顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-19 14:43:29
看板 Gossiping
作者 abramtw (世界原來是如此耀眼啊)
標題 Fw: [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:57:57 2017


※ [本文轉錄自 AntiVirus 看板 #1P7dxNTe ]

看板 AntiVirus
作者 evansliu (evansliu)
標題 [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:12:49 2017


針對 Windows XP 系統的勒索病毒恢復軟體

2017-5-18 22:30:49

法國 Quarkslab 研究員 Adrien Guinet 發佈了一款軟體,表示 Windows XP 系統如果遭
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。


Guinet 發佈了一款軟體。他表示,該軟體幫他發現了實驗室中被感染 Windows XP 電腦
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。


他將這款軟體命名為 Wannakey。他表示:「這款軟體只在 Windows XP 下進行過測試,
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」


Comae Technologies 創始人、研究員 Matt Suiche 報告稱,Guinet 的解密工具沒有效
果。

WCry 勒索病毒也被稱作 WannaCry,在感染電腦後會對電腦上的所有資料進行加密,而黑
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰


不過,Windows XP 存在的限制會導致 API 無法清除密鑰。因此,在電腦關機重啟之前,
用於生成 WCry 密鑰的主序列可能會一直駐留在內存中。WannaKey 能掃瞄 Windows XP
系統內存,提取其中的相關信息。

Guinet 表示:「如果你足夠幸運(即相關的內存塊尚未被重新分配或清除),這些主序
列可能仍駐留在內存裡。」

他同時在 Twitter 上表示:「我完整地完成瞭解密過程。我可以確認,在這台電腦上,
密鑰可以從 XP 中恢復。」 他在 Twitter 消息中提供了電腦屏幕截圖。

Wannakey 的下載地址:
https://github.com/aguinet/wannakey
GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
[圖]
wannakey - Wannacry in-memory key recovery for WinXP ...

 
https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe
wannakey/search_primes.exe at master ·  aguinet/wannakey ·  GitHub
[圖]
wannakey - Wannacry in-memory key recovery for WinXP ...

 

資訊來源:月光博客
http://www.williamlong.info/archives/4977.html

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.105.245.21
※ 文章代碼(AID): #1P7dxNTe (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495170775.A.768.html
shinkiro: XP企業再戰十年(*゚∀゚)1F 05/19 13:17
Toy17: Wannakey2F 05/19 13:40
SCLPAL: !?!?!3F 05/19 13:43
abramtw: XP才是最安全的4F 05/19 13:54

※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: abramtw (140.114.138.111), 05/19/2017 13:57:57
SonyXperiaZ3: XP再戰十年1F 05/19 13:59
aa1052026: 有用嗎?XP不是在勒索病毒鎖檔前就當掉了?2F 05/19 13:59
johnhmj: 為什麼不是取名為WannaHappy?3F 05/19 14:00
vickyshan: XP再戰十年!!!4F 05/19 14:00
new2smart7: 從ID到連結都是病毒的駭客5F 05/19 14:00
ArSaBuLu: XP果然是本世紀最先進的造業系統6F 05/19 14:00
f124: XP可以再戰100年7F 05/19 14:00
netio: XP在戰10年8F 05/19 14:00
Yijhen0525: 那是硬體太差才會當掉9F 05/19 14:01
Yijhen0525: 跟系統本身無關
wotupset: XP再戰10年!!11F 05/19 14:01
abramtw: 第六代i7還是可以灌XP 再戰10年!12F 05/19 14:03
wotupset: http://tinyurl.com/mu7c5d6 推特 太神了13F 05/19 14:06
[圖]
Adrien Guinet
@adriengnt
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!!
[圖]
 
force5566: xp再戰10年!!!14F 05/19 14:08
saca572381: XP在戰十年15F 05/19 14:08
soarling: XP再戰10年!!!我差威武16F 05/19 14:11
kuromu: ...17F 05/19 14:16
kevincj22: 別再戰十年了 這是剛好拿另一個漏洞來補這個漏洞18F 05/19 14:28
jamwwe: XP系統現在開機連網還是會中標嗎??19F 05/19 14:30
abramtw:  鎖445 port 就不會了20F 05/19 14:33
sunshinecan: XP再戰十年!!!21F 05/19 14:33

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 181 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇