WannaCry

اگر کامپیوتر شما توسط WannaCry آلوده شده است (باج‌گیر افزاری که در هفته گذشته در سراسر جهان اغتشاش ایجاد کرد[۱])، شما ممکن است خوش‌شانس باشید و بدون پرداخت مبلغ باج یعنی ۳۰۰ دلار آمریکا، فایل‌های قفل شده خود را باز پس گیرید.

Adrien Guinet که یک محقق امنیتی فرانسوی از شرکت Quarkslab است، راهی را کشف کرده است تا کلیدهای رمزنگاری مخفی که توسط باج‌گیر افزار WannaCry استفاده می‌شود را به‌طور رایگان بازیابی کند که بر روی سیستم‌عامل‌های ایکس‌پی، ۷، ویستا، سرور ۲۰۰۳ و ۲۰۰۸ کار می‌کند.

کلیدهای رمزگشایی باج‌گیر افزار WannaCry

طرح رمزنگاری WannaCry بر اساس تولید جفت کلیدهایی بر روی کامپیوتر قربانی عمل می‌کند که بر پایه اعداد اول است، یک کلید عمومی و یک کلید خصوصی به ترتیب برای رمزنگاری و رمزگشایی فایل‌های سیستم.

برای جلوگیری از دسترسی قربانی به کلید خصوصی و رمزگشایی فایل‌ها،  WannaCry این کلید را از روی سیستم پاک می‌کند و هیچ راه دیگری برای قربانیان باقی نمی‌گذارد تا کلید رمزگشایی را بازیابی کنند مگر با پرداخت باج درخواست شده به مهاجم.

اما نکته اینجاست که Guinet می‌گوید: “WannaCry اعداد اول را از روی حافظه و قبل از پاک کردن حافظه همراه، پاک نمی‌کند.”

بر اساس این کشف به‌عمل‌آمده، Guinet یک ابزار رمزگشایی باج‌گیر افزار WannaCry را به نام WannaKey منتشر کرده است[۲] که اساساً تلاش می‌کند تا ۲ عدد اول را بازیابی کند و از آن‌ها در فرمول تولید کردن کلیدها از حافظه استفاده کند که فقط بر روی ویندوز ایکس‌پی کار می‌کند.

Guinet همچنین می‌گوید: “این ابزار توسط جستجو در نحوه عملکرد wrcy.exe تولید شده است. این فرآیندی است که کلید خصوصی RSA را تولید می‌کند. مشکل اصلی اینجاست که CryptDestroyKey و CryptReleaseContext اعداد اول را از روی حافظه و قبل از خالی شدن حافظه همراه، پاک نمی‌کنند.”

بنابراین این بدان معناست که این روش فقط در صورتی کار می‌کند که:

  • کامپیوتر تحت تأثیر قرار گرفته بعد از آلوده شدن راه‌اندازی مجدد نشود.
  • حافظه همراه توسط فرآیند دیگری اختصاص داده نشده و پاک نشده باشد.

Guinet همچنین اضافه می‌کند: “برای اینکه این ابزار کار کند، کامپیوتر شما پس از آلوده شدن نباید مجدداً راه‌اندازی شود. لطفاً توجه داشته باشید که شما نیاز به شانس نیز دارید و این امکان وجود دارد که این ابزار بر روی تمامی سیستم‌های آلوده شده عمل نکند. این در حقیقت نوعی اشتباه از طرف سازندگان این باج‌گیر افزار نیست، چراکه آن‌ها احتمالاً از Windows Crypto API استفاده می‌کنند.”

ازآنجاکه WannaKey  فقط اعداد اول را از حافظه کامپیوتر آلوده شده بیرون می‌کشد، این ابزار فقط توسط کسانی می‌تواند مورد استفاده قرار گیرد که می‌توانند از این اعداد اول استفاده کرده و کلید رمزگشایی را به‌صورت دستی تولید کنند تا از طریق آن فایل‌های رمزنگاری شده سیستم خود را نجات دهند.”

WanaKiwi: ابزار رمزگشایی باج‌گیر افزار WannaCry

خبر خوب این است که یک محقق امنیتی دیگر به نام Benjamin Delpy یک ابزار با روش استفاده راحت به نام WanaKiwi را تولید کرده است که بر اساس یافته‌های Guinet ساخته شده است و کل فرآیند رمزگشایی فایل‌های قفل شده توسط WannaCry را ساده‌تر کرده است[۳].

تمامی قربانیان باید ابزار WanaKiwi را از Github دانلود کنند[۴] و بر روی کامپیوترهای خود که دارای سیستم‌عامل ویندوز است و از طریق cmd اجرا کنند.

Matt Suiche از شرکت امنیتی Comae Technologies تأیید کرده است که WanaKiwi بر روی ویندوز ایکس‌پی، ویندوز ۷، ویندوز ویستا، ویندوز سرور ۲۰۰۳ و ۲۰۰۸ کار می‌کند. همچنینSuiche  مراحل اثبات اینکه نشان می‌دهد WannaKey چگونه فایل‌های شما را رمزگشایی می‌کند را نیز فراهم کرده است[۵].

اگرچه این ابزار با توجه به وابستگی آن به عوامل ذکر شده برای تمام کاربران کاربرد ندارد، اما همچنان به بعضی از قربانیان WannaCry امید می‌دهد تا فایل‌های قفل شده خود را به‌صورت رایگان و حتی از ویندوز ایکس‌پی که یکی از نسخه‌هایی است که خیلی وقت است توسط مایکروسافت پشتیبانی نمی‌شود، باز پس گیرند.

منابع

[۱] https://apa.aut.ac.ir/?p=2580

[۲] https://github.com/aguinet/wannakey

[۳] https://youtu.be/PGg2th0wSVY

[۴] https://github.com/gentilkiwi/wanakiwi/releases

[۵] https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

[۶] http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html