WannaKey lekarstwem na WannaCry: nie trzeba płacić 300 dolarów

Ofiarami ataku z wykorzystaniem ransomware WannaCry padło ponad 200 tys. komputerów, a straty szacuje się na setki milionów dolarów. Oprogramowanie na zaatakowanym komputerze szyfruje dane i wyświetla komunikat z ofertą odzyskania plików za jedyne 300 dolarów. Nie musimy jednak płacić tej sumy, wystarczy skorzystać z odpowiedniego oprogramowania i mieć trochę szczęścia.

WannaKey lekarstwem na WannaCry: nie trzeba płacić 300 dolarów

20.05.2017 | aktual.: 22.05.2017 12:35

WannaCry na zarażonych komputerach uruchamia proces taskche.exe skanujący wszystkie dyski, zarówno lokalne jak i sieciowe, szyfrując zawarte na nich pliki o określonych rozszerzeniach szyfrem RSA z 2048-bitowy kluczem. Adrien Guinet, francuski specjalista ds. bezpieczeństwa z Quarkslab, odkrył sposób na odzyskanie używanych przez ransomware kluczy szyfrowania.

Do odszyfrowania plików potrzebny jest klucz prywatny generowany przez WannaCry. W celu uniemożliwienia ofierze jego zdobycia, usuwany jest on z systemu, a jedynym sposobem na jego pobranie ma być zapłata okupu – wspomnianych na początku 300 dolarów. Jednakże w działaniu WannaCry pozostaje jedna luka, którą postanowił wykorzystać Adrien Guinet, francuski specjalista ds. bezpieczeństwa z Quarkslab. Adrien Guinet zauważył, że ransomware nie usuwa liczb pierwszych, wykorzystanych do stworzenia kluczy (prywatnego i publicznego), przed zwolnieniem powiązanej pamięci.

Francuski specjalista wykorzystał powyższy stwierdzenie do stworzenia narzędzia deszyfrującego ransomware WannaCry. Oprogramowanie nazywa się WannaKey i jest już dostępne w repozytorium GitHub. Pobiera ono dwie pierwsze liczby, użyte do wygenerowania kluczy. Przed użyciem narzędzia, trzeba wiedzieć, że WannaKey działa wyłącznie na Windows XP.

Nie tylko system jest ograniczeniem narzędzia WannaKey. Oprogramowanie na zadziała jeśli przydzielona pamięć, w której znajdują się liczby pierwsze, została usunięta i przydzielona innemu procesowi. Nie zadziała również jeśli komputer po zainfekowaniu, został ponownie uruchomiony. W obu przypadkach zachodzi więc podobieństwo z WannaKiwi. WannaCry służy tylko do pobrania liczb pierwszych z pamięci komputera. Nie służy ono niestety do wygenerowania kluczy, które posłużą do odszyfrowania danych.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (42)