Hãy gọi cho chúng tôi để được tư vấn miễn phí: 0888 711 775 - 0974756775
  • 19
  • Tháng 05

WannaCry - Giải mã tệp bằng WanaKiwi + Các bản trình diễn

Làm việc Windows XP & 7 trình diễn. #FENCHMAFIA

KHÔNG khởi động lại máy máy tính bị nhiễm của bạn và TRY wanakiwicàng sớm càng tốt * !

* ASAP vì số nguyên tố có thể được viết lại trong bộ nhớ sau một thời gian.

Đừng khóc.

UPDATE : Trên thực tế, wanakiwi từ Benjamin Delpy (@gentilkiwi) hoạt động cho cả Windows XP (đã xác nhận) và Windows 7 (đã xác nhận) . Điều này có nghĩa là nó hoạt động cho mọi phiên bản của Windows từ XP lên 7, bao gồm Windows 2003 (đã xác nhận) , Vista và 2008 và 2008 R2. Xem các bản trình diễn ở dưới GIF.

Wannakey

Hôm qua, Adrien Guinet xuất bản một công cụ được gọi là wannakey để thực hiện phục hồi chìa khóa RSA trên Windows XP. Công cụ của ông là rất khéo léo vì nó không tìm chìa khóa thực tế nhưng số nguyên tố trong bộ nhớ để tính lại chính chính nó. Trong ngắn hạn, kỹ thuật của ông là hoàn toàn xấu ass và siêu thông minh.

Thật không may, điều này chỉ hoạt động trên Windows XP vì những giá trị này được làm sạch trong CryptReleaseContextphiên bản sau của Windows.

UPDATE : Hãy quên đi câu nói trên, điều này đã được thử nghiệm thành công với wanakiwi lên Windows 7.

Như Adrien đã nêu trong README của mình, đây không phải là một sai lầm của tác giả nhưng là một vấn đề với Windows XP - bản thân tác giả chắc chắn sẽ phát hành khoá người sử dụng ngay khi chúng được thực hiện với nó. Và khóa đó không bao giờ chạm vào đĩa, trừ khi được mã hóa với khóa công khai của kẻ tấn công.

wannakiwi




Thế hệ chìa khóa trong bộ nhớ (1), ngay sau đó là các thói quen thực tế phá hủy các phím (2)

Mặc dù, một số vấn đề về định dạng tệp đã xảy ra với khóa xuất mà không tương thích với các công cụ khác như wanadecrypt từ Benjamin Delpy(@gentilkiwi) trên Windows XP vì các API Windows Crypt trên Windows XP đang mong đợi một đầu vào rất nghiêm ngặt Làm việc không giống như Windows 10 . Đó là lý do tại sao các bài kiểm tra ban đầu của tôi thất bại với phím ra bằng Wannakey.

Hơn nữa, định dạng tập tin đầu ra cũng không tương thích với WannaCry giá rẻ. Không giống như Wanakiwi từ gentilkiwi như chúng ta có thể thấy trong bản demo dưới đây.

Wanakiwi

  1. ownload wanakiwi ở đây
  2. Wanakiwi.exe sẽ tự động tìm tệp 00000000.pky - vì vậy đừng lo lắng về bước đó nữa.
  3. Các ngón tay chéo mà số nguyên tố của bạn chưa bị ghi đè lên từ không gian địa chỉ của tiến trình.

Sau khi làm một số bài kiểm tra và thảo luận với Benjamin, anh ta đã quyết định viết lại phiên bản của riêng mình sử dụng OpenSSL và dựa trên phương pháp của Adrien để lấy ra chìa khóa để trực tiếp sửa các vấn đề định dạng tệp tin và xây dựng một phiên bản 100% tương thích với Windows OS từ Windows XP sang Windows 7. Công việc tuyệt vời! (Xem dưới đây để làm việc toàn thời gian!)

Wanakiwi cũng tái tạo các tập tin .dky mong đợi từ các ransomware bởi những kẻ tấn công, mà làm cho nó tương thích với bản thân ransomware. Điều này cũng ngăn cản các WannaCry để mã hóa các tập tin hơn nữa.

wannakiwi

Cái gì tiếp theo ?

Như đã giải thích ở trên, phương pháp này dựa vào việc tìm số nguyên tố trong bộ nhớ nếu bộ nhớ chưa được sử dụng lại - điều này có nghĩa là sau một khoảng thời gian nhất định, bộ nhớ có thể được sử dụng lại và những số nguyên tố này có thể bị xóa. Ngoài ra, điều này có nghĩa là máy bị nhiễm không nên đã được khởi động lại.

Ngoài ra, công cụ này cho đến nay chỉ hoạt động trên Windows XP do một lỗ hổng hiện nay với việc thực CryptReleaseContexthiện. Đây là một bước tiến lớn.

UPDATE : Hãy quên đi câu nói trên! Điều này hoạt động từ Windows XP sang Windows 7, và như bạn có thể thấy trên các ảnh chụp màn hình ở trên, nó đã được thử nghiệm!

Hôm nay ( ngày 19 tháng 5 ) đánh dấu ngày bị nhiễm thứ 7 ( bắt đầu vào ngày 12 ) - có nghĩa là nhiều người dùng có thể sẽ mất tập tin của họ mãi mãi kể từ ngày hôm nay như đã nêu trong cửa sổ lây nhiễm ban đầu.

Đồng hồ hiện đang được chọn cho nhiều người dùng trên toàn thế giới.

Chúng tôi nhận thấy một đợt tăng đột biến quan trọng và bất thường trong chương trình diệt trừ của chúng tôi từ Malaysia vào ban đêm ( 3 giờ sáng đến 5 giờ sáng giờ GST ) khiến gần một nửa trong tổng số 10K máy chúng tôi đã ngăn ngừa được sự lây nhiễm Trong 24 giờ qua.
Soure here https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d

Tin liên quan

TIN NỔI BẬT