針對 Windows XP 系統的勒索病毒恢復軟體
2017-5-18 22:30:49
法國 Quarkslab 研究員 Adrien Guinet 發佈了一款軟體,表示 Windows XP 系統如果遭
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。
Guinet 發佈了一款軟體。他表示,該軟體幫他發現了實驗室中被感染 Windows XP 電腦
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。
他將這款軟體命名為 Wannakey。他表示:「這款軟體只在 Windows XP 下進行過測試,
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」
Comae Technologies 創始人、研究員 Matt Suiche 報告稱,Guinet 的解密工具沒有效
果。
WCry 勒索病毒也被稱作 WannaCry,在感染電腦後會對電腦上的所有資料進行加密,而黑
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰
。
不過,Windows XP 存在的限制會導致 API 無法清除密鑰。因此,在電腦關機重啟之前,
用於生成 WCry 密鑰的主序列可能會一直駐留在內存中。WannaKey 能掃瞄 Windows XP
系統內存,提取其中的相關信息。
Guinet 表示:「如果你足夠幸運(即相關的內存塊尚未被重新分配或清除),這些主序
列可能仍駐留在內存裡。」
他同時在 Twitter 上表示:「我完整地完成瞭解密過程。我可以確認,在這台電腦上,
密鑰可以從 XP 中恢復。」 他在 Twitter 消息中提供了電腦屏幕截圖。
Wannakey 的下載地址:
https://github.com/aguinet/wannakey
https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe
資訊來源:月光博客
http://www.williamlong.info/archives/4977.html