ابزار رمزگشایی برای باجافزار واناکرای منتشر شد و قربانیان میتوانند پروندهها را بدون پرداخت باج رمزگشایی کنند.
امیدی تازه در مهار واناکرای
ابزار رمزگشایی برای باجافزار واناکرای منتشر شد
وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات , 30 ارديبهشت 1396 ساعت 10:56
ابزار رمزگشایی برای باجافزار واناکرای منتشر شد و قربانیان میتوانند پروندهها را بدون پرداخت باج رمزگشایی کنند.
ابزار رمزگشایی برای باجافزار واناکرای منتشر شد و قربانیان میتوانند پروندهها را بدون پرداخت باج رمزگشایی کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ابزار رمزگشایی برای باجافزار واناکرای منتشر شدهاست و دیگر لازم نیست قربانیان برای بازیابی پروندههای خود به مهاجمان باج پرداختکنند.
محقق فرانسوی به نام آدرین گیونت از شرکت Quarkslab، روشی را کشف کرد که بهطور رایگان میتوان کلیدهای رمزگشایی در باجافزار واناکرای را بهدست آورد. گفتنی است این ابزار بر روی سیستمعاملهای ویندوز ایکسپی، ویندوز ویستا، کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ کار میکند.
در رمزنگاری توسط باجافزار واناکرای با استفاده از اعداد اول، جفت کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی پروندهها بر روی سیستم قربانی تولید میشود. باجافزار برای اینکه از دسترسی قربانی به کلید خصوصی و رمزگشایی پروندهها جلوگیری کند بهطورکلی کلید خصوصی را از روی سیستم قربانی پاک میکند.
هرچند که باجافزار کلید خصوصی را از روی سیستم قربانی پاک میکند، ولی اعداد اولی که برای تولید کلیدها مورد استفاده قرار گرفتهبود بر روی حافظه سیستم باقی میماند. با توجه به این مسئله گیونت توانست ابزار رمزگشایی برای این باجافزار را با نام کلید WannaKey ارائهدهد. این ابزار اعداد اول را از حافظه سیستم بازیابی کرده و با استفاده از آن کلیدهای رمزگشایی را تولید میکند. این ابزار صرفاً بر روی سیستمعامل ویندوز ایکسپی عملمیکند.
این محقق در مورد این ابزار توضیح داد: «عملکرد این ابزار مبتنیبر جستوجو در فرآیند wcry.exe است. این همان فرآیندی است که کلیدهای خصوصی RSA را تولید میکند. اشکال اصلی که در این باجافزار وجود دارد این است که توابع CryptDestroyKey و CryptReleaseContext قبل از آزادسازی فضای حافظه، اعداد اول را حذف نمیکنند.»
بنابراین نتیجهای که میتوان گرفت این است که:
• این ابزار تنها بر روی سیستمهایی عملیاتی است که پس از آلودهشدن به باجافزار، مجدداً راهاندازی نشدهباشند.
• حافظه مربوط به فرآیند باجافزار آزاد نشده و به فرآیند دیگری تخصیص داده نشدهباشد.
از طرفی یک محقق امنیتی دیگر به نام بنجامین دلپی ابزاری با نام WanaKiwi را منتشر کرد که استفاده از آن بسیار راحت است. در این ابزار نیز از یافتههای گیونت استفاده شدهاست. تمامی کاربرانی که تحتتأثیر این باجافزار قرار گرفتهاند، میتوانند این ابزار را از روی گیتهاب بارگیری و نصب کنند و برای اجرا نیز باید از خط فرمان ویندوز استفادهکنند.
ابزار واناکیوی بر روی سیستمعاملهای ویندوز ایکسپی، ویندوز ۷، ویندوز ویستا و کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ بهخوبی کار میکند. هرچند بهدلیل برخی محدودیتها و وابستگیهایی که این ابزار رمزگشایی دارد، ممکن است برای تمامی کاربران بهخوبی کار نکند، ولی به هرحال خبر امیدوارکنندهای برای کاربرانی است که تحتتأثیر این باجافزار قرارگرفتهاند.
کد مطلب: 12688