1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Найден способ расшифровки файлов после атаки Wanna Cry

Тема в разделе "Новости информационной безопасности", создана пользователем Candellmans, 19 май 2017 в 13:08.

  1. Candellmans
    Оффлайн

    Candellmans Активный пользователь

    Сообщения:
    353
    Симпатии:
    393
    Баллы:
    73
    Найден способ расшифровки файлов после атаки Wanna Cry
    Специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сообщает, что он нашел способ расшифровать данные, пострадавшие в результате атаки шифровальщика WannaCry. К сожалению, данный метод работает только для операционной системы Windows XP и далеко не во всех случаях, однако это уже лучше, чем ничего.

    Посмотреть изображение в Твиттере
    [​IMG]

    Читать
    [​IMG]Adrien Guinet @adriengnt

    I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!!

    14:34 - 18 May 2017
    Информация о рекламе в Твиттере & Конфиденциальность

    Гинье опубликовал на GitHub исходные коды инструмента, который он назвал WannaKey. Методика исследователя, по сути, базируется на эксплуатации достаточно странного и малоизвестного баг в Windows XP, о котором, похоже, не знали даже авторы нашумевшей вымогательской малвари. Дело в том, что при определенных обстоятельствах из памяти машины, работающей под управлением XP, можно извлечь ключ, необходимый для «спасения» файлов.

    Исследователь объясняет, что во время работы шифровальщик задействует Windows Crypto API и генерирует пару ключей – публичный, который используется для шифрования файлов, и приватный, которым после выплаты выкупа файлы можно расшифровать. Чтобы жертвы не смогли добраться до приватного ключа и расшифровать данные раньше времени, авторы WannaCry шифруют и сам ключ, так что он становится доступен лишь после оплаты.

    После того как ключ был зашифрован, его незашифрованная версия стирается с помощью стандартной функции CryptReleaseContext, что в теории должно удалять его и из памяти зараженной машины. Однако Гинье заметил, что этого не происходит, удаляется только «маркер», указывающий на ключ.

    Специалист пишет, что извлечь приватный ключ из памяти возможно. Сам Гинье провел ряд тестов и успешно расшифровал файлы на нескольких зараженных компьютерах под управлением Windows XP. Однако исследователь пишет, что для удачного исхода операции необходимо соблюсти ряд условий. Так как ключ сохраняется только в энергозависимой памяти, опасаться нужно не только того, что любой процесс может случайно перезаписать данные поверх ключа, а память перераспределится, но также нельзя выключать и перезагружать компьютер после заражения.

    «Если вам повезет, вы сможете получить доступ к этим областям памяти и восстановить ключ. Возможно, он все еще будет там, и вы сможете использовать его для расшифровки файлов. Но это срабатывает не во всех случаях», — пишет исследователь.

    Неизвестно, как много компьютеров под управлением Windows XP было заражено WannaCry, и какой процент пользователей ни разу не перезагружал и не выключал ПК после заражения. Напомню, что суммарно от атак шифровальщика пострадали сотни тысяч машин, более чем в ста странах мира. Тем не менее, Гинье надеется, что его методика может пригодиться хотя бы некоторым пользователям.

    Другие эксперты уже подтвердили, что в теории инструмент Гинье должен работать. Так, известный криптограф и профессор университета Джонса Хопкинса Мэтью Грин (Matthew Green), пишет, что способ должен работать, хотя в текущих обстоятельствах все это больше похоже на лотерею. Еще один известный специалист, сотрудник компании F-Secure, Микко Хайппонен (Mikko Hypponen) задается вопросом «зачем использовать для уничтожения ключей функцию, которая не уничтожает ключи?», однако соглашается с тем, что баг можно попытаться использовать для восстановления зашифрованных файлов.
    Найден способ расшифровки файлов после атаки WannaCry - «Хакер»
     
    Последнее редактирование: 19 май 2017 в 13:13
    Dragokas и shestale нравится это.
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.771
    Симпатии:
    5.446
    Баллы:
    848
    Ключевое тут, что компьютер ни разу не должен был выключаться (перезагружаться). Учитывая, что прошло пять дней как были массовые заражения думаю это практически никому не поможет.
     
  3. Candellmans
    Оффлайн

    Candellmans Активный пользователь

    Сообщения:
    353
    Симпатии:
    393
    Баллы:
    73
    Появился еще один дешифровщик
    Ранее ][ уже сообщал о том, что специалист французской компании Quarkslab Адриен Гинье (Adrien Guinet) сумел разработать инструмент WannaKey, с помощью которого можно восстановить зашифрованные файлы, пострадавшие в результате атаки вымогателя WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt). К сожалению, решение Гинье работает только с Windows XP и только если соблюсти ряд условий, но другие исследователи уже подхватили идею и доработали WannaKey.


    Читать
    [​IMG] Benjamin Delpy @gentilkiwi

    #wanakiwi to decrypt #WANACRY files from pieces of key in memory(thanks @adriengnt for idea)https://github.com/gentilkiwi/wanakiwi/releases …
    XP sometimes,7 if lucky

    07:42 - 19 May 2017 · France
    Информация о рекламе в Твиттере & Конфиденциальность




    На базе WannaKey был создан инструмент wanakiwi, который работает не только с Windows XP, но и 86-разрядными версиями Windows 7, 2003, Vista, Server 2008 и 2008 R2. Разработал это решение французский исследователь Бенджамин Делпи (Benjamin Delpy), при поддержке сооснователя компании Comae Technologies и эксперта Microsoft Мэтью Сюиша (Matthieu Suiche). Также его эффективность уже подтвердили специалисты Европола.


    Читать
    [​IMG]Europol

    ✔@Europol

    #Wannacry decrypting files tested by @EC3Europol & found to recover data in some circumstances: https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d … https://twitter.com/msuiche/status/865443334550036481 …

    19:26 - 19 May 2017
    [​IMG]
    WannaCry — Decrypting files with WanaKiwi + Demo – Comae Technologies
    Working Windows XP demo. #FRENCHMAFIA

    blog.comae.io

    Информация о рекламе в Твиттере & Конфиденциальность




    Технические детали о wanakiwi уже доступны в блоге Сюиша, там же можно найти скришнот, демонстрирующий дешифровщик в работе:

    [​IMG]

    Равно как и WannaKey, новый инструмент эксплуатирует небольшой недочет, обнаруженный исследователями в Microsoft Crypto API, что позволяет извлечь из памяти зараженной машины приватный ключ, необходимый для восстановления пострадавших файлов.

    К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».
    Появился еще один дешифровщик для WannaCry, подходящий для Windows XP и 7 - «Хакер»
     
    Последнее редактирование: 20 май 2017 в 06:41
    akok нравится это.
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    13.084
    Симпатии:
    14.376
    Баллы:
    2.193
    В общем множество "Если", так, что можно сказать.... расшировки еще нет.
     
    Candellmans нравится это.

Поделиться этой страницей

Поисковый запрос:

  1. расшифровка wanna cry