Выпущен инструмент дешифрования программы-вымогателя WannaCry. Разблокируйте файлы без оплаты выкупа

Если ваш PC был заражен WannaCry – программой-вымогателем, которая нанесла огромный ущерб компьютерам по всему миру, вы сможете вернуть ваши заблокированные файлы, не потратив на выкуп киберпреступникам 300$.

Adrien Guinet, французский исследователь в области безопасности от Quarkslab, обнаружил способ получить секретные ключи шифрования, используемые программой-вымогателем WannaCry бесплатно. Этот способ доступен для операционных систем Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.

Ключи расшифровки программы-вымогателя WannaCry

В ходе работы схемы шифрования WannaCry генерирует ключи шифрования компьютера жертвы на основе простых чисел.

Для того чтобы жертва не получила доступ к закрытому ключу и не дешифровала заблокированные файл сама, WannaCry вытирает ключ из системы. Таким образом у жертвы не остается выбора кроме оплаты выкупа атакующему.

Но вот простые числа из памяти не вытираются.

На основании этого открытия Guinet выпустил инструмент для дешифрования программы-вымогателя WannaCry, названный WannaKey, который находит эти два простых числа, используемые в формуле, чтобы сгенерировать эти ключи шифрования. Увы, такой способ работает только под управлением Windows XP.

Простые числа ищутся в процессе wcry.exe. Все это стало возможным только потому что CryptDestroyKey и CryptReleaseContext не стирают простые числа из памяти прежде чем ее освободить.

Что это означает?

А то что этот метод будет работать лишь при соблюдении следующих условий:

  • Компьютер после заражения не перегружался.
  • Соответствующая память не была выделена и вытерта некоторым другим процессом.

Таким образом, ваш компьютер, не должен перегружаться, будучи заражен. Кроме того, вам нужна некоторая удача, таким образом, увы, всегда этот способ работать не будет.

Это не ошибка от авторов программы-вымогателя, поскольку они правильно используют Windows Crypto API.

WanaKiwi: инструмент дешифрования программы-вымогателя WannaCry

Хорошие новости — то, что другой исследователь в области безопасности, Benjamin Delpy, разработал простой в использовании инструмент по имени «WanaKiwi», на основе открытия Guinet, которое упрощает процесс дешифрования WannaCry.

Все что жертва должна сделать – загрузить инструмент WanaKiwi с Github и выполнить его на соответствующем ПК в режиме командной строки.

Фирма Comae Technologies, работающая в области безопасности, подтвердила работу WanaKiwi над Windows XP, Windows 7, Windows Vista, Windows Server 2003 и 2008.

https://www.pcweek.ru/security/blog/security/9624.php 

 

Реклама

One Response to Выпущен инструмент дешифрования программы-вымогателя WannaCry. Разблокируйте файлы без оплаты выкупа

  1. Александр:

    Очень хорошо, что антивирусные разработчики не бросают в беде пользователей.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: