Специалист французской компании Quarkslab Адриен Гинье сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry (Win XP).

Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry. К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного баг в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской малвари. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей – публичный, который используется для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.«Если вам повезет, вы сможете получить доступ к этим областям памяти и восстановить ключ. Возможно, он все еще будет там, и вы сможете использовать его для расшифровки файлов. Но это срабатывает не во всех случаях», — пишет исследователь.Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.Другие эксперты уже подтвердили, что в теории инструмент Гинье должен работать. Так, известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green), пишет, что способ должен работать, хотя в текущих обстоятельствах все это больше похоже на лотерею. Еще один известный специалист, сотрудник компании F-Secure, Микко Хайппонен (Mikko Hypponen) задается вопросом «зачем использовать для уничтожения ключей функцию, которая не уничтожает ключи?», однако соглашается с тем, что баг можно попытаться использовать для восстановления зашифрованных файлов.
Stfw.Ru
Читайте также


Оставить комментарий
Имя:  

Комментарий:

У главного вокзала Кёльна захвачены заложникиВ районе главного вокзала Кёльна захвачены заложники, на место прибыли полицейские, говорится в Twitter городских правоохранительных органов.Издание Focus сообщает о стрельбе в этом районе, в результате которой мог пострадать один человек. "В районе площади Бреслауэр плац (площадь перед вокзалом - прим. ТАСС) произошел захват заложника. Полиция находится на месте и проясняет ситуацию", - сообщили правоохранительные органы в Twitter. "Пожалуйста, избегайте [этого] района", - предупредили в полиции.Стражи порядка оцепили район вокзала и по громкоговорителю просят людей покинуть территорию. По данным издания Klnische rundschau, инцидент произошел в аптеке, расположенной в здании вокзала. Есть сведения о том, что один человек получил ранения.В то же время газета Klner Stadt Anzeiger сообщила о том, что прозвучало несколько выстрелов. Полиция пока не подтверждает эти данные.ЧП привело к отменам и задержкам в движении поездов, сообщил концерн Deutsche Bahn.
http://stfw.ru


Примечание: При комментировании материала просим соблюдать законы Российской Федерации. Пожалуйста, воздержитесь от оскорблений и токсичного поведения.

Сводка событий

02:10 У главного вокзала Кёльна захвачены заложники


02:10 Сборная России завоевала шесть медалей в восьмой день ЮОИ в Аргентине


02:10 Россия перекрыла реэкспорт топлива из Белоруссии на Украину


02:10 Российский сыр стал лучшим во Франции


02:10 РПЦ разорвала отношения с Константинопольским патриархатом


02:10 Исторические параллели


16:10 Microsoft представила для китайского рынка Laptop 2 в эксклюзивном цвете


16:10 В цеху "АвтоВАЗа" год скрыто работала майнинговая ферма


16:10 ["We the People"] Депутат Киеврады Петр Кузик угодил в реанимацию из-за небрежного обращения с наградным пистолетом SIG Sauer: при попытке почистить оружие он прострелил себе живот


16:10 "Мы, как страна-наблюдатель, имеем право ........, если им это не нравится - их проблемы"("Амстердам потерял авторитет": Нидерланды обвинили Россию в провокациях на учениях НАТО в Арктике)


16:10 Основные характеристики Nubia X подтвердил Geekbench


16:10 Xiaomi представила умную музыкальную маску для сна за $35


16:10 Xiaomi Mi8 Lite выйдет в продажу за пределами Китая 11 ноября


Вне компьютерной темы