Tool giải mã Ransomware WannaCry: chỉ làm được trong phòng thí nghiệm

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Tool giải mã Ransomware WannaCry: chỉ làm được trong phòng thí nghiệm
Như chúng ta đã biết, gần đây ransomware WannaCry đang là cơn ác mộng các hệ thống máy tính trên toàn thế giới. Mỗi máy tính muốn giải mã dữ liệu phải trả từ 300[imath]đến 600[/imath]. Không có công cụ nào có thể giải mã, nạn nhân phải trả tiền mới có thể khôi phục file.

1700041769229.png

Tuy nhiên mới đây, Adrien Guinet công bố công cụ có thể giải mã được dữ liệu bị mã hóa bởi WannaCry. Công cụ có thể tìm được khóa private RSA.

Công cụ này phát hiện ra một thiếu sót của hàm CryptDestroyKey và CryptReleaseContext trên WinXP. Hai hàm này thực hiện nhiệm vụ giải phóng bộ nhớ sau khi tạo key RSA, nhưng trên WinXP việc dọp dẹp không triệt để. Dẫn đến vẫn tồn tại dữ liệu key RSA trên memory.

Tôi có làm video thử nghiệm với ba kịch bản để thử nghiệm công cụ giải mã

Kịch bản thứ nhất, chạy mẫu WannaCry trên win xp và không có tiến trình nào chạy cùng (để vùng memory chứa RSA sau khi giải phóng có khả năng bị tiến trình khác dùng là thấp nhất). Quá trình mã hóa xong tôi chạy công cụ giải mã ngay lập tức. Thì quá trình giải mã thành công. Các bạn có thể xem chi tiết video dưới đây

Kịch bản thứ hai, chạy Wanna cùng với một vài tiến trình đang chạy trên hệ thống. Khi Wanna chạy xong, chờ khoảng 5-10 phút tôi mới bắt đầu chạy công cụ giải mã. Kết quả không thể giải mã file.


Kịch bản thứ ba, WannaCry mã hóa xong, khởi động lại mất. Kết quả là không thể giải mã file.

Như vậy, việc giải mã này hoạt động được phải phụ thuộc vào hai điều kiện.

Điều kiện thứ nhất, máy tính của bạn không được khởi động lại từ khi bị nhiễm Wanna

Điều kiện thứ hai, cần đến sự may mắn của bạn, bộ nhớ chứa RSA không có tiến trình nào sử dụng.

Trong thực tế, khi các máy bị nhiễm WannaCry thỏa mãn được hai điều kiện trên là không thể. Vì vậy việc giải mã WannaCry trên máy tính của người dùng bình thường vẫn là "bất khả thi".

Cần áp dụng các phương pháp phòng ngừa để tránh các thiệt hại đáng tiếc có thể xảy ra: Cập nhật bản vá mới nhất của windows, thường xuyên backup dữ liệu lên các công cụ lưu trữ online, không nên click vào các đường link lạ trên internet, chạy các file tải từ internet trong môi trường SafeRun của các antivirus.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: maldet and BBZ10
Không biết mấy máy win 7,8 bật BitLocker (vd cho partition D, chưa nhập pass BitLocker) nếu dính em "Muốn khóc" này thì có bị mã hóa partition D đó không các bạn nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Không nhé bạn. Nếu bạn chưa mount ổ thì không sao
Không biết mấy máy win 7,8 bật BitLocker (vd cho partition D, chưa nhập pass BitLocker) nếu dính em "Muốn khóc" này thì có bị mã hóa partition D đó không các bạn nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: BBZ10
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: sunny
Comment
Em nhớ 2 Điều kiện anh vừa nêu tác giả đã nói rõ trước khi đưa ra tools giải mã rồi mà?.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: BBZ10
Comment
Như chúng ta đã biết, gần đây ransomware WannaCry đang là cơn ác mộng các hệ thống máy tính trên toàn thế giới. Mỗi máy tính muốn giải mã dữ liệu phải trả từ 300$ đến 600$. Không có công cụ nào có thể giải mã, nạn nhân phải trả tiền mới có thể khôi phục file.

Tuy nhiên mới đây, Adrien Guinet công bố công cụ có thể giải mã được dữ liệu bị mã hóa bởi WannaCry. Công cụ có thể tìm được khóa private RSA.

Công cụ này phát hiện ra một thiếu sót của hàm CryptDestroyKey và CryptReleaseContext trên WinXP. Hai hàm này thực hiện nhiệm vụ giải phóng bộ nhớ sau khi tạo key RSA, nhưng trên WinXP việc dọp dẹp không triệt để. Dẫn đến vẫn tồn tại dữ liệu key RSA trên memory.

Tôi có làm video thử nghiệm với ba kịch bản để thử nghiệm công cụ giải mã

Kịch bản thứ nhất, chạy mẫu WannaCry trên win xp và không có tiến trình nào chạy cùng (để vùng memory chứa RSA sau khi giải phóng có khả năng bị tiến trình khác dùng là thấp nhất). Quá trình mã hóa xong tôi chạy công cụ giải mã ngay lập tức. Thì quá trình giải mã thành công. Các bạn có thể xem chi tiết video dưới đây
Kịch bản thứ hai, chạy Wanna cùng với một vài tiến trình đang chạy trên hệ thống. Khi Wanna chạy xong, chờ khoảng 5-10 phút tôi mới bắt đầu chạy công cụ giải mã. Kết quả không thể giải mã file.
Kịch bản thứ ba, WannaCry mã hóa xong, khởi động lại mất. Kết quả là không thể giải mã file.

Như vậy, việc giải mã này hoạt động được phải phụ thuộc vào hai điều kiện.

Điều kiện thứ nhất, máy tính của bạn không được khởi động lại từ khi bị nhiễm Wanna

Điều kiện thứ hai, cần đến sự may mắn của bạn, bộ nhớ chứa RSA không có tiến trình nào sử dụng.

Trong thực tế, khi các máy bị nhiễm WannaCry thỏa mãn được hai điều kiện trên là không thể. Vì vậy việc giải mã WannaCry trên máy tính của người dùng bình thường vẫn là "bất khả thi".

Cần áp dụng các phương pháp phòng ngừa để tránh các thiệt hại đáng tiếc có thể xảy ra: Cập nhật bản vá mới nhất của windows, thường xuyên backup dữ liệu lên các công cụ lưu trữ online, không nên click vào các đường link lạ trên internet, chạy các file tải từ internet trong môi trường SafeRun của các antivirus.
Theo em được biết có một công cụ mang tên Wanna Key , giải mã dữ liệu bị mã hóa nhưng chỉ trên Windows XP
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Slender Man
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Wanna Key in Windows Xp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên