Przejdź na

WannaKey lekarstwem na WannaCry: nie trzeba płacić 300 dolarów

Ofiarami ataku z wykorzystaniem ransomware WannaCry padło ponad 200 tys. komputerów, a straty szacuje się na setki milionów dolarów. Oprogramowanie na zaatakowanym komputerze szyfruje dane i wyświetla komunikat z ofertą odzyskania plików za jedyne 300 dolarów. Nie musimy jednak płacić tej sumy, wystarczy skorzystać z odpowiedniego oprogramowania i mieć trochę szczęścia.

Obraz
Mateusz Budzeń

WannaCry na zarażonych komputerach uruchamia proces taskche.exe skanujący wszystkie dyski, zarówno lokalne jak i sieciowe, szyfrując zawarte na nich pliki o określonych rozszerzeniach szyfrem RSA z 2048-bitowy kluczem. Adrien Guinet, francuski specjalista ds. bezpieczeństwa z Quarkslab, odkrył sposób na odzyskanie używanych przez ransomware kluczy szyfrowania.

Do odszyfrowania plików potrzebny jest klucz prywatny generowany przez WannaCry. W celu uniemożliwienia ofierze jego zdobycia, usuwany jest on z systemu, a jedynym sposobem na jego pobranie ma być zapłata okupu – wspomnianych na początku 300 dolarów. Jednakże w działaniu WannaCry pozostaje jedna luka, którą postanowił wykorzystać Adrien Guinet, francuski specjalista ds. bezpieczeństwa z Quarkslab. Adrien Guinet zauważył, że ransomware nie usuwa liczb pierwszych, wykorzystanych do stworzenia kluczy (prywatnego i publicznego), przed zwolnieniem powiązanej pamięci.

Francuski specjalista wykorzystał powyższy stwierdzenie do stworzenia narzędzia deszyfrującego ransomware WannaCry. Oprogramowanie nazywa się WannaKey i jest już dostępne w repozytorium GitHub. Pobiera ono dwie pierwsze liczby, użyte do wygenerowania kluczy. Przed użyciem narzędzia, trzeba wiedzieć, że WannaKey działa wyłącznie na Windows XP.

Nie tylko system jest ograniczeniem narzędzia WannaKey. Oprogramowanie na zadziała jeśli przydzielona pamięć, w której znajdują się liczby pierwsze, została usunięta i przydzielona innemu procesowi. Nie zadziała również jeśli komputer po zainfekowaniu, został ponownie uruchomiony. W obu przypadkach zachodzi więc podobieństwo z WannaKiwi. WannaCry służy tylko do pobrania liczb pierwszych z pamięci komputera. Nie służy ono niestety do wygenerowania kluczy, które posłużą do odszyfrowania danych.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Awaryjne aktualizacje dla Windows Server. Rozwiązują usterki
Zastrzegasz PESEL? Są dwa wyjątki
Zastrzegasz PESEL? Są dwa wyjątki
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥