НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Выпущен инструмент дешифрования программы-вымогателя WannaCry. Разблокируйте файлы без оплаты выкупа

Владимир Безмалый
22.05.2017 08:12:45

Если ваш PC был заражен WannaCry – программой-вымогателем, которая нанесла огромный ущерб компьютерам по всему миру, вы сможете вернуть ваши заблокированные файлы, не потратив на выкуп киберпреступникам 300$.
Adrien Guinet, французский исследователь в области безопасности от Quarkslab, обнаружил способ получить секретные ключи шифрования, используемые программой-вымогателем WannaCry бесплатно. Этот способ доступен для операционных систем Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.
Ключи расшифровки программы-вымогателя WannaCry
В ходе работы схемы шифрования WannaCry генерирует ключи шифрования компьютера жертвы на основе простых чисел.
Для того чтобы жертва не получила доступ к закрытому ключу и не дешифровала заблокированные файл сама, WannaCry вытирает ключ из системы. Таким образом у жертвы не остается выбора кроме оплаты выкупа атакующему.
Но вот простые числа из памяти не вытираются.
На основании этого открытия Guinet выпустил инструмент для дешифрования программы-вымогателя WannaCry, названный WannaKey, который находит эти два простых числа, используемые в формуле, чтобы сгенерировать эти ключи шифрования. Увы, такой способ работает только под управлением Windows XP.
Простые числа ищутся в процессе wcry.exe. Все это стало возможным только потому что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти прежде чем ее освободить.
Что это означает?
А то что этот метод будет работать лишь при соблюдении следующих условий:
• Компьютер после заражения не перегружался.
• Соответствующая память не была выделена и вытерта некоторым другим процессом.
Таким образом, ваш компьютер, не должен перегружаться, будучи заражен. Кроме того, вам нужна некоторая удача, таким образом, увы, всегда этот способ работать не будет.
Это не ошибка от авторов программы-вымогателя, поскольку они правильно используют Windows Crypto API.
WanaKiwi: инструмент дешифрования программы-вымогателя WannaCry
Хорошие новости - то, что другой исследователь в области безопасности, Benjamin Delpy, разработал простой в использовании инструмент по имени "WanaKiwi", на основе открытия Guinet, которое упрощает процесс дешифрования WannaCry.
Все что жертва должна сделать – загрузить инструмент WanaKiwi с Github и выполнить его на соответствующем ПК в режиме командной строки.
Фирма Comae Technologies, работающая в области безопасности, подтвердила работу WanaKiwi над Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.

Комментариев: 0

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии