※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-19 14:43:29
看板 Gossiping
作者 標題 Fw: [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:57:57 2017
※ [本文轉錄自 AntiVirus 看板 #1P7dxNTe ]
看板 AntiVirus
作者 標題 [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:12:49 2017
針對 Windows XP 系統的勒索病毒恢復軟體
2017-5-18 22:30:49
法國 Quarkslab 研究員 Adrien Guinet 發佈了一款軟體,表示 Windows XP 系統如果遭
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。
Guinet 發佈了一款軟體。他表示,該軟體幫他發現了實驗室中被感染 Windows XP 電腦
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。
他將這款軟體命名為 Wannakey。他表示:「這款軟體只在 Windows XP 下進行過測試,
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」
Comae Technologies 創始人、研究員 Matt Suiche 報告稱,Guinet 的解密工具沒有效
果。
WCry 勒索病毒也被稱作 WannaCry,在感染電腦後會對電腦上的所有資料進行加密,而黑
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰
。
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰
。
不過,Windows XP 存在的限制會導致 API 無法清除密鑰。因此,在電腦關機重啟之前,
用於生成 WCry 密鑰的主序列可能會一直駐留在內存中。WannaKey 能掃瞄 Windows XP
系統內存,提取其中的相關信息。
Guinet 表示:「如果你足夠幸運(即相關的內存塊尚未被重新分配或清除),這些主序
列可能仍駐留在內存裡。」
他同時在 Twitter 上表示:「我完整地完成瞭解密過程。我可以確認,在這台電腦上,
密鑰可以從 XP 中恢復。」 他在 Twitter 消息中提供了電腦屏幕截圖。
Wannakey 的下載地址:
https://github.com/aguinet/wannakey
GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
![[圖]]()
wannakey - Wannacry in-memory key recovery for WinXP ...
![[圖]](https://avatars3.githubusercontent.com/u/1874053?v=3&s=400)
wannakey/search_primes.exe at master · aguinet/wannakey · GitHub
![[圖]]()
wannakey - Wannacry in-memory key recovery for WinXP ...
資訊來源:月光博客
http://www.williamlong.info/archives/4977.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.105.245.21
※ 文章代碼(AID): #1P7dxNTe (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495170775.A.768.html
推 : XP企業再戰十年(*゚∀゚)1F 05/19 13:17
→ : Wannakey2F 05/19 13:40
→ : !?!?!3F 05/19 13:43
推 : XP才是最安全的4F 05/19 13:54
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: abramtw (140.114.138.111), 05/19/2017 13:57:57
推 : XP再戰十年1F 05/19 13:59
→ aa1052026 …
推 : 為什麼不是取名為WannaHappy?3F 05/19 14:00
推 : XP再戰十年!!!4F 05/19 14:00
噓 : 從ID到連結都是病毒的駭客5F 05/19 14:00
→ : XP果然是本世紀最先進的造業系統6F 05/19 14:00
推 : XP可以再戰100年7F 05/19 14:00
推 : XP在戰10年8F 05/19 14:00
推 : 那是硬體太差才會當掉9F 05/19 14:01
→ : 跟系統本身無關
→ : 跟系統本身無關
推 : XP再戰10年!!11F 05/19 14:01
→ : 第六代i7還是可以灌XP 再戰10年!12F 05/19 14:03
![[圖]](https://pbs.twimg.com/profile_images/829050656984018947/f9DNT7h5_bigger.jpg)
@adriengntI got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry!!
![[圖]](https://pbs.twimg.com/media/DAGyWO-UQAApArP.jpg)
推 : xp再戰10年!!!14F 05/19 14:08
推 : XP在戰十年15F 05/19 14:08
推 : XP再戰10年!!!我差威武16F 05/19 14:11
推 : ...17F 05/19 14:16
噓 : 別再戰十年了 這是剛好拿另一個漏洞來補這個漏洞18F 05/19 14:28
推 : XP系統現在開機連網還是會中標嗎??19F 05/19 14:30
→ : 鎖445 port 就不會了20F 05/19 14:33
推 : XP再戰十年!!!21F 05/19 14:33
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 176
回列表(←)
分享