info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

مرهمی بر درد یک هفته‌ای! رمزگشای باج‌افزار WannaCry

خلاصه: باج‌افزار WannaCry در طول هفته گذشته تعداد بسیار زیادی دستگاه ویندوزی را آلوده کرده و فایل‌های آن‌ها را رمز نمود. این باج‌افزار بیشترین قربانی را در میان باج‌افزار‌ها به نام خود ثبت کرد و با بیش از ۳۰۰.۰۰۰  قربانی بزرگ‌ترین حمله باج‌افزاری تاریخ نام گرفت. خوشبختانه پس از گذشت یک هفته ابزار‌هایی منتشر شده است که می‌توانند به صورت رایگان فایل‌های رمز شده را رمزگشایی کنند. البته این ابزار‌ها روی همه نسخه‌های ویندوز کار نمی‌کنند ولی تا حد خوبی جواب داده‌اند.

اگر دستگاه شما به باج‌افزار WannaCry آلوده شده است شاید شما این شانس را داشته باشید که بدون پرداخت باج درخواستی باج‌افزار فایل‌های خود را رمزگشایی کنید. همانطور که در خبرهای حوزه امنیت هفته پیش بسیار به این باج‌افزار اشاره شد، این باج‌افزار بیش از ۳۰۰.۰۰۰ دستگاه را در سراسر دنیا آلوده نموده است. کشور ما نیز تحت تاثیر این باج‌افزار قرار داشته و سیستم‌های زیادی درون کشور به این باج‌افزار آلوده شده‌اند.

یک محقق امنیتی به راهکاری دست یافته است که امکان برگشت اطلاعات رمز شده توسط WannaCry را می‌دهد. این راهکار تاکنون روی ویندوز‌های XP، ویستا، ۷ و ویندوز‌سرور نسخه ۲۰۰۳ و ۲۰۰۸ با موفقیت توانسته فایل‌های رمز شده را رمزگشایی کند.

تاکنون دو ابزار رمزگشایی برای این باج‌افزار ارائه شده که هر دو از یک روش برای رمزگشایی بهره می‌برند. در واقع یک محقق امنیتی فرانسوی راهی را برای رمزگشایی یافته و ابزار WannaKey را برای رمزگشایی عرضه نموده است. پس از آن یک محقق امنیتی دیگر بر مبنای یافته‌های رمزگشای اولیه، رمزگشایی با نام WannaKiwi را عرضه نموده است.

باج‌افزار WannaCry از رمزنگاری غیر‌متقارن برای رمز کردن استفاده می‌کند. در این رمزنگاری دو کلید عمومی و خصوصی وجود دارد که رمزنگاری با کلید عمومی انجام شده و برای رمزگشایی نیاز به کلید خصوصی است و این کلید است که باج‌افزار برای در اختیار قرار دادن آن درخواست باج می‌کند.

WannaCry برای جلوگیری از دسترسی کاربر به کلید خصوصی و استفاده از آن برای رمزگشایی، آن را از روی سیستم قربانی پاک می‌کند و بدون پرداخت باج امکان دسترسی به کلید خصوصی برای رمزگشایی وجود ندارد.

اما در این میان هکرها یک مورد را فراموش کرده‌اند! با اینکه کلید‌های عمومی و خصوصی از روی سیستم قربانی پاک می‌شوند، ولی هنوز اعداد اولی که برای تولید کلید مورد استفاده قرار گرفته‌اند روز حافظه وجود دارند. بر همین مبنا ابزار رمزگشایی که برای این باج‌افزار ارائه شده تلاش می‌کند با استفاده از این اعداد اول کلید‌‌های عمومی و خصوصی را بازتولید کند و با استفاده از آن‌ها به رمزگشایی فایل‌ها بپردازد.

البته نکته مهم در استفاده از این رمزگشا این است که کامپیوتر قربانی نباید پس از آلودگی ریستارت شود یا قسمتی از حافظه که این کلید‌ها روی آن ذخیره شده‌اند پاک شود. در واقع این ضعف در باج‌افزار از طرف هکرها نبوده و آن‌ها از ابزار رمزنگار ویندوز به خوبی استفاده نموده‌اند و این مساله در این ابزار وجود داشته که امکان بازتولید کلید‌ها را فراهم می‌کند.

خبر خوب بعدی ارائه رمزگشای دیگری با نام WannaKiwi است که میزان موفقیت بیشتری در رمزگشایی فایل‌ها داشته است. این رمزگشا بر مبنای رمزگشای اولیه ساخته شده و توانسته پردازش فایل‌های رمز شده را کاهش دهد. این رمزگشا روی ویندوز‌های XP، 7، ویستا و سرور ۲۰۰۸ و ۲۰۱۳ موفق بوده است.

با اینکه ابزار رمزگشایی برای این باج‌افزار روی تعدادی از نسخه‌های ویندوز ارائه شده و یک هفته از وجود این باج‌افزار می‌گذرد همچنان دستگاه‌هایی وجود دارند که به این باج‌افزار آلوده می‌شوند و تعداد دستگاه‌های آلوده به این باج‌افزار در حال افزایش است و لازم است کاربران نکات امنیتی برای پیشگیری از آلودگی به باج‌افزار را جدی بگیرند. در صورت آلوده شدن قبل از ریستارت کردن کامپیوتر خود حتما ابزار‌های WannaKey و WAnnaKiwi را که از گیت‌هاب قابل دانلود هستند امتحان کنید تا شاید بتوانید فایل‌های خود را بازگردانید. 

تحت نظارت وف ایرانی