Kilka dni temu pisałem o robaku WannaCry, który szturmem podbił serca komputery, przy okazji szyfrując dane na nich, i oferując odszyfrowanie za jedyne 300 $ od komputera. A zważywszy na to, że atak rozpowszechniał się pięknie przez sieć lokalną (LAN), to zapewne są firmy, gdzie wspomniane 300 należy przeliczyć nawet przez kilkadziesiąt (a być może nawet kilkaset) urządzeń. Być może jednak uda się – przynajmniej niektórym – odzyskać dane bez konieczności regulowania rachunku za niezaktualizowane oprogramowanie, bo pojawił się już pierwszy sposób, choć – jak pisze sam autor – nie zawsze skuteczny…

Wannakey i Windows XP

Metoda opisana na GitHubie polega na próbie uzyskania (wydobycie) liczb pierwszych, które posłużyły do wygenerowania kluczy RSA użytych do szyfrowania danych. By w ogóle mieć szansę – bo jak już pisałem, nie ma gwarancji, ze się uda – zainfekowany komputer musi działać pod kontrolą systemem Windows XP (czyli pewnie większość zainformowanych urządzeń, z racji zakończonego „cyklu życia” dla tego systemu), i tylko jeśli od momentu zaatakowania nie był wyłączany/restartowany.

Wykorzystywany jest tu pewna cecha CryptReleaseContext, która w systemie Windows XP (np. w Windows 10 zostało to już poprawione, w tym przypadku niestety, jeśli trafiło na kogoś, kto przez kilka miesięcy nie zainstalował aktualizacji bezpieczeństwa) sprawia, że po wygenerowaniu kluczy liczby pierwsze – które służyły do ich wygenerowania – nie są usuwane z pamięci RAM, a tym samym można spróbować je odczytać.

Do tego jeszcze PID porocesu wcry.exe, plik 00000000.pky i można za pomocą jednego polecenia spróbować wygenerować klucz do odszyfrowania plików:

search_primes.exe PID ścieżka\do\pliku\00000000.pky

Cała procedura została opisana dość szczegółowo na stronie projektu Wannakey na GitHubie…

Zgłoś błąd na stronie

Jeśli jesteś człowiekiem i widzisz to pole, pozostaw je puste.

Pola oznaczone * są wymagane

Nie musisz podawać tytułu ani adresu strony - te informacje zostaną dodane automatycznie.

Opisz problem/błąd (wymagane) *

Wpisz wynik działania: cztery + 4 = *

Jeśli masz jakieś pytania związane z poruszanymi przez nas tematami/zagadnieniami prosimy byś zadał(a) je w formie komentarza pod artykułem (wpisem). Pomożesz w ten sposób nie tylko nam (czas), ale i innym użytkownikom, którzy być może mają identyczny co Ty problem (wiedza).

Przejdź do strony głównej

Lub napisz komentarz

Napisz komentarz

Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które - w miarę możliwości - spróbujemy Ci odpowiedzieć.

Linki partnerskie

Niektóre z linków na tej stronie to tzw. "linki partnerskie", co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte... :-)

Znaki towarowe i nazwy marek

W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.