دسته‌بندی نشده

ابزار رمزگشایی باج افزار WANNACRY عرضه شد

اگر کامپیوتر شخصی شما به باج افزارِ WannaCry آلوده شده است (باج افزاری که در جمعه ی پیش – ۱۲ می – خرابی بزرگی در سراسر جهان به بار آورده است) شما خیلی خوش شانس هستید که میتوانید فایل های قفل شده تان را بدون پرداخت باج ۳۰۰ دلاری را به مجرمان سایبری بازگردانید.
محقق امنیتی فرانسوی (Adrien Guinet) از شرکتِ Quarkslab راهی برای پس گرفتن کلید رمزگذاری پیدا کرده است. این ترفند رایگان در سیستم عامل هایWindows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸کار می‌کند.

کلیدهای رمزگشایی این باج افزار:
طرح کلی این باج افزار به این شکل است:
باج افزار WannaCry یک جفت کلید بر روی کامپیوتر قربانی ایجاد می‌کند که بر اساس اعداد اولیه است شامل یک کلید عمومی برای رمزگذاری و یک کلید خصوصی برای رمزگشایی از فایل های سیستم.
به منظور جلوگیری از دسترسی قربانی به کلید خصوصی, WannaCry کلید را از روی سیستم پاک می‌کند و برای بازگرداندن کلید رمزگشایی, هیچ انتخابی برای قربانی نمی‌گذارد به جز پرداخت باج به مهاجم.
این محقق می‌گوید: ” نکته ی جالب این جاست که این باج افزار پیش از آزاد کردن مموری, اعداد اولیه را از روی آن پاک نمی‌کند.”
بر اساس این یافته, او ابزاری برای رمزگشایی از باج افزار عرضه کرده است که اساسا تلاش می‌کند تا دو عدد اولیه را که در فرمول ایجاد کلیدهای رمزگذاری استفاده شده اند ,از روی مموری برگرداند. نام این ابزار WannaKey است و تنها بر روی ویندوز ایکس پی کار می‌کند.

(جلوتر به ابزاری به نام WanaKiwi خواهیم پرداخت که بر روی ویندوز ایکس پی تا ویندوز ۷ کار می‌کند.)

وی میگوید: ” این ابزار با جستجو کردن اعداد در فرایندِ wcry.exe کلیدِ خصوصیِ RSA را ایجاد می‌کند. موضوع اصلی این است کهCryptDestroyKey و CryptReleaseContext پیش از آزاد کردن مموری مربوطه, اعداد اولیه را از روی آن پاک نمی‌کنند. ”
یعنی این متد تنها در صورتی کار می‌کند که:
کامپیوتر آلوده پس از آلودگی, ریبوت نشده باشد.
مموری توسط فرایندی دیگر پاک نشده باشد.

او میگوید: “برای اینکه روش ذکر شده کار کند, کامپیوتر شما نباید پس از الوده شدن ریبوت شده باشد. همچنین توجه داشته باشید که شما به کمی شانس نیاز دارید تا این متد برایتان کار کند زیرا ممکن است در برخی موارد جواب ندهد. این واقعا ایرادی از جانب نویسندگان باج افزار نیست چرا که آنان به خوبی از Windows Crypto API استفاده می‌کنند.”

از آنجایی که WannaKey تنها اعداد اولیه را از مموری کامپیوتر آلوده بیرون میکشد, این ابزار فقط منحصر به افرادی است که میتوانند با استفاده از اعداد اولیه, کلید رمزگشایی را ایجاد و فایل هایشان را باز کنند.

واناکیوی ابزار رمزگشایی باج افزارِ WannaCry:

خبر خوب این است که یک محقق امنیتی دیگر به نام Benjamin Delpy بر اساس یافته هایِ Guinet ابزاری را توسعه داده است که تمام فرایند رمزگشایی فایل های آلوده به باج افزار را آسان میکند. نامِ این ابزار جدید WanaKiwi میباشد.
تمام آنچه قربانیان باید انجام دهند این است که ابزارِ WanaKiwi را از Github دانلود کرده و بر روی کامپیوترهای آلوده شان که از خط فرمان (cmd) استفاده میکنند,نصب کنند.

آقای Matt Suiche اطمینان میدهد که ابزارِ WanaKiwi بر رویِ Windows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸ کار میکند. او در شرکتِ امنیتیِ Comae Technologies کار میکند و تعدادی مستندات تهیه کرده است که چگونگی کار با این ابزار را به منظور باز کردن رمز فایل هایتان به شما نشان میدهد.
گرچه این ابزار برای هر کاربری کار نمیکند اما همچنان به قربانیان این باج افزار درباره بازگرداندن رایگان فایل هایشان کمی امید میدهد حتی در سیستم عامل ویندوز ایکس پی که قدیمی بوده و ورژنی پشتیبانی نشده از جانب مایکروسافت است

پست های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *