Dacă ați avut nenorocul să vă infectați cu WannCry și acum nu vă puteți accesa fișierele, avem o veste bună pentru voi: există deja posibilitatea de a le decripta gratuit și de a scăpa de infecție fără să fiți nevoie să plătiți niciun leu (dolar) atacatorilor. Datorită lui Adrien Guinet de la Quarkslab, care a descoperit cum să identifice cheile de criptare folosite de malware-ul ransomware WannaCry, avem un instrument cu care putem decripta fișierele de pe Windows XP, Windows 7, Windows Vista, Windows Server 2003 și 2008.
Însă el vine cu un mare DACĂ și anume: este absolut necesar ca sistemele afectate să nu fi fost repornite!
Apropo de asta, Kaspersky tocmai făcut un grafic în care vedem ce sisteme de operare au fost afectate: Windows 7 x64 are (oarecum normal, datorită cotei de piață mai mari) ponderea cea mai mare.
Schema de criptare folosită de WannaCry funcționează pe principiul combinației de chei publice/private, prin generarea unui set de chei care au la bază numere prime. Pentru a opri victima să decripteze fișierele, malware-ul WannaCry șterge de pe sistem cheile. Chestia faină este că malware-ul nu șterge de pe sistem și numerele prime folosite la generarea cheilor.
Pe baza acestei scăpări, Guinet a putut să construiască un instrument de decriptare denumit WannaKey, deja disponibil pe GitHub. Problema este că acesta merge doar pe Windows XP.
Însă, de la informațiile descoperite de Guinet a fost posibil să se creeze un al doilea instrument de decriptare, denumit WannKiwi ce merge și pe XP și pe Windows 7 – acesta caută cheile în procesul wcry.exe.
În condițiile date decriptarea funcționează doar dacă sistemul afectat nu a fost repornit sau dacă niciun alt proces nu a ocupat zona de memorie folosită pentru stocarea numerelor prime. Sunt mulți de dacă în această ecuație și asta poate să îi descurajeze pe mulți.
Pentru celelalte versiuni de Windows trebuie să folosiți WanaKiwi ce poate fi descărcat de pe Github direct pe sistemele afectate, doar că trebuie rulat din linie comandă. Din câte am înțeles merge pe Windows XP, Windows 7, Windows Vista, Windows Server 2003 și 2008. Detalii mai multe despre WannaKiwi și modul său de funcționare găsiți aici.
Așadar puteți scăpa de WannaCry dacă:
– nu ați repornit sistemul infectat
– descărcați și folosiți WannaKiwi
Sper să vă folosească detaliile de mai sus.
via THN
Ionuț permite-mi ca după 31 de ani în branșă să spun că mie personal îmi miroase a altceva: nu, nu a conspirație pentru că nu am crezut niciodată în așa ceva…
Părerea mea e că cineva sau ceva și-a încordat puțin mușchii. Motivația o vom afla mai devreme sau mai târziu și poate nu o vom ignora…
Da, e foarte posibil. Mai este si o alta varianta – media a luat-o razna si a raspuns la materialele ”incendiare” generate de companiile de securitate si au supra licitat pericolul.
Pentru ca in mod evident sunt trei elemente care ies in evidenta:
1. Lipsa patch-urilor pe sistemele de operare Microsoft – nu numai ca utilizatorii nu le-au pus ci si pentru ca abia acum o luna Microsoft a reparat problemele astea foarte vechi.
2. Necesitatea de a avea o solutie anti-malware diferita de cea standard data de Microsoft – e normal ca orice vendor din zona security sa foloseasca orice portita sa incerce sa isi justifice existenta.
2. Lipsa licentelor (platite) pentru solutii anti-malware. Multi utilizatori folosesc versiuni free, ceea ce e mai bine decat nimic, insa nu e ceea ce isi propune o companie de securitate.