Tool giải mã Ransomware WannaCry: chỉ làm được trong phòng thí nghiệm
Như chúng ta đã biết, gần đây ransomware WannaCry đang là cơn ác mộng các hệ thống máy tính trên toàn thế giới. Mỗi máy tính muốn giải mã dữ liệu phải trả từ 300[imath]đến 600[/imath]. Không có công cụ nào có thể giải mã, nạn nhân phải trả tiền mới có thể khôi phục file.
Tuy nhiên mới đây, Adrien Guinet công bố công cụ có thể giải mã được dữ liệu bị mã hóa bởi WannaCry. Công cụ có thể tìm được khóa private RSA.
Công cụ này phát hiện ra một thiếu sót của hàm CryptDestroyKey và CryptReleaseContext trên WinXP. Hai hàm này thực hiện nhiệm vụ giải phóng bộ nhớ sau khi tạo key RSA, nhưng trên WinXP việc dọp dẹp không triệt để. Dẫn đến vẫn tồn tại dữ liệu key RSA trên memory.
Tôi có làm video thử nghiệm với ba kịch bản để thử nghiệm công cụ giải mã
Kịch bản thứ nhất, chạy mẫu WannaCry trên win xp và không có tiến trình nào chạy cùng (để vùng memory chứa RSA sau khi giải phóng có khả năng bị tiến trình khác dùng là thấp nhất). Quá trình mã hóa xong tôi chạy công cụ giải mã ngay lập tức. Thì quá trình giải mã thành công. Các bạn có thể xem chi tiết video dưới đây
Kịch bản thứ hai, chạy Wanna cùng với một vài tiến trình đang chạy trên hệ thống. Khi Wanna chạy xong, chờ khoảng 5-10 phút tôi mới bắt đầu chạy công cụ giải mã. Kết quả không thể giải mã file.
Kịch bản thứ ba, WannaCry mã hóa xong, khởi động lại mất. Kết quả là không thể giải mã file.
Như vậy, việc giải mã này hoạt động được phải phụ thuộc vào hai điều kiện.
Điều kiện thứ nhất, máy tính của bạn không được khởi động lại từ khi bị nhiễm Wanna
Điều kiện thứ hai, cần đến sự may mắn của bạn, bộ nhớ chứa RSA không có tiến trình nào sử dụng.
Trong thực tế, khi các máy bị nhiễm WannaCry thỏa mãn được hai điều kiện trên là không thể. Vì vậy việc giải mã WannaCry trên máy tính của người dùng bình thường vẫn là "bất khả thi".
Cần áp dụng các phương pháp phòng ngừa để tránh các thiệt hại đáng tiếc có thể xảy ra: Cập nhật bản vá mới nhất của windows, thường xuyên backup dữ liệu lên các công cụ lưu trữ online, không nên click vào các đường link lạ trên internet, chạy các file tải từ internet trong môi trường SafeRun của các antivirus.
Tuy nhiên mới đây, Adrien Guinet công bố công cụ có thể giải mã được dữ liệu bị mã hóa bởi WannaCry. Công cụ có thể tìm được khóa private RSA.
Công cụ này phát hiện ra một thiếu sót của hàm CryptDestroyKey và CryptReleaseContext trên WinXP. Hai hàm này thực hiện nhiệm vụ giải phóng bộ nhớ sau khi tạo key RSA, nhưng trên WinXP việc dọp dẹp không triệt để. Dẫn đến vẫn tồn tại dữ liệu key RSA trên memory.
Tôi có làm video thử nghiệm với ba kịch bản để thử nghiệm công cụ giải mã
Kịch bản thứ nhất, chạy mẫu WannaCry trên win xp và không có tiến trình nào chạy cùng (để vùng memory chứa RSA sau khi giải phóng có khả năng bị tiến trình khác dùng là thấp nhất). Quá trình mã hóa xong tôi chạy công cụ giải mã ngay lập tức. Thì quá trình giải mã thành công. Các bạn có thể xem chi tiết video dưới đây
Kịch bản thứ ba, WannaCry mã hóa xong, khởi động lại mất. Kết quả là không thể giải mã file.
Như vậy, việc giải mã này hoạt động được phải phụ thuộc vào hai điều kiện.
Điều kiện thứ nhất, máy tính của bạn không được khởi động lại từ khi bị nhiễm Wanna
Điều kiện thứ hai, cần đến sự may mắn của bạn, bộ nhớ chứa RSA không có tiến trình nào sử dụng.
Trong thực tế, khi các máy bị nhiễm WannaCry thỏa mãn được hai điều kiện trên là không thể. Vì vậy việc giải mã WannaCry trên máy tính của người dùng bình thường vẫn là "bất khả thi".
Cần áp dụng các phương pháp phòng ngừa để tránh các thiệt hại đáng tiếc có thể xảy ra: Cập nhật bản vá mới nhất của windows, thường xuyên backup dữ liệu lên các công cụ lưu trữ online, không nên click vào các đường link lạ trên internet, chạy các file tải từ internet trong môi trường SafeRun của các antivirus.
Chỉnh sửa lần cuối bởi người điều hành:
