XP,沒重啟,“魔窟”可以“莫哭”

責(zé)任編輯:editor006

作者:nana

2017-05-20 21:16:19

摘自:安全牛

上周末WannaCry勒索軟件肆虐互聯(lián)網(wǎng),無(wú)數(shù)主機(jī)被感染,從醫(yī)療保健到交通運(yùn)輸,多種關(guān)鍵系統(tǒng)被鎖定,密碼學(xué)家們都在找尋破解加密困局的良藥。但圭奈特發(fā)現(xiàn),WannaCry加密私鑰之后,一個(gè)微軟設(shè)計(jì)的刪除函數(shù)還會(huì)到內(nèi)存中清除掉未加密版本的密鑰。

上周末WannaCry勒索軟件肆虐互聯(lián)網(wǎng),無(wú)數(shù)主機(jī)被感染,從醫(yī)療保健到交通運(yùn)輸,多種關(guān)鍵系統(tǒng)被鎖定,密碼學(xué)家們都在找尋破解加密困局的良藥。畢竟,找到WannaCry加密機(jī)制中的漏洞,就能解密所有這些被感染的系統(tǒng),不讓網(wǎng)絡(luò)罪犯的勒索陰謀得逞。

現(xiàn)在,一名法國(guó)研究員稱,至少發(fā)現(xiàn)了一個(gè)非常有限的補(bǔ)救措施。該修復(fù)方案看起來(lái)似乎仍然缺陷多多,遠(yuǎn)未達(dá)到WannaCry受害者們期望的靈丹妙藥的程度。但如果阿德里安·圭奈特是對(duì)的,他的工具就可以解鎖被感染的 Windows XP 機(jī)器——分析師認(rèn)為該老舊操作系統(tǒng)占了WannaCry受害范圍的一部分。

沒有萬(wàn)靈丹

上周五,圭奈特在開源代碼倉(cāng)庫(kù)GitHub上發(fā)布了“WannaKey”。這位QuarksLab安全公司的員工稱,該軟件能從 Windows XP 機(jī)器的內(nèi)存中提取私鑰痕跡,用于解密被WannaCry感染PC的文件。

圭奈特稱,在感染了WannaCry的測(cè)試XP機(jī)上,他已使用該解密工具成功了數(shù)次。但他警告道,由于這些痕跡存儲(chǔ)在易失存儲(chǔ)器中,只要該惡意軟件或任意其他進(jìn)程剛好重寫了解密密鑰存儲(chǔ)區(qū),或者電腦在被感染后重啟過(guò),他的招數(shù)就失效了。

如果你運(yùn)氣好,你可以訪問(wèn)內(nèi)存的某些部分,重新生成密鑰。或許密鑰依然存在,你可以檢索到密鑰來(lái)解密文件。但并不是每次都有效的。

圭奈特特別警告:

尚有可能恢復(fù)文件的任何 XP WannaCry 受害者,必須在運(yùn)行他的程序前讓電腦保持原樣。別重啟!

其他安全研究人員還沒有驗(yàn)證WannaKey的能力,而且至少有一名研究員——Comae Technologies 創(chuàng)始人馬特·舒徹,稱該程序在他最初的測(cè)試中沒能解密文件。但看過(guò)該工具代碼和圭奈特在GitHub和推特上備注的其他研究人員認(rèn)為,該工具似乎利用了WannaKey加密中的缺陷,最起碼在 Windows XP 上是這樣的。約翰·霍普金斯大學(xué)計(jì)算機(jī)科學(xué)教授馬修·格林說(shuō):“看起來(lái)像是合法的。”但他也警告道,對(duì)具體受害者是否有效也是個(gè)運(yùn)氣問(wèn)題,跟中彩票似的。

解密看門人

WannaKey的解密機(jī)制,利用了微軟某加密函數(shù)中的一個(gè)怪癖,而這個(gè)加密函數(shù)是用來(lái)從內(nèi)存中刪除密鑰的。這個(gè)怪癖似乎被WannaCry的作者給忽略掉了。WannaCry會(huì)在受害者機(jī)器上產(chǎn)生一對(duì)密鑰:一個(gè)“公”鑰用來(lái)加密文件,一個(gè)“私”鑰用來(lái)解密——如果受害者支付了贖金的話。(WannaCry的無(wú)良作者到底會(huì)不會(huì)為已支付贖金的受害者解密文件尚是個(gè)未知數(shù)。)為防止受害者得到私鑰并自行解密文件,WannaCry把該密鑰也給加密了,讓該密鑰只有在勒索軟件操作人員解密的時(shí)候才可以訪問(wèn)到。

但圭奈特發(fā)現(xiàn),WannaCry加密私鑰之后,一個(gè)微軟設(shè)計(jì)的刪除函數(shù)還會(huì)到內(nèi)存中清除掉未加密版本的密鑰。很明顯,勒索軟件作者并不清楚該函數(shù)在 Windows XP 系統(tǒng)中實(shí)際上刪不掉內(nèi)存中密鑰,只是留了個(gè)指向密鑰的句柄而已。芬蘭安全公司F-Secure研究人員米柯·希波能,同樣研究了圭奈特的代碼,他說(shuō):“為什么要用個(gè)實(shí)際上不能清除密鑰的密鑰銷毀函數(shù)呢?真的特別奇怪?;蛟S也是為什么之前沒人發(fā)現(xiàn)的原因吧。”

不知道有多少 Windows XP 機(jī)器中了WannaCry。爆發(fā)初期,微軟匆忙發(fā)布了一個(gè)補(bǔ)丁保護(hù)XP設(shè)備,思科研究人員稱,至少64位的 Windows XP 機(jī)器是受周五開始泛濫的WannaCry蠕蟲影響的。該勒索軟件的大肆傳播造成了新的恐懼,怕XP機(jī)器被這波感染潮淹沒,畢竟,2014年起,微軟就已經(jīng)不再支持該16歲高齡的操作系統(tǒng)了。XP雖老,其使用卻依然十分廣泛,甚至某些關(guān)鍵系統(tǒng),比如WannaCry幾大著名受害者之一的英國(guó)國(guó)民健康服務(wù),都還在用它。

無(wú)論被感染的XP機(jī)器有多少,鑒于其重啟和重寫限制,WannaKey都只對(duì)少部分的被感染XP有效。“周五到現(xiàn)在已經(jīng)幾天了,不太可能有太多受害者的機(jī)器沒被動(dòng)過(guò)。”

不過(guò),對(duì)WannaCry的受害者及其被鎖定的數(shù)據(jù)而言,有一絲希望總比沒希望好。而且諷刺的是,少數(shù)幸運(yùn)用戶的救世主,竟然是微軟加密軟件的怪異特性——微軟起初可是因讓XP漏洞多多而廣受指責(zé)。“Windows漏洞往往讓人憤怒,但這個(gè)漏洞卻可能幫助WannaCry受害者恢復(fù)他們的文件。”塞翁失馬焉知非福?

最新:360企業(yè)安全19日下午發(fā)布解密工具,增加了 Windows 7 版本,在未重啟的情況下,通過(guò)內(nèi)存還原私鑰。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)