اگر کامپیوتر شما توسط WannaCry آلوده شده است (باجگیر افزاری که در هفته گذشته در سراسر جهان اغتشاش ایجاد کرد[۱])، شما ممکن است خوششانس باشید و بدون پرداخت مبلغ باج یعنی ۳۰۰ دلار آمریکا، فایلهای قفل شده خود را باز پس گیرید.
Adrien Guinet که یک محقق امنیتی فرانسوی از شرکت Quarkslab است، راهی را کشف کرده است تا کلیدهای رمزنگاری مخفی که توسط باجگیر افزار WannaCry استفاده میشود را بهطور رایگان بازیابی کند که بر روی سیستمعاملهای ایکسپی، ۷، ویستا، سرور ۲۰۰۳ و ۲۰۰۸ کار میکند.
کلیدهای رمزگشایی باجگیر افزار WannaCry
طرح رمزنگاری WannaCry بر اساس تولید جفت کلیدهایی بر روی کامپیوتر قربانی عمل میکند که بر پایه اعداد اول است، یک کلید عمومی و یک کلید خصوصی به ترتیب برای رمزنگاری و رمزگشایی فایلهای سیستم.
برای جلوگیری از دسترسی قربانی به کلید خصوصی و رمزگشایی فایلها، WannaCry این کلید را از روی سیستم پاک میکند و هیچ راه دیگری برای قربانیان باقی نمیگذارد تا کلید رمزگشایی را بازیابی کنند مگر با پرداخت باج درخواست شده به مهاجم.
اما نکته اینجاست که Guinet میگوید: “WannaCry اعداد اول را از روی حافظه و قبل از پاک کردن حافظه همراه، پاک نمیکند.”
بر اساس این کشف بهعملآمده، Guinet یک ابزار رمزگشایی باجگیر افزار WannaCry را به نام WannaKey منتشر کرده است[۲] که اساساً تلاش میکند تا ۲ عدد اول را بازیابی کند و از آنها در فرمول تولید کردن کلیدها از حافظه استفاده کند که فقط بر روی ویندوز ایکسپی کار میکند.
Guinet همچنین میگوید: “این ابزار توسط جستجو در نحوه عملکرد wrcy.exe تولید شده است. این فرآیندی است که کلید خصوصی RSA را تولید میکند. مشکل اصلی اینجاست که CryptDestroyKey و CryptReleaseContext اعداد اول را از روی حافظه و قبل از خالی شدن حافظه همراه، پاک نمیکنند.”
بنابراین این بدان معناست که این روش فقط در صورتی کار میکند که:
- کامپیوتر تحت تأثیر قرار گرفته بعد از آلوده شدن راهاندازی مجدد نشود.
- حافظه همراه توسط فرآیند دیگری اختصاص داده نشده و پاک نشده باشد.
Guinet همچنین اضافه میکند: “برای اینکه این ابزار کار کند، کامپیوتر شما پس از آلوده شدن نباید مجدداً راهاندازی شود. لطفاً توجه داشته باشید که شما نیاز به شانس نیز دارید و این امکان وجود دارد که این ابزار بر روی تمامی سیستمهای آلوده شده عمل نکند. این در حقیقت نوعی اشتباه از طرف سازندگان این باجگیر افزار نیست، چراکه آنها احتمالاً از Windows Crypto API استفاده میکنند.”
ازآنجاکه WannaKey فقط اعداد اول را از حافظه کامپیوتر آلوده شده بیرون میکشد، این ابزار فقط توسط کسانی میتواند مورد استفاده قرار گیرد که میتوانند از این اعداد اول استفاده کرده و کلید رمزگشایی را بهصورت دستی تولید کنند تا از طریق آن فایلهای رمزنگاری شده سیستم خود را نجات دهند.”
WanaKiwi: ابزار رمزگشایی باجگیر افزار WannaCry
خبر خوب این است که یک محقق امنیتی دیگر به نام Benjamin Delpy یک ابزار با روش استفاده راحت به نام WanaKiwi را تولید کرده است که بر اساس یافتههای Guinet ساخته شده است و کل فرآیند رمزگشایی فایلهای قفل شده توسط WannaCry را سادهتر کرده است[۳].
تمامی قربانیان باید ابزار WanaKiwi را از Github دانلود کنند[۴] و بر روی کامپیوترهای خود که دارای سیستمعامل ویندوز است و از طریق cmd اجرا کنند.
Matt Suiche از شرکت امنیتی Comae Technologies تأیید کرده است که WanaKiwi بر روی ویندوز ایکسپی، ویندوز ۷، ویندوز ویستا، ویندوز سرور ۲۰۰۳ و ۲۰۰۸ کار میکند. همچنینSuiche مراحل اثبات اینکه نشان میدهد WannaKey چگونه فایلهای شما را رمزگشایی میکند را نیز فراهم کرده است[۵].
اگرچه این ابزار با توجه به وابستگی آن به عوامل ذکر شده برای تمام کاربران کاربرد ندارد، اما همچنان به بعضی از قربانیان WannaCry امید میدهد تا فایلهای قفل شده خود را بهصورت رایگان و حتی از ویندوز ایکسپی که یکی از نسخههایی است که خیلی وقت است توسط مایکروسافت پشتیبانی نمیشود، باز پس گیرند.
منابع
[۱] https://apa.aut.ac.ir/?p=2580
[۲] https://github.com/aguinet/wannakey
[۳] https://youtu.be/PGg2th0wSVY
[۴] https://github.com/gentilkiwi/wanakiwi/releases
[۵] https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
[۶] http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
ثبت ديدگاه