Εάν ο υπολογιστής σας έχει μολυνθεί από το WannaCry ransomware που έσπειρε την καταστροφή σε ολόκληρο τον κόσμο την περασμένη Παρασκευή, ίσως να είστε τυχεροί για να πάρετε τα κλειδωμένα αρχεία σας πίσω χωρίς να πληρώσετε τα λύτρα των $ 300 στους εγκληματίες του κυβερνοχώρου.
Ο Adrien Guinet, ένας Γάλλος ερευνητής ασφάλειας από την Quarkslab, ανακάλυψε έναν τρόπο να ανακτήσει τα μυστικά κλειδιά κρυπτογράφησης που χρησιμοποιούνται από το ransomware δωρεάν, το οποίο λειτουργεί στα λειτουργικά συστήματα Windows XP, Windows 7, Windows Vista, Windows Server 2003 και 2008.
Κλειδιά αποκρυπτογράφησης WannaCry Ransomware
Το πρόγραμμα κρυπτογράφησης του WannaCry λειτουργεί δημιουργώντας ένα ζευγάρι κλειδιών στον υπολογιστή του θύματος που βασίζονται σε πρωτεύοντες αριθμούς, ένα δημόσιο κλειδί και ένα «ιδιωτικό» κλειδί για την κρυπτογράφηση και την αποκρυπτογράφηση των αρχείων του συστήματος αντίστοιχα.
Για να αποτραπεί το θύμα από την πρόσβαση στο ιδιωτικό κλειδί και την αποκρυπτογράφηση κλειδωμένων αρχείων ο ίδιος, η WannaCry διαγράφει το κλειδί από το σύστημα, μη αφήνοντας επιλογή για τα θύματα να ανακτήσουν το κλειδί αποκρυπτογράφησης, εκτός από το να πληρώσουν τα λύτρα στον εισβολέα.
Αλλά εδώ είναι το kicker: Το WannaCry “δεν σβήνει τους πρώτους αριθμούς από τη μνήμη πριν απελευθερώσει τη σχετική μνήμη”, λέει ο Guinet.
Με βάση αυτό το εύρημα, ο Guinet κυκλοφόρησε ένα εργαλείο αποκρυπτογράφησης, το οποίο ονομάζεται WannaKey , το οποίο ουσιαστικά προσπαθεί να ανακτήσει τους δύο πρώτους αριθμούς που χρησιμοποιούνται στον τύπο για να δημιουργήσει κλειδιά κρυπτογράφησης από τη μνήμη.
Ωστόσο, αυτή η μέθοδος έρχεται με κάποιους περιορισμούς και θα λειτουργήσει μόνο εάν:
- Ο υπολογιστής που έχει προσβληθεί δεν έχει επανεκκινηθεί μετά τη μόλυνση.
- Η σχετική μνήμη δεν έχει κατανεμηθεί και διαγραφεί από κάποια άλλη διαδικασία.
“Για να μπορέσετε να εργαστείτε, ο υπολογιστής σας δεν πρέπει να έχει επανεκκινήσει μετά τη μόλυνση. Σημειώστε επίσης ότι χρειάζεστε λίγη τύχη για να δουλέψετε (δείτε παρακάτω) και έτσι μπορεί να μην λειτουργήσει σε κάθε περίπτωση!”, Λέει ο Guinet.
Παρόλο που το WannaKey τραβά μόνο τους πρωταρχικούς αριθμούς από τη μνήμη του επηρεαζόμενου υπολογιστή, το εργαλείο μπορεί να χρησιμοποιηθεί μόνο από εκείνους που μπορούν να χρησιμοποιήσουν αυτούς τους πρωταρχικούς αριθμούς για να δημιουργήσουν το κλειδί αποκρυπτογράφησης με το χέρι για να αποκρυπτογραφήσουν τα αρχεία που έχουν μολυνθεί από το κακόβουλο λογισμικό.
