باج افزار WannaCry

اگر کامپیوتر شخصی شما به باج افزار WannaCry آلوده شده است (باج افزاری که در روز جمعه – ۱۲ می – سال ۲۰۱۷ خرابی بزرگی در سراسر جهان به بار آورده است) شما خیلی خوش شانس هستید که میتوانید فایل های قفل شده تان را بدون پرداخت باج ۳۰۰ دلاری را به مجرمان سایبری بازگردانید.

محقق امنیتی فرانسوی (Adrien Guinet) از شرکتِ Quarkslab راهی برای پس گرفتن کلید رمزگذاری پیدا کرده است. این ترفند رایگان در سیستم عامل هایWindows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸کار می‌کند.

کلیدهای رمزگشایی باج افزار واناکرای WannaCry :

طرح کلی این باج افزار به این شکل است:

باج افزار WannaCry یک جفت کلید بر روی کامپیوتر قربانی ایجاد می‌کند که بر اساس اعداد اولیه است : شامل یک کلید عمومی برای رمزگذاری و یک کلید خصوصی برای رمزگشایی از فایل های سیستم.
به منظور جلوگیری از دسترسی قربانی به کلید خصوصی, باج افزار WannaCry کلید را از روی سیستم پاک می‌کند و برای بازگرداندن کلید رمزگشایی, هیچ انتخابی برای قربانی نمی‌گذارد به جز پرداخت باج به مهاجم. این محقق امنیتی فرانسوی می‌گوید که: ” نکته ی جالب این جاست که این باج افزار پیش از آزاد کردن مموری, اعداد اولیه را از روی آن پاک نمی‌کند.”

بر اساس این یافته, او ابزاری برای رمزگشایی از باج افزار واناکرای عرضه کرده است که اساسا تلاش می‌کند تا دو عدد اولیه را که در فرمول ایجاد کلیدهای رمزگذاری استفاده شده اند ,از روی مموری برگرداند. نام این ابزار WannaKey است و تنها بر روی ویندوز ایکس پی کار می‌کند.

(در ادامه به ابزاری به نام WanaKiwi خواهیم پرداخت که بر روی ویندوز ایکس پی تا ویندوز ۷ کار می‌کند.)

وی میگوید: ” این ابزار با جستجو کردن اعداد در فرایندِ wcry.exe کلیدِ خصوصیِ RSA را ایجاد می‌کند. موضوع اصلی این است کهCryptDestroyKey و CryptReleaseContext پیش از آزاد کردن مموری مربوطه, اعداد اولیه را از روی آن پاک نمی‌کنند. ”

یعنی این متد تنها در صورتی کار می‌کند که:

۱-  کامپیوتر آلوده پس از آلودگی, ریبوت نشده باشد.
۲- مموری توسط فرایندی دیگر پاک نشده باشد.

او میگوید: “برای اینکه روش ذکر شده کار کند, کامپیوتر شما نباید پس از الوده شدن ریبوت شده باشد. همچنین توجه داشته باشید که شما به کمی شانس نیاز دارید تا این متد برایتان کار کند زیرا ممکن است در برخی موارد جواب ندهد. این واقعا ایرادی از جانب نویسندگان باج افزار نیست چرا که آنان به خوبی از Windows Crypto API استفاده می‌کنند.”

از آنجایی که WannaKey تنها اعداد اولیه را از مموری کامپیوتر آلوده بیرون میکشد, این ابزار فقط منحصر به افرادی است که میتوانند با استفاده از اعداد اولیه, کلید رمزگشایی را ایجاد و فایل هایشان را باز کنند.

WanaKiwi؛ ابزار رمزگشایی باج افزار WannaCry:

خبر خوب این است که یک محقق امنیتی دیگر به نام Benjamin Delpy بر اساس یافته هایِ Guinet ابزاری را توسعه داده است که تمام فرایند رمزگشایی فایل های آلوده به باج افزار را آسان میکند. نامِ این ابزار جدید WanaKiwi میباشد.
تمام آنچه قربانیان باید انجام دهند این است که ابزارِ WanaKiwi را از Github دانلود کرده و بر روی کامپیوترهای آلوده شان که از خط فرمان (cmd) استفاده میکنند,نصب کنند.

Matt Suiche اطمینان میدهد که ابزارِ WanaKiwi بر رویِ Windows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸ کار میکند. او در شرکتِ امنیتیِ Comae Technologies کار میکند و تعدادی مستندات تهیه کرده است که چگونگی کار با این ابزار را به منظور باز کردن رمز فایل هایتان به شما نشان میدهد.

گرچه این ابزار برای هر کاربری کار نمیکند اما همچنان به قربانیان  باج افزار wannacry درباره بازگرداندن رایگان فایل هایشان کمی امید میدهد حتی در سیستم عامل ویندوز ایکس پی که قدیمی بوده و ورژنی پشتیبانی نشده از جانب مایکروسافت است.

 


ابزار رمزگشایی باج افزار WannaCry عرضه شد فایل ها را بدون پرداخت باج باز کنید


 

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *