Hlavní navigace

WannaCry částečně poražen, nový nástroj z paměti vytáhne klíč

Sdílet

Roman Bořánek 19. 5. 2017

Francouzští výzkumníci zjistili, jak v některých případech rozšifrovat data zašifrovaná ransomwarem WannaCry. Přišli na to, že malware po sobě pořádně neuklízí v paměti, ze které je možné vytáhnout soukromý klíč použitý pro zašifrování. Samozřejmě za té podmínky, že paměť nebyla vyčištěna kvůli jinému účelu a počítač např. nebyl restartován.

Nástroj wanakiwi včetně zdrojových kódů je k dispozici na GitHubu. Přestože většina dříve nakažených počítačů už nepomůže, může alespoň zpomalit šíření WannaCry. Důležité je, aby uživatelé nově nakažených počítačů nepanikařili a nástroj promptně stáhli a spustili. V takovém případě je velká pravděpodobnost, že se šifrovací klíč podaří zachytit.

Ransomware WannaCry v posledních dnech zaplavil internet a zašifroval data na několika stovkách tisíců počítačů. Za dešifrování dat tvůrce malware požadoval výkupné ve výši 300 dolarů, placené v bitcoinech. Později částku navýšil na dvojnásobek.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 5. 2017 22:26

    Honza (neregistrovaný) 91.219.246.---

    Píše se to i v odkazovaném článku, nicméně tam také stojí, že se nejedná o vytažení toho klíče z paměti, který ten virus ve skutečnosti opravdu smaže, ale o přečtení těch prvočísel, kterými byl ten klíč generován. V tom to možná bude. Pro neznalého toho, jako RSA funguje, to může být matoucí.

  • 20. 5. 2017 1:05

    Hynek (neregistrovaný) ---.hotel-ttc.cz

    Právě že v původním článku to ještě bylo správně a v českém článku už ne. Soukromým klíčem se nešifruje v případě snahy něco utajit, ale v případě veřejně ověřitelného elektronického podpisu. V původním článku jsou zmíněny dvě metody dvou autorů, jak s nesmazanými prvočísly v uvolněné paměti, tak s nesmazaným soukromým klíčem. Tím se jistě nešifrovalo a jen se někam se poslal na začátku.

    Chyba mě neuráží vzhledem ke zjednodušením, že ani veřejným klíčem se jistě nešifrovalo přímo všechno ani ne jen jeden klíč k proudové šifře pro všechny disky, ale více obměňovaných symetrických klíčů k menším částem, aby pomocí dat z paměti procesu nešlo mnoho zachránit.

  • 20. 5. 2017 12:44

    . (neregistrovaný) ---.cust.selfnet.cz

    Ty vole, Bořánek napsal soukromý klíč k zašifrování, protože je trubka a ty tady vyplodíš takovou srandu. Hlavně, že tě "chyba neuráží". Ti lisknu až tě potkam...