Інструменти дешифрування WannaCry (WanaDecryptor)

WannaCry

WannaKey: Ключі дешифрування WannaCry

Французький експерт Адрієна Гіньє (Adrien Guinet) з компанії Quarkslab знайшов новий спосіб для отримання ключів розшифровки WannaCry абсолютно безкоштовно. Спосіб працює лише в операційній системі Windows XP.

У процесі шифрування зловред WannaCry генерує на комп'ютері жертви відкритий і закритий ключі, які служать для шифрування та розшифровки файлів користувача відповідно.

Щоб запобігти можливості отримання доступу до закритого ключа для дешифрування файлів, WannaCry стирає цей ключ із системи, тому жертва не має інших варіантів, крім оплати викупу кіберзлочинцям.

Проте було виявлено одну закономірність: “WannaCry не стирає прості номери ключів з пам'яті до очищення асоціативної пам'яті”.

Цей факт був використаний для створення інструменту дешифрування під назвою WannaKey, який намагається виявити дві числові комбінації, які використовуються для створення ключів шифрування з пам'яті.

дешифрування

Гіньє зазначає: “Додаток виконує пошук ключів дешифрування у процесі wcry.exe, який генерує закриті RSA ключі. Особливість полягає в тому, що CryptDestroyKey та CryptReleaseContext не стирають прості числа з пам'яті до звільнення асоціативної пам'яті”.

Це означає, що цей метод буде працювати тільки якщо:

  • Заражений комп'ютер не перезавантажили після зараження.
  • Асоціативна пам'ять була виділена і стерта будь-яким іншим процесом.

Експерт попереджає, що інструмент допоможе тільки якщо комп'ютер не перезавантажувався після зараження і навіть у цьому випадку не завжди вдасться успішно дешифрувати файли.

Помилка не була допущенакіберзлочинцями вони просто використовували Windows Crypto API.

WannaKey призначений лише для вилучення з пам'яті числових комбінацій. Її варто використовувати лише тим користувачам, які можуть застосувати отримані числа для ручної генерації ключа дешифрування, щоб відновити доступ до файлів.

WanaKiwi: інструмент дешифрування WannaCry

Ще один дослідник безпеки Бенжамін Делфі (Benjamin Delpy) розробив просту у використанні програму під назвою WanaKiwi. Вона використовує відкриття Гіньє, яке полегшує процес дешифрування заблокованих WannaCry файлів.

Всім жертвам рекомендується завантажити WanaKiwi із сервісу Github та запустити на заражених системах за допомогою командного рядка.

Метт Cebi (Matt Suche) з компанії Comae Technologies вже протестував програму та продемонстрував, як можна використовувати WanaKiwi для дешифрування файлів. WanaKiwi працює в операційних системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 та Windows Server 2008.

Хоча через певні залежності інструмент запрацює не в кожній системі, він все ж дає деяким жертвам надію відновити доступ до файлів без фінансових витрат.