之前在世界讓人產生恐慌的「WanaCrypt0r 2.0」的「勒索病毒」,一個多禮拜後終於有人推出破解程式了!「WanaCrypt0r 2.0」日前透過網路綁架還在用 Windows XP、Windows 7,或者久久未開 Windows 10 電腦的人,該病毒利用美國國安局 (NSA) 外流的 Windows 漏洞攻擊,鎖死電腦,最恐怖的是這個病毒還會把電腦裡原有的文件、圖檔全部都加密,讓無法破解的人檔案永遠被封鎖。
根據法國公司Quarkslab裡的網路安全專家Adrien Guinet表示,他發現了一個可以不用支付$300美元 (~9000台幣) 就可以解鎖的方式!這是一個WannaCry用的解密鑰駛,可以用來破解Windows XP、Windows 7、Windows Vista、Widows Server 2003、跟2008系統被加密問題。首先他解釋這個WannaCry「勒索病毒」首先會創造一對解密鑰駛在受害者的電腦上,裡面用的是「質數」值來加密,而鑰駛分兩種「對外」跟「對內」來加密或是破解。為了不要讓受害者能拿到鑰駛,WannaCry會先把鑰駛從系統裡刪除,讓受害者只能從他們那邊付贖金才能拿到解鎖的鑰駛。
但這其中有個漏洞,Guinet發現:「WannaCry不會把加密用的質數從記憶體中刪除掉,除非相關的記憶體都被刪除了。」意思就是說他可以從這些質數再回推那把鑰駛是怎麼做的,長話短說就是他推出一款解密工具「WannaKey」(連結 – 下方有更好用的工具) 可以找回那兩個加密用的質數,之後就可以重新打造對內跟對外的鑰駛來解鎖,但…這只有在Windows XP上適用 (下面有另一個適合XP到Windows 7 都可以用的破解程式)。 他說這個程式可以在wcry.exe (WannaCry程式) 中搜尋這兩把加密鎖的鑰駛,但也只有在 CryptDestroyKey (刪除要駛) 跟 CryptReleaseContext (釋放文字) 兩個程式自我刪除所有相關資訊之前,因為那時候會保留這些鑰駛的質數。」
Guinet強調:「真的要有效的話,你中毒後絕對不可以重開機,也請注意要用這個解鎖程式的話會需要一點運氣。不是每次都能成功,這些綁架電腦的人沒有故意犯錯露出破綻,所以我們也只能靠運氣看能不能抓回這一點點的可能性。」這邊還有另外一個推薦的程式 「WanaKiwi」,這是由另一名網路安全專家Benjamin Deply製作。中毒的受害者會需要到Windows後台的 Command line 下載這個WanaKiwi工具 (下載連結)。「WanaKiwi」適用於Windows XP、Windows 7、 Windows Vista、Windows Server 2003跟2008。來看一下這段教學影片吧!
來源:TheHackerNews
希望大家的電腦都安全,記得第一時間中毒前不要同意安裝這個 (報導在這裡)!
(往下還有更多精彩文章!)