一週前出現,惡意軟體 WannaCry感染了世界各地數十萬台 Windows 機器,封鎖工廠、廣告看板或醫院。上週末,一位年輕的英國人成功減緩了疫情的蔓延透過購買一個簡單的域名。這一次,三名法國專家走得更遠。他們開發了一個程序,允許受害者解鎖對其數據的訪問,而無需支付贖金。
閱讀:WannaCry 勒索軟體:造成的損失高達八位數
加密加密金鑰
當攻擊 PC 時,WannaCry 會產生兩個金鑰來加密資料。第一個是公共的,第二個是私人的。一旦安裝了惡意軟體,私鑰本身就會加密。這種新的加密方式產生了由駭客持有的主金鑰。一旦支付了贖金,他們就可以將其發送到機器上,解密私鑰,這將解密被劫持的檔案。
為了產生加密金鑰,WannaCry 使用 Windows 加密函數。然而,這些似乎存在一些弱點:在加密之前,私鑰會以純文字形式短暫寫入 RAM 中。這就是 Adrien Guinet、Matthieu Suiche 和 Benjamin Delpy 發揮作用的地方。他們的想法是利用這個短暫的出現來找到鑰匙。儘管私鑰的未加密版本很快就會被刪除,但清理過程中會留下一些有時可利用的殘留物。
https://twitter.com/msuiche/status/865443334550036481
法蘭西銀行安全項目總監本傑明·德爾佩 (Benjamin Delpy) 在接受 01net.com 採訪時解釋說,他的程序能夠利用這些痕跡。它基於研究員 Adrien Guinet 的工作,他找到了一種從恢復的元素中重建正確密鑰的方法。幾個小時前,後者也發起了運動透過發布名為 Wannakey 的軟體,其行動範圍當時僅限於Windows XP。由網路安全專家 Matthieu Suiche 和 Benjamin Delpy 提供協助然後發佈到網路上Wanakiwi 的第一個版本,能夠發布運行 Windows 7 的機器。
沒有奇蹟般的解決方案
正如本傑明·德爾佩(Benjamin Delpy)所解釋的那樣,這並不是「一個奇蹟般的解決方案」。隨著最新版本 Windows 的到來,記憶體管理變得更加有效率。換句話說,未加密資料的清除越來越好,讓那些想要找到遺骸的人變得更加困難。據 Benjamin Delpy 稱,Wanakiwi 在 60% 的情況下都適用於運行 Windows XP 的電腦。在 Windows 7 上,成功率目前停滯在 10%。
閱讀:WannaCry:我們該擔心新一波感染嗎?
正如 Matthieu Suiche 所解釋的在一篇部落格文章中,某些操縱使瓦納基維的任務變得不可能。因此,重新啟動受感染的機器相當於將犯罪現場傳遞給Kärcher。建議很明確:如果發生感染,不要觸摸任何東西並下載軟體。
儘管不完美,但這三位法國專家提出的解決方案具有幫助一些受害者的優點。至少,幸運的人。同時,本傑明·德爾佩 (Benjamin Delpy) 證實,已有幾家公司拜訪過瓦納基維 (Wanakiwi) – 也經歐洲刑警組織批准– 將自己從 Wannacry 中解放出來。他沒有具體說明雷諾是否是其中之一。
更新於 2017 年 5 月 19 日晚上 10:09:新增了 Adrien Guinet 工作的詳細資訊。