※ [本文转录自 AntiVirus 看板 #1P7dxNTe ]
作者: evansliu (evansliu) 看板: AntiVirus
标题: [情报] 针对 Windows XP 系统的勒索病毒恢复软件
时间: Fri May 19 13:12:49 2017
针对 Windows XP 系统的勒索病毒恢复软件
2017-5-18 22:30:49
法国 Quarkslab 研究员 Adrien Guinet 发布了一款软件,表示 Windows XP 系统如果遭
到 WCry 勒索病毒的感染,那么用户可以自行解密资料,而不必支付 300 至 600 美元的
赎金。
Guinet 发布了一款软件。他表示,该软件帮他发现了实验室中被感染 Windows XP 电脑
所需的资料解密密钥。该软件尚未在 Windows XP 系统中得到大范围测试,而即使软件有
效,也仍然存在限制。在上周 WCry 病毒爆发的过程中,Windows XP 系统并不是受影响
的重灾区,因此这一恢复技术的价值有限。
他将这款软件命名为 Wannakey。他表示:“这款软件只在 Windows XP 下进行过测试,
并且已知只对 Windows XP 有效。如果希望使用这款软件,那么电脑在被感染之后不能进
行过重启。此外,你还需要一定的运气,软件可能不是对所有情况都有效。”
Comae Technologies 创始人、研究员 Matt Suiche 报告称,Guinet 的解密工具没有效
果。
WCry 勒索病毒也被称作 WannaCry,在感染电脑后会对电脑上的所有资料进行加密,而黑
客要求受害者支付 300 至 600 美元的赎金,从而获得恢复资料的密钥。该勒索软件使用
了 Windows 中集成的微软密码 API(应用程序接口)去处理多项功能,包括生成文件的
加密解密密钥。在创建并获得密钥后,在大部分版本的 Windows 中,API 会清除该密钥
。
不过,Windows XP 存在的限制会导致 API 无法清除密钥。因此,在电脑关机重启之前,
用于生成 WCry 密钥的主序列可能会一直驻留在内存中。WannaKey 能扫瞄 Windows XP
系统内存,提取其中的相关信息。
Guinet 表示:“如果你足够幸运(即相关的内存块尚未被重新分配或清除),这些主序
列可能仍驻留在内存里。”
他同时在 Twitter 上表示:“我完整地完成了解密过程。我可以确认,在这台电脑上,
密钥可以从 XP 中恢复。” 他在 Twitter 消息中提供了电脑屏幕截图。
Wannakey 的下载地址:
https://github.com/aguinet/wannakey
https://github.com/aguinet/wannakey/blob/master/bin/search_primes.exe
资讯来源:月光博客
http://www.williamlong.info/archives/4977.html