Спеціаліст французької компанії Quarkslab Адрієн Гинье (Adrien Guinet) повідомляє, що він знайшов спосіб розшифрувати дані, які постраждали в результаті атаки шифрувальника WannaCry. На жаль, даний метод працює тільки для операційної системи Windows XP і далеко не у всіх випадках, однак це вже краще, ніж нічого.
I got to finish the full decryption process, but I confirm that, in this case, the private key can recovered on an XP system #wannacry. pic.twitter.com/QiB3Q1NYpS
Після того як ключ був зашифрований, його незашифрованому версія стирається за допомогою стандартної функції CryptReleaseContext, що в теорії повинно видаляти його і з пам'яті зараженої машини. Однак Гинье зауважив, що цього не відбувається, видаляється лише «маркер», який вказує на ключ.
Спеціаліст пише, що витягти приватний ключ з пам'яті можливо. Сам Гинье провів ряд тестів і успішно розшифрував файли на декількох заражених комп'ютерах під управлінням Windows XP. Однак дослідник пише, що для вдалого результату операції необхідно дотримати ряд умов. Так як ключ зберігається тільки в енергозалежною пам'яті, побоюватися потрібно не тільки того, що будь-який процес може випадково перезаписати дані поверх ключа, а пам'ять перерозподілиться, але також не можна виключати і перезавантажувати комп'ютер після зараження.
«Якщо вам пощастить, ви зможете отримати доступ до цих областей пам'яті і відновити ключ. Можливо, він все ще буде там, і ви зможете використовувати його для розшифровки файлів. Але це спрацьовує не у всіх випадках », - пише дослідник.
Невідомо, як багато комп'ютерів під управлінням Windows XP було заражено WannaCry, і у якому відношенні користуються ні разу не перезавантажувати і не вимикав ПК після зараження. Нагадаю, що сумарно від атак шифрувальника постраждали сотні тисяч машин, більш ніж в ста країнах світу. Проте, Гинье сподівається, що його методика може стати в нагоді хоча б деяким користувачам.
Інші експерти вже підтвердили. що в теорії інструмент Гинье повинен працювати. Так, відомий криптограф і професор університету Джонса Хопкінса Метью Грін (Matthew Green), пише, що спосіб повинен працювати, хоча в поточних обставинах все це більше схоже на лотерею. Ще один відомий фахівець, співробітник компанії F-Secure, Мікко Хайппонен (Mikko Hypponen) задається питанням «навіщо використовувати для знищення ключів функцію, яка не знищує ключі?», Однак погоджується з тим, що баг можна спробувати використовувати для відновлення зашифрованих файлів.
Поділися новиною з друзями: