Як відновити файли, зашифровані вірусом WannaCry

Співробітник компанії Quarkslab Адрієн Гинье знайшов спосіб розшифровки файлів, зашифрованих вірусом WannaCry, який з 12 травня заразив більше 100 тисяч комп’ютерів по всьому світу.

Гинье з’ясував, що вірус генерує два криптографічних ключа. Перший використовується для шифрування файлів, а другий — для їх розшифровки в тому випадку, якщо жертва заплатить викуп. Використовуючи баг в операційній системі, користувач може відновити зашифровані файли, не сплачуючи гроші хакерам, але для цього потрібно дотримати кілька умов.

Заражений комп’ютер повинен працювати на Windows XP і він з моменту зараження вірусом не повинен був вимикатися або перезавантажуватися. Справа в тому, що в Windows XP є баг, який дозволяє отримати ключ дешифрування з оперативної пам’яті. Вірус шифрує цей ключ, а його початкова версія видаляється з допомогою стандартної функції CryptReleaseContext, яка не працює в Windows XP так, як повинна. Видаляється лише маркер, який вказує на ключ, а сам ключ продовжує зберігатися в оперативній пам’яті до тих пір, поки комп’ютер не буде вимкнений або який-небудь процес не перезапише його іншими даними. В останніх версіях Windows цей баг був виправлений, тому витягти з пам’яті ключ для розшифровки файлів не вийде.

Відновити файли на вінчестері, взявши його з нового комп’ютера і встановивши на комп’ютер з Windows XP, не вдасться, оскільки для кожного ПК генерується унікальний ключ і його незашифрований исходник не зберігається в незалежній пам’яті.

Гинье виклав на GitHub вихідний код програми WannaKey за допомогою якої можна відновити зашифровані файли. Він протестував цей інструмент на кількох заражених комп’ютерах і успішно відновив зашифровані файли. Розробник сподівається, що ця програма стане в нагоді будь-кому-небудь, але очевидно, що комп’ютерів, які працюють на Windows XP, тиждень тому заразилися вірусом WannaCry і з тих пір ніколи не вимикали, дуже мало.

Ссылка на основную публикацию
Adblock
detector