Специалист французской компании Quarkslab Адриен Гинье сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry (Win XP).

Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry. К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного баг в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской малвари. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей – публичный, который используется для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.«Если вам повезет, вы сможете получить доступ к этим областям памяти и восстановить ключ. Возможно, он все еще будет там, и вы сможете использовать его для расшифровки файлов. Но это срабатывает не во всех случаях», — пишет исследователь.Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.Другие эксперты уже подтвердили, что в теории инструмент Гинье должен работать. Так, известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green), пишет, что способ должен работать, хотя в текущих обстоятельствах все это больше похоже на лотерею. Еще один известный специалист, сотрудник компании F-Secure, Микко Хайппонен (Mikko Hypponen) задается вопросом «зачем использовать для уничтожения ключей функцию, которая не уничтожает ключи?», однако соглашается с тем, что баг можно попытаться использовать для восстановления зашифрованных файлов.
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

Срочное заявление Главы ДНР Дениса ПушилинаСрочное заявление Главы ДНР Дениса ПушилинаРазведкой ДНР получены новые данные, подтверждающие подготовку киевским режимом под руководством западных кураторов масштабной провокации против собственного народа, способной привести к массовым человеческим жертвам.Спецслужбы Украины планируют провести диверсию на экологически опасных предприятиях вблизи линии соприкосновения сторон с последующим обвинением в преступлении России и республик Донбасса. Это прежде всего предприятия, которые используют в своем производстве хлор, аммиак и другие опасные вещества.В качестве другого варианта рассматривается применение боевого отравляющего вещества, якобы выпущенного с территории ДНР. Есть данные, что американцами для придания правдоподобности обвинениям ДНР и России уже подготовлены осколки снарядов, обработанные боевыми ядами. Считаю, что целью провокации является развязывание боевых действий в Донбассе и отмена выборов президента Украины, шансов на победу в которых у Порошенко нет.Операция координируется военными атташе и кадровыми представителями спецслужб США и Великобритании.Западные военные разведчики на основании отработанной в Сирии методики уже расписали для киевского режима план действий. Ведется работа по созданию на Украине аналога сирийских "Белых касок", которые, по замыслу авторов, должны фиксировать последствия отравления населения и фальсифицировать видеоматериалы, якобы доказывающие причастность к антигуманным акциям Народной милиции ДНР и России.Обращаемся к мировому сообществу, ООН, ОБСЕ и другим гуманитарным миссиям с призывом не допустить развязывания широкомасштабных военных действий в Донбассе. Мы не хотим невинных жертв среди мирного населения.Глава Донецкой Народной Республики Денис Пушилин
http://stfw.ru

Заявления представителей украинской стороны в Минске о необходимости мира в Донбассе прямо противоречат действиям ВФУ, которые продолжают стягивать военную технику и тяжелое вооружение к линии соприкосновения, что систематически подтверждается наблюдателями миссии.Так, в отчете по состоянию на 16.12.2018 г. наблюдатели СММ вновь зафиксировали нахождение тяжелого вооружения и техники, которые в соответствии с Минскими соглашениями должны быть отведены в места хранения, на железнодорожных станциях:СММ ОБСЕ обнаружила большое количество военной техники ВФУ на железнодорожных станциях на временно оккупированных территориях Донбасса - СЦКККроме того, ранее наблюдатели фиксировали нахождение тяжелого вооружения и техники на других железнодорожных станциях:СММ ОБСЕ обнаружила большое количество военной техники ВФУ на железнодорожных станциях на временно оккупированных территориях Донбасса - СЦККПриведенные из отчетов СММ ОБСЕ факты и цифры в который раз доказывают неспособность украинской стороны соблюдать Минские соглашения в части отвода тяжелой техники и вооружения от линии соприкосновения сторон в обозначенные места, а также красноречиво свидетельствуют об очередном этапе подготовки ВФУ к наступлению.
http://stfw.ru


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

01:12 Обзор материнской платы ASUS ROG MAXIMUS XI GENE: чемпионские гены


01:12 Проект «Карточка киевлянина» могут закрыть с 1 января 2019 года в связи с истечением срока договора. Инвестор обратился с открытым письмом к мэру Киева


01:12 Обновление Windows 10 October 2018 наконец-то стало доступно абсолютно для всех пользователей, Microsoft обещает качественнее проверять будущие версии Windows 10 на ошибки


01:12 КМУ выделил 2,5 млрд грн на строительство метро на Виноградарь


01:12 Игры Sins of a Solar Empire: Rebellion и Anno 1602 можно получить бесплатно на протяжении ограниченного периода времени


01:12 «Сільпо» внедрило бесконтактную оплату покупок через фирменное мобильное приложение


01:12 «Киевcтар» подключил к сети 4G ещё 196 населенных пунктов в 8 областях


01:12 Prometheus открыл регистрацию на радикально обновленный онлайн-курс Гарвардского университета «CS50 Основы программирования»


01:12 Microsoft готовит сразу две игровые консоли следующего поколения и стриминговый сервис для доступа к Xbox-играм с других платформ


01:12 HTC готовит новые смартфоны, нацеливаясь на конкуренцию с… Apple iPhone


01:12 Farout — самый далекий из известных на сегодня объектов Солнечной системы. На один оборот вокруг Солнца у него уходит более тысячи земных лет


01:12 Экс-главу львовского "Правого сектора"* нашли с перерезанным горлом


01:12 США признали беззащитность перед российским гиперзвуковым оружием


Вне компьютерной темы.