|
|
登入後,內容更豐富
您需要 登錄 才可以下載或查看,沒有賬號?註冊
×
WannaCry利用AES-128和RSA算法加密,這讓超級電腦解密都需時多年。有專家就利用Windows XP多年前的一個漏洞成功解密。這個舊版本Windows XP的漏洞,就是系統的隨機數生成器並不是「真隨機」。在生成隨機數後,系統不會將其立刻從RAM裡清除!故有一從事安全公司Quarkslab的研究人員Adrien Guinet,就在其Github上公佈了可以用於恢復WannaCry加密文件的工具WannaKey。
而要使用這個工具,也要滿足兩個條件:
1, Windows版本是XP SP2的早期版本或SP2以前的版本,因為之後的版本修復了隨機數生成器漏洞。
2, 你的電腦在中毒之後沒有重新啟動過,否則存留在內存裡的隨機數會在重啟時被刪除。
地址: 按我
如果你滿足了上述兩個條件,那可以在GitHub上下載到WannaKey來獲取密鑰,並於同一個作者那裡下載到用於解密文件的工具WanaFork。換句話說,小編看來要重裝回Windows SP1先得,咁中左勒索病毒,隨時都有得免費解密。
WannaCry 在加密過程中使用 Windows Crypto API 產生金鑰並進行加密,但此 API 中的 CryptReleaseContext 及 CryptDestroyKey 函數並未將產生金鑰時產生的質數從記憶體中刪除,因此給了解密程式可以取得解密的機會。
目前已經有專家 Benjamin Delpy 利用以上原理,製作出「WanaKiwi」的解密工具,只要執行 WanaKiwi 提供的執行檔,就可以將所有被 WannaCry 加密的檔案解密還原。已經確認可在 Windows XP、Windows 7、Windows 2003 完成解密工作,Windows Vista、2008 及 2008 R2 利用此原理同樣可完成 (但尚未確認)。
地址:按我
如果記憶體尚未被覆蓋,WanaKiwi 在產生金鑰後就會開始進行檔案解密的工作
|
|
在線雷達
發表於 2017-5-20 21:27:48
廣播
置頂
推舊帖
收嗲鳥
油顏色
發表於 2017-5-20 22:02:09
Windows XP 中左WannaCry, 原來都有得救。。。是也
