WannaKey เครื่องมือถอดรหัส WannaCrypt เพื่อกู้ไฟล์บน Windows XP

เว็บ Github ประกาศว่ามีผู้มีค้บพบวิธีถอดรหัสไฟล์ที่โดนเข้ารหัสโดย WannaCrypt แล้ว
แต่สามารถแต่ใช้ได้เฉพาะกับ Windows XP ที่ยังไม่ Reboot เครื่องเท่านั้น

ซอฟต์แวร์นี้ช่วยให้สามารถกู้คืนหมายเลขสำคัญของคีย์ส่วนตัว RSA ที่ใช้โดย Wanacry

สิ่งที่ค้นพบในกระบวนการทำงานของ wcry.exe นั่นคือกระบวนการสร้างคีย์ส่วนตัวของ RSA
โดยต้นตอปัญหาหลัก คือ CryptDestroyKey  และ CryptReleaseContext
จะไม่ลบตัวเลขที่สำคัญออกจากหน่วยความจำ  ก่อนปล่อยหน่วยความจำที่เกี่ยวข้อง

นี่ไม่ใช่ความผิดพลาดจากผู้เขียน ransomware เพราะพวกเขาใช้ Windows Crypto API อย่างถูกต้อง
สำหรับสิ่งที่ทีมงานได้ทดสอบภายใต้ Windows 10 CryptReleaseContext จะล้างหน่วยความจำ (และการกู้คืนนี้จะไม่ทำงาน)
แต่มันสามารถทำงานได้ภายใต้ Windows XP เพราะ CryptReleaseContext ในรุ่นนี้ไม่ได้มีการล้างข้อมูล

นอกจากนี้ MSDN ระบุว่าสำหรับฟังก์ชันนี้:
“หลังจากเรียกฟังก์ชันนี้แล้ว CSP handle ที่ถูกปล่อยออกมา จะไม่ถูกต้องฟังก์ชันนี้จะไม่ทำลาย key containers หรือ key pairs” #:.
ดังนั้นดูเหมือนว่าไม่มีวิธีทำล้างหน่วยความจำ แบบข้ามแพลตฟอร์มภายใต้ Windows เวอร์ชั่นนี้

ถ้าคุณโชคดี (นั่นคือหน่วยความจำที่เกี่ยวข้องไม่ได้รับการทำงานอื่น และลบใหม่)
ตัวเลขที่สำคัญเหล่านี้อาจยังอยู่ในหน่วยความจำ นั่นคือสิ่งที่ซอฟต์แวร์นี้พยายามที่จะเข้าถึง

การนำไปใช้งาน

คุณสามารถใช้ binary ใน bin/folder   ขั้นแรกคุณต้องหา PID ของ wcry.exe โดยใช้ Task Manager
และค้นหาไฟล์ 00000000.pky

เมื่อคุณหาเจอแล้วแล้วให้เปิด cmd.exe:

> search_primes.exe PID path\to\00000000.pky

ถ้าพบว่ามีข้อมูลสำคัญที่ถูกต้องอยู่ใน memory ไฟล์ priv.key จะถูกสร้างขึ้นในไดเร็กทอรี
จากนั้นคุณสามารถดาวน์โหลด https://github.com/odzhan/wanafork/ แล้วนำไปใช้เพื่อถอดรหัสลับไฟล์ของคุณ!

ความเห็นจากทีมข่าวล้ำหน้าโชว์

1. อย่า Reboot เครื่องถ้าพบว่าโดนแล้ว .. ย้ำ
2. เข้าไปดู Code และ Program เวอร์ชั่นล่าสุดตามลิงค์
3. การ Run คำสั่งโดยละเอียดอ่านที่ Github อีกครั้งครับ

ที่มา : https://github.com/aguinet/wannakey