Objavljeni ključevi za dekripciju WannaCry ransomwarea
Nada za neke od žrtava - Otključajte fajlove bez plaćanja otkupnine.
Ukoliko vas je pogodio poslednji (i za sad najveći) ransomware napad, možda vas sreća pogleda – moguće je povratiti fajlove bez plaćanja otkupnine od $300. Adrien Guinet iz Quarkslaba je otkrio način da se besplatno dođe do enkripcijskih ključeva za WannaCry ransomware. Proces funkcioniše za Windows XP, Windows 7, Windows Vista, Windows Server 2003 i 2008 operativne sisteme.
WannaCry Ransomware ključevi za dekripciju
WannaCry enkripcijska šema funkcioniše tako što se generiše par ključeva zasnovanih na prostim brojevima na računaru žrtve – javni i privatni ključ, od kojih prvi služi za enkripciju (šifrovanje), a drugi za dekripciju (dešifrovanje). Kako bi sprečio žrtvu da pristupi privatnom ključu i da sama dešifruje fajlove, WannaCry briše ključ iz sistema i tako žrtvi ostavlja jedino opciju plaćanja otkupnine. Međutim, WannaCry ne briše proste brojeve iz memorije pre nego što je oslobodi. Na osnovu tog saznanja, Guinet je napravio dekripcijski alat pod nazivom WannaKey koji funkcioniše tako što pokušava da vrati iz memorije dva prosta broja koja su korišćenja u formuli za generisanje enkripcijskih ključeva. Te brojeve traži u wcry.exe procesu. Taj proces generiše RSA privatni ključ. Stvar je u tome da CryptDestroyKey i CryptReleaseContext ne brišu proste brojeve iz memorije pre nego što tu istu memoriju oslobode.
Ovo znači da metod funkcioniše samo ako:
- Zaraženi računar nije restartovan odnosno isključen pa ponovo uključen posle infekcije.
- Memorija nije alocirana za neki drugi proces i ako je nije izbisao neki drugi proces.
Dakle, prvi uslov je da niste restartovali, odnosno isključivali računar posle infekcije. Zatim, potrebno je i malo sreće pošto metod ne funkcioniše za sve slučajeve (videti objašnjenje ispod). Ne može se reći ni da je ovo greška autora ransomwarea pošto oni adekvatno koriste Windows Crypto API. S obzirom na to da WannaKey izvlači samo proste brojeve iz memorije zaraženog računara, alat za dekripciju mogu koristiti samo oni koji pomoću tih brojeva mogu ručno generisati dekripcijski ključ.
WanaKiwi: WannaCry Ransomware dekripcijski alat
Dobre vesti stižu od još jednog stručnjaka za IT bezbednost, Bendžamina Delpija. On je na osnovu Guinetijevih otkrića napravio WanaKiwi, alat koji je jednostavan za korišćenje i koji pojednostavljuje proces dekripcije fajlova koje je zaključao WannaCry. Potrebno je samo preuzeti WanaKiwi alat sa Githuba i pokrenuti ga na zaraženom Windows računaru pomoću komandne linije (cmd). WanaKiwi funcioniše za Windows XP, Windows 7, Windows Vista, Windows Server 2003 i 2008.
Iako ovaj alat ima ograničenja i ne funkcioniše za svaki dati slučaj, ipak pruža nadu žrtvama WannaCry ransomwarea da će besplatno vratiti svoje fajlove.
Izvor: thehackernews.com