اگر کامپیوتر شخصی شما به باج افزارِ WannaCry آلوده شده است (باج افزاری که در جمعه ی پیش – ۱۲ می – خرابی بزرگی در سراسر جهان به بار آورده است) شما خیلی خوش شانس هستید که میتوانید فایل های قفل شده تان را بدون پرداخت باج ۳۰۰ دلاری را به مجرمان سایبری بازگردانید.
محقق امنیتی فرانسوی (Adrien Guinet) از شرکتِ Quarkslab راهی برای پس گرفتن کلید رمزگذاری پیدا کرده است. این ترفند رایگان در سیستم عامل هایWindows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸کار میکند.
کلیدهای رمزگشایی این باج افزار:
طرح کلی این باج افزار به این شکل است:
باج افزار WannaCry یک جفت کلید بر روی کامپیوتر قربانی ایجاد میکند که بر اساس اعداد اولیه است شامل یک کلید عمومی برای رمزگذاری و یک کلید خصوصی برای رمزگشایی از فایل های سیستم.
به منظور جلوگیری از دسترسی قربانی به کلید خصوصی, WannaCry کلید را از روی سیستم پاک میکند و برای بازگرداندن کلید رمزگشایی, هیچ انتخابی برای قربانی نمیگذارد به جز پرداخت باج به مهاجم.
این محقق میگوید: ” نکته ی جالب این جاست که این باج افزار پیش از آزاد کردن مموری, اعداد اولیه را از روی آن پاک نمیکند.”
بر اساس این یافته, او ابزاری برای رمزگشایی از باج افزار عرضه کرده است که اساسا تلاش میکند تا دو عدد اولیه را که در فرمول ایجاد کلیدهای رمزگذاری استفاده شده اند ,از روی مموری برگرداند. نام این ابزار WannaKey است و تنها بر روی ویندوز ایکس پی کار میکند.
(جلوتر به ابزاری به نام WanaKiwi خواهیم پرداخت که بر روی ویندوز ایکس پی تا ویندوز ۷ کار میکند.)
وی میگوید: ” این ابزار با جستجو کردن اعداد در فرایندِ wcry.exe کلیدِ خصوصیِ RSA را ایجاد میکند. موضوع اصلی این است کهCryptDestroyKey و CryptReleaseContext پیش از آزاد کردن مموری مربوطه, اعداد اولیه را از روی آن پاک نمیکنند. ”
یعنی این متد تنها در صورتی کار میکند که:
– کامپیوتر آلوده پس از آلودگی, ریبوت نشده باشد.
– مموری توسط فرایندی دیگر پاک نشده باشد.
او میگوید: “برای اینکه روش ذکر شده کار کند, کامپیوتر شما نباید پس از الوده شدن ریبوت شده باشد. همچنین توجه داشته باشید که شما به کمی شانس نیاز دارید تا این متد برایتان کار کند زیرا ممکن است در برخی موارد جواب ندهد. این واقعا ایرادی از جانب نویسندگان باج افزار نیست چرا که آنان به خوبی از Windows Crypto API استفاده میکنند.”
از آنجایی که WannaKey تنها اعداد اولیه را از مموری کامپیوتر آلوده بیرون میکشد, این ابزار فقط منحصر به افرادی است که میتوانند با استفاده از اعداد اولیه, کلید رمزگشایی را ایجاد و فایل هایشان را باز کنند.
واناکیوی ابزار رمزگشایی باج افزارِ WannaCry:
خبر خوب این است که یک محقق امنیتی دیگر به نام Benjamin Delpy بر اساس یافته هایِ Guinet ابزاری را توسعه داده است که تمام فرایند رمزگشایی فایل های آلوده به باج افزار را آسان میکند. نامِ این ابزار جدید WanaKiwi میباشد.
تمام آنچه قربانیان باید انجام دهند این است که ابزارِ WanaKiwi را از Github دانلود کرده و بر روی کامپیوترهای آلوده شان که از خط فرمان (cmd) استفاده میکنند,نصب کنند.
آقای Matt Suiche اطمینان میدهد که ابزارِ WanaKiwi بر رویِ Windows XP, Windows 7, Windows Vista, Windows Server 2003 و ۲۰۰۸ کار میکند. او در شرکتِ امنیتیِ Comae Technologies کار میکند و تعدادی مستندات تهیه کرده است که چگونگی کار با این ابزار را به منظور باز کردن رمز فایل هایتان به شما نشان میدهد.
گرچه این ابزار برای هر کاربری کار نمیکند اما همچنان به قربانیان این باج افزار درباره بازگرداندن رایگان فایل هایشان کمی امید میدهد حتی در سیستم عامل ویندوز ایکس پی که قدیمی بوده و ورژنی پشتیبانی نشده از جانب مایکروسافت است