WannaCry шабуылынан кейін файлдардың шифрын ашу тәсілі табылды

Quarkslab француз компаниясының маманы Адриен Гинье (Adrien Guinet) WannaCry шифрлаушы жасаған шабуылдың нәтижесінде зақымдалған деректердің шифрын ашу тәсілін тапқанын хабарлайды.

Өкінішке орай, аталған тәсіл Windows XP операциялық жүйесі үшін ғана жұмыс істейді және барлық жағдайларда жұмыс істемейді, дегенмен бұл мүлдем ештеңе жоқ болғаннан жақсы. Гинье WannaKey деп атаған аспаптың бастапқы кодтарын GitHub-да жариялады. Шын мәнінде зерттеушінің әдістемесі ғажап және атағы әлі шыға қоймаған багты Windows XP пайдалануға негізделеді. Ол туралы атышулы күштеп алушы малваридің авторлары да білмеген көрінеді. Осымен, белгілі жағдайларда XP басқаруымен жұмыс істейтін машинаның жадысынан файлдарды «құтқару» үшін қажетті кілтті алуға болады.

Жұмыс істеген кезде шифрлаушы Windows Crypto API іске қосады да кілттердің жұбын түрлендіреді – жария, файлдарды шифрлау үшін пайдаланылатын және жеке, онымен ақы төлегеннен кейін файлдардың шифрын ашуға болады, деп түсіндіреді зерттеуші. Шабуыл жасалғандар уақытынан бұрын жеке кілтке қол жеткізіп, деректердің шифрын ашпауы үшін WannaCry авторлары кілттің өзін де шифрлайды, сонымен ол ақы төлегеннен кейін қолжетімді болады.

Кілт шифрланғаннан кейін оның шифрланбаған нұсқасы CryptReleaseContext стандартты функцияның көмегімен өшіріледі, бұл теориялық түрде оны зақымдалған машинаның жадысынан да жоюға тиіс.

Алайда, Гинье оның орындалмайтынын байқаған, тек қана кілтті көрсететін «маркер» ғана жойылады.

Жеке кілтті жадыдан алуға болады деп жазады маман. Гинье өзі бірқатар тест жүргізіп, зақымдалған Windows XP басқаруындағы бірнеше компьютердегі файлдардың шифрын сәтті ашты. Алайда, зерттеуші операциялардың ойдағыдай аяқталуы үшін бірқатар талаптар сақтау қажет деп жазады. Кілт тек қана энергияға тәуелді жадыда сақталатыны себепті кез келген үдеріс деректерді кілттен тыс кездейсоқ қайта жазып, жадының қайта бөліну мүмкіндігінен ғана қауіптенбей, компьютерді зақымдалғаннан кейін өшіруге және қайта іске қосуға болмайды.

Windows XP басқаруындағы қанша компьютерді WannaCry зақымдағаны және ДК-ны зақымдалғаннан кейін бір де қайта іске қоспаған және өшірмеген пайдаланушылардың пайызы белгісіз. Шифрлаушының шабуылдарынан әлемнің жүзден астам елдеріндегі жүзедеген мыңнан артық машина зақымдалғанын естеріңізге саламын. Дегенмен, Гинье өзінің әдістемесі тым болмаса кейбір пайдаланушыларға жарамды болатынына үміттенеді.

Басқа сарапшылар Гинье аспабының теориялық тұрғыдан жұмыс істеуге тиіс екенін растады. Осылайша, Джонс Хопкинс университетінің танымал криптографы және профессоры Мэтью Грин (Matthew Green) ағымдағы жағдайларда бұл көбінен лотереяға ұқсас болса да, тәсіл жұмыс істеуге тиіс, деп жазады. Тағы бір белгілі маман, F-Secure компаниясының қызметкері Микко Хайппонен (Mikko Hypponen) «кілттерді жою үшін кілттерді жоймайтын функцияны неге пайдалану керек?» деп мәселенің соңына түсуде, бірақ багты шифрланған файлдарды қалпына келтіру үшін пайдаланып көруге болатынымен келіседі.

Ақпарат көзі:xakep.ru