .ecc o .ezz encryption
seleccioneelarchivokey.datenvezdelarchivoencriptado.
Visualizarinformacinacercadelasclavesdeencriptacinquesernnecesarias.

PASO4:
Haga click en "Create work.txt". Se generar un archivo work.txt que se almacenar en
TD\TeslaDecoder,dondeestarestainformacin.

2/12

PASO5:
Ser necesario realizar la descomposicin en factores primos del nmero decimal SharedSecret1 *
PrivateKeyBC. Es posible que este nmero ya sehayafactorizado previamente,paralocual podemos
chequearelsitio
http://www.factordb.com/

Abra este sitio en el navegador e introduzca el valor decimalde SharedSecret1 * PrivateKeyBC (ver
recuadroazuldelaimagenanterior)enelbuscadordeFactorDByhagaclicken"Factorize!"..
Cuandoaparezcan los resultados,observe la columna"Status". Sies estado esFF como semuestraa
continuacin, significa que el nmerose encuentra completamentefactorizado.Copielosfactoresen
work.txt,cadaunoenlneasseparadasyvaya
alpaso10.
Enelcasodefactoreslargos,paraverelnmerocompleto,debehacerclicksobreelmismo.

3/12

Si el estadoes CF, sloalgunos delosfactoressonconocidosysenecesitarealizarlafactorizacindel

paso 7. Para visualizar completamente el nmero que no pudo ser factorizado, haga click sobre el
nmero resaltado en azul. Por lo general serelnmero de mayor longitud(lalongitudseencuentra
indicadaentreparntesisenlaesquinainferiorizquierdadelnmero).Copielosfactoresconocidosen
work.txt,en lneas separadas. Copieel nmeronofactorizadoenalgndocumentotemporalantesde
pasaralpaso7.

4/12

PASO7:
Ingrese a TD/Yafu y ejecute "RunYafu.exe". Haga click en "
Tune Yafu
" para optimizar Yafu con
respecto a las caractersticas de su computadora.Esteprocesopuedetomar variosminutos,nocierra
laventanaantesdequetermine.Alfinalizar,laventanasecerrarsolaypodrpasaralpaso8.

5/12

PASO8:
Pegue el nmero no factorizado que obtuvo de FactorDB.com en el paso 6 en el recuadro
"SharedSecret1 * PrivateKeyBC". En "Factoring Threads" puede elegir la cantidad de ncleos de
procesador que dedicaral proceso,de acuerdo a los disponibles.Cuantomayorcantidaddencleos
elija, ms rpido ser el proceso. Sin embargo, en caso de que desee trabajar en paralelo en otras
tareas,debe elegir un nmeromenor de ncleos.Porejemplo:Sientrelas opcionesobserva de1a4,
elija3siquierepodertrabajarenotrastareasenparalelo.
Hagaclicken"FactorSharedSecret1*PrivateKeyBC"

6/12

PASO9:
Iniciarelprocesodefactorizacin,elcualpuededemorardesdeunospocosminutoshastadas.No
debecerrarlaventanahastaqueelprocesohayaterminado.

7/12

Al finalizar el proceso,se listarn los factores delnmero.Debercopiardichosfactoresenelarchivo

work.txt, debajo de los factoresque obtuvo enelpaso 6, en lneas separadas, ypresionar cualquier
teclaparacerrarlaventana.

Peguelosfactoresrestantes

8/12

En caso de haber interrumpido el proceso antes de obtener los factores, deber eliminartodos los
archivostemporalesgeneradosporelprograma.Paramayorsimplicidad,elimineeldirectorioTD\Yafu
y todo su contenido, y descrguelo y/o extrigalo nuevamente, antes de iniciar otro proceso de
factorizacin.

PASO10:
Ingresea TD\TeslaDecoderyejecute"TeslaRefactor.exe".Copielalista delosfactoresquehaanotado
enelarchivowork.txtypguelosenelrecuadrodetextogrande(verflechaazul).
Copieelvalor PublicKeyBC que seencuentra enelarchivowork.txtypgueloenelcampo"Publickey
(hex)"(verflecharoja).

PASO11:
Unavez completadoslos campos, haga clicken "FindPrivateKey".TeslaRefactorreconstruirelvalor
delaclave,lacualaparecerenelcampo"Privatekey(hex)"(verflecharoja).

9/12

Para verificar el valor deesta clave, chequeesi el valor deProduct(dec)es igual alvalor decimal de
SharedSecret1*PrivateKeyBCqueseencuentraenelarchivowork.txt.

Copieelvalorde"Privatekey(hex)"enwork.txtantesdecontinuaralsiguientepaso.

PASO12:
Ingrese a TD\TeslaDecoder y ejecute "TeslaDecoder.exe" como administrador. Para ellodebe hacer
click derecho sobre el programa y seleccionar "Run as Administrator" (o "Ejecutar como
Administrador").

10/12

Haga click en "Set key" y ingrese el valor de "Private key (hex)" que obtuvo en el paso anterior.
Seleccionelaextensindesusarchivos.

11/12

Hagaclick en "Set key".Ahorapuede realizar una pruebade descifradoenelarchivodemuestraque

ha copiado previamente en la carpeta TD. Para ello, haga click en "Decrypt Folder" y seleccioneel
directorio TD. Si el archivo se descifra con xito, a continuacin, haga click en "Decrypt All" para
descifrartodoslosarchivosensudiscoduro.

En caso de quenotodoslosarchivosfueran desencriptados,esposiblequeelconjuntodearchivosen

los que fall el proceso posean otra clave. Para esto, debe tomar como muestra un archivo no
desencriptadoycopiarloenlacarpetaTDyrepetirtodoelproceso,desdeelpaso3hastaelfinal.

Nota:
El proceso de desencripcin de los archivos depende principalmente de la longitud de los primos
utilizados durante la encriptacin de las claves AES, los cuales varan cada vez que Teslacrypt se
ejecuta.Es por eso que elprocesopuedevariar encadavctima,inclusoentrelosdiversosarchivos de
unamismavctima,pudiendoserdesencriptadosen10minutosenelmejordeloscasos,ovariosdas.
Algunas vctimas han reportadoque nohanlogrado desencriptar susarchivosconningunadelasdos
herramientas.

En caso de dudas o problemas, puede contactar al CERTPY, atravs dela informacin de contacto
que seencuentra en el pie de pgina,oconsultar enlos foros especializados, loscualescuentancon
unsoporteactivodelacomunidadydelautordelaherramienta,BloodDolly:
http://www.bleepingcomputer.com/forums/t/576600/tesladecoderreleasedtodecryptexxezzeccf
ilesencryptedbyteslacrypt/

Informacinadicional:
http://www.bleepingcomputer.com/news/security/teslacryptdecryptedflawinteslacryptallowsvict
imstorecovertheirfiles/
https://github.com/Googulator/TeslaCrack
http://www.bleepingcomputer.com/virusremoval/teslacryptalphacryptransomwareinformation#ra
nsom
http://www.bleepingcomputer.com/news/security/newtelsacryptversionaddsthevvvextensionto
encryptedfiles/
http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
http://www.bleepingcomputer.com/forums/t/576600/tesladecoderreleasedtodecryptexxezzeccf
ilesencryptedbyteslacrypt/

12/12