با ما ایمن باشید

دژپاد مشاور امنیت شبکه و عضو شورای عالی انفورماتیک

شرکت مهندسی و ایمنی شبکه دژپاد

دارای نمایندگی از معتبر ترین برند های امنیتی در دنیای مجازی
و عضو شورای عالی انفورماتیک ایران

امنیت را با

دژپاد تجربه کنید


کارشناسان ما هر جا که خطری شما را تهدید کند در کنار شما هستند تا کوچکترین ضربه ای از تجربه دنیای مجازی به شما وارد نشود

محصولات امنیتی
دژپاد را آنلاین خریداری کنید

محصولات امنیتی
دژپاد را آنلاین خریداری کنید

امیدی تازه در مهار واناکرای

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

ابزار رمزگشایی برای باج‌افزار واناکرای منتشر شد

ابزار رمزگشایی برای باج‌افزارواناکرای منتشر شد و قربانیان می‌توانندپرونده‌ها را بدون پرداخت باج رمزگشایی کنند

 


ابزار رمزگشایی برای باج‌افزار واناکرای منتشر شده‌است و دیگر لازم نیست قربانیان برای بازیابی پرونده‌های خود به مهاجمان باج پرداخت‌ کنند 

محقق فرانسوی به نام آدرین گیونت از شرکت  Quarkslab، روشی را کشف کرد که به‌طور رایگان می‌توان کلیدهای رمزگشایی در باج‌افزارواناکرای را به‌دست آورد. گفتنی است این ابزار بر روی سیستم‌عامل‌های ویندوز ایکس‌پی، ویندوز ویستا، کارگزار ویندوز ۲۰۰۳و۲۰۰۸کار می‌کند

در رمزنگاری توسط باج‌افزارواناکرای با استفاده از اعداد اول، جفت کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی پرونده‌ها بر روی سیستم قربانی تولید می‌شود. باج‌افزار برای اینکه از دسترسی قربانی به کلید خصوصی و رمزگشایی پرونده‌ها جلوگیری کند به‌طور‌کلی کلید خصوصی را از روی سیستم قربانی پاک می‌کند

هرچند که باج‌افزار کلید خصوصی را از روی سیستم قربانی پاک می‌کند، ولی اعداد اولی که برای تولید کلیدها مورد استفاده قرار گرفته‌بود بر روی حافظه‌ سیستم باقی می‌ماند. با توجه به این مسئله گیونت توانست ابزار رمزگشایی برای این باج‌افزار را با نام کلید WannaKey ارائه‌دهد. این ابزار اعداد اول را از حافظه‌ سیستم بازیابی کرده و با استفاده از آن کلیدهای رمزگشایی را تولید می‌کند. این ابزار صرفاً بر روی سیستم‌عامل ویندوز ایکس‌پی عمل‌می‌کند

این محقق در مورد این ابزار توضیح داد: «عملکرد این ابزار مبتنی‌بر جست‌وجو در فرآیند wcry.exe است. این همان فرآیندی است که کلیدهای خصوصی RSA را تولید می‌کند. اشکال اصلی که در این باج‌افزار وجود دارد این است که توابع CryptDestroyKey و CryptReleaseContext قبل از آزادسازی فضای حافظه، اعداد اول را حذف نمی‌کنند». 

بنابراین نتیجه‌ای که می‌توانگرفت این است که
• 
این ابزار تنها بر روی سیستم‌هایی عملیاتی است که پس از آلوده‌شدن به باج‌افزار، مجدداً راه‌اندازی نشده‌باشند
• 
حافظه‌ مربوط به فرآیند باج‌افزار آزاد نشده و به فرآیند دیگری تخصیص داده نشده ‌باشد.

از طرفی یک محقق امنیتی دیگر به نام بنجامین دل‌پی ابزاری با نام WanaKiwi را منتشر کرد که استفاده از آن بسیار راحت است. در این ابزار نیز از یافته‌های گیونت استفاده شده‌است. تمامی کاربرانی که تحت‌تأثیر این باج‌افزار قرار گرفته‌اند، می‌توانند این ابزار را از روی گیت‌هاب بارگیری و نصب کنند و برای اجرا نیز باید از خط فرمان ویندوز استفاده‌کنند

ابزار وانا‌کی‌وی بر روی سیستم‌عامل‌های ویندوز ایکس‌پی، ویندوز۷، ویندوز ویستا و کارگزار ویندوز۲۰۰۳و۲۰۰۸به‌خوبی کار می‌کند. هرچند به‌دلیل برخی محدودیت‌ها و وابستگی‌هایی که این ابزار رمزگشایی دارد، ممکن است برای تمامی کاربران به‌خوبی کار نکند، ولی به هرحال خبر امیدوارکننده‌ای برای کاربرانی است که تحت‌تأثیر این باج‌افزار قرار‌گرفته‌اند.