Wannakey i Windows XP
Metoda opisana na GitHubie polega na próbie uzyskania (wydobycie) liczb pierwszych, które posłużyły do wygenerowania kluczy RSA użytych do szyfrowania danych. By w ogóle mieć szansę – bo jak już pisałem, nie ma gwarancji, ze się uda – zainfekowany komputer musi działać pod kontrolą systemem Windows XP (czyli pewnie większość zainformowanych urządzeń, z racji zakończonego „cyklu życia” dla tego systemu), i tylko jeśli od momentu zaatakowania nie był wyłączany/restartowany.
Wykorzystywany jest tu pewna cecha CryptReleaseContext, która w systemie Windows XP (np. w Windows 10 zostało to już poprawione, w tym przypadku niestety, jeśli trafiło na kogoś, kto przez kilka miesięcy nie zainstalował aktualizacji bezpieczeństwa) sprawia, że po wygenerowaniu kluczy liczby pierwsze – które służyły do ich wygenerowania – nie są usuwane z pamięci RAM, a tym samym można spróbować je odczytać.
Do tego jeszcze PID porocesu wcry.exe, plik 00000000.pky i można za pomocą jednego polecenia spróbować wygenerować klucz do odszyfrowania plików:
search_primes.exe PID ścieżka\do\pliku\00000000.pkyCała procedura została opisana dość szczegółowo na stronie projektu Wannakey na GitHubie…
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- I kolejny raz zmieniliśmy czas, więc może to dobry (i ostatni ;-)) moment, by ustawić jego automatyczną zmianę (na przykładzie systemu Windows 10) - 1970-01-01
- Revolut Bank dostępny już (dla pierwszych klientów) w Polsce, czyli większe bezpieczeństwo zdeponowanych w ramach usługi środków - 1970-01-01
- Aruba Cloud „zaktualizowała ceny” moich promocyjnych VPSów, a tym samym (w końcu) rozstania nadszedł czas - 1970-01-01
