vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Для WannaCry найден WannaKey

Дата публикации: 01.07.2017
Количество просмотров: 1781

Способ борьбы с вирусом WannaCry найден. Французский эксперт Адриен Гинье (Adrien Guinet) из компании Quarkslab нашел новый способ для получения ключей расшифровки WannaCry абсолютно бесплатно. Способ работает только в операционной системе Windows XP.

Как пишет Comss.one, в процессе шифрования зловред WannaCry генерирует на компьютере жертвы открытый и закрытый ключи, которые служат для шифрования и расшифровки пользовательских файлов.

Чтобы предотвратить возможность получения доступа к закрытому ключу для дешифрования файлов, WannaCry стирает этот ключ из системы, поэтому у жертвы остаётся единственный выход - заплатить выкуп.

Тем не менее, была обнаружена закономерность: WannaCry не стирает простые номера ключей из памяти до момента очистки ассоциативной памяти.

Эта особенность и была использована для создания инструмента дешифрования под названием WannaKey, который пытается обнаружить две числовые комбинации, которые используются для генерации ключей шифрования из памяти.

Гинье отмечает: "Приложение выполняет поиск ключей дешифрования в процессе wcry.exe, который генерирует закрытые RSA ключи. Особенность заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти до освобождения ассоциативной памяти".

Это означает, что метод будет работать, только если:

  • Заражённый компьютер не был перезагружен после заражения.
  • Ассоциативная память не была выделена и стерта каким-либо другим процессом.


Эксперт предупреждает, что инструмент поможет, только если компьютер не перезагружался после заражения и даже в этом случае не всегда получится успешно дешифровать файлы.

Ошибка не была допущена киберпреступниками, они просто использовали Windows Crypto API.

Еще один исследователь безопасности Бенжамин Делфи (Benjamin Delpy) разработал простую в использовании программу под названием WanaKiwi. Она использует открытие Гинье, которое упрощает процесс дешифрования заблокированных WannaCry файлов.

Всем жертвам рекомендуется скачать WanaKiwi с сервиса Github и запустить на зараженных системах с помощью командной строки.

Мэтт Cebi (Matt Suche) из компании Comae Technologies уже протестировал приложение и продемонстрировал, как можно использовать WanaKiwi для дешифрования файлов. WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008.

Хотя из-за определённых зависимостей, инструмент заработает не в каждой системе, он все же дает некоторым жертвам надежду восстановить доступ к файлам без финансовых затрат.

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/news/newsline/31950/dlya-wannacry-nayden-wannakey.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться