WannaKey: Ключи дешифрования WannaCry
Французский эксперт Адриена Гинье (Adrien Guinet) из компании Quarkslab нашел новый способ для получения ключей расшифровки WannaCry абсолютно бесплатно. Способ работает только в операционной системе Windows XP.
В процессе шифрования зловред WannaCry генерирует на компьютере жертвы открытый и закрытый ключи, которые служат для шифрования и расшифровки пользовательских файлов соответственно.
Чтобы предотвратить возможность получения доступа к закрытому ключу для дешифрования файлов, WannaCry стирает данный ключ из системы, поэтому у жертвы не остается других вариантов, кроме оплаты выкупа киберпреступникам.
Тем не менее была обнаружена одна закономерность: “WannaCry не стирает простые номера ключей из памяти до момента очистки ассоциативной памяти”.
Данный факт был использован для создания инструмента дешифрования под названием WannaKey, который пытается обнаружить две числовые комбинации, которые используются для генерации ключей шифрования из памяти.
Гинье отмечает: “Приложение выполняет поиск ключей дешифрования в процессе wcry.exe, который генерирует закрытые RSA ключи. Особенность заключается в том, что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти до освобождения ассоциативной памяти”.
Это означает, что данный метод будет работать, только если:
- Зараженный компьютер не был перезагружен после заражения.
- Ассоциативная память не была выделена и стерта каким-либо другим процессом.
Эксперт предупреждает, что инструмент поможет, только если компьютер не перезагружался после заражения и даже в этом случае не всегда получится успешно дешифровать файлы.
Ошибка не была допущена киберпреступниками, они просто использовали Windows Crypto API.
WannaKey предназначен только для извлечения из памяти числовых комбинаций. Ее стоит использовать только тем пользователям, которые могут применить полученные числа для ручной генерации ключа дешифрования, чтобы восстановить доступ к файлам.
WanaKiwi: инструмент дешифрования WannaCry
Еще один исследователь безопасности Бенжамин Делфи (Benjamin Delpy) разработал простую в использовании программу под названием WanaKiwi. Она использует открытие Гинье, которое упрощает процесс дешифрования заблокированных WannaCry файлов.
Всем жертвам рекомендуется скачать WanaKiwi с сервиса Github и запустить на зараженных системах с помощью командной строки.
Мэтт Cebi (Matt Suche) из компании Comae Technologies уже протестировал приложение и продемонстрировал, как можно использовать WanaKiwi для дешифрования файлов. WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008.
Хотя из-за определенных зависимостей, инструмент заработает не в каждой системе, он все же дает некоторым жертвам надежду восстановить доступ к файлам без финансовых затрат.