مرهمی بر درد یک هفتهای! رمزگشای باجافزار WannaCry
خلاصه: باجافزار WannaCry در طول هفته گذشته تعداد بسیار زیادی دستگاه ویندوزی را آلوده کرده و فایلهای آنها را رمز نمود. این باجافزار بیشترین قربانی را در میان باجافزارها به نام خود ثبت کرد و با بیش از ۳۰۰.000 قربانی بزرگترین حمله باجافزاری تاریخ نام گرفت. خوشبختانه پس از گذشت یک هفته ابزارهایی منتشر شده است که میتوانند به صورت رایگان فایلهای رمز شده را رمزگشایی کنند. البته این ابزارها روی همه نسخههای ویندوز کار نمیکنند ولی تا حد خوبی جواب دادهاند.
اگر دستگاه شما به باجافزار WannaCry آلوده شده است شاید شما این شانس را داشته باشید که بدون پرداخت باج درخواستی باجافزار فایلهای خود را رمزگشایی کنید. همانطور که در خبرهای حوزه امنیت هفته پیش بسیار به این باجافزار اشاره شد، این باجافزار بیش از ۳۰۰.000 دستگاه را در سراسر دنیا آلوده نموده است. کشور ما نیز تحت تاثیر این باجافزار قرار داشته و سیستمهای زیادی درون کشور به این باجافزار آلوده شدهاند.
یک محقق امنیتی به راهکاری دست یافته است که امکان برگشت اطلاعات رمز شده توسط WannaCry را میدهد. این راهکار تاکنون روی ویندوزهای XP، ویستا، 7 و ویندوزسرور نسخه 2003 و 2008 با موفقیت توانسته فایلهای رمز شده را رمزگشایی کند.
تاکنون دو ابزار رمزگشایی برای این باجافزار ارائه شده که هر دو از یک روش برای رمزگشایی بهره میبرند. در واقع یک محقق امنیتی فرانسوی راهی را برای رمزگشایی یافته و ابزار WannaKey را برای رمزگشایی عرضه نموده است. پس از آن یک محقق امنیتی دیگر بر مبنای یافتههای رمزگشای اولیه، رمزگشایی با نام WannaKiwi را عرضه نموده است.
باجافزار WannaCry از رمزنگاری غیرمتقارن برای رمز کردن استفاده میکند. در این رمزنگاری دو کلید عمومی و خصوصی وجود دارد که رمزنگاری با کلید عمومی انجام شده و برای رمزگشایی نیاز به کلید خصوصی است و این کلید است که باجافزار برای در اختیار قرار دادن آن درخواست باج میکند.
WannaCry برای جلوگیری از دسترسی کاربر به کلید خصوصی و استفاده از آن برای رمزگشایی، آن را از روی سیستم قربانی پاک میکند و بدون پرداخت باج امکان دسترسی به کلید خصوصی برای رمزگشایی وجود ندارد.
اما در این میان هکرها یک مورد را فراموش کردهاند! با اینکه کلیدهای عمومی و خصوصی از روی سیستم قربانی پاک میشوند، ولی هنوز اعداد اولی که برای تولید کلید مورد استفاده قرار گرفتهاند روز حافظه وجود دارند. بر همین مبنا ابزار رمزگشایی که برای این باجافزار ارائه شده تلاش میکند با استفاده از این اعداد اول کلیدهای عمومی و خصوصی را بازتولید کند و با استفاده از آنها به رمزگشایی فایلها بپردازد.
البته نکته مهم در استفاده از این رمزگشا این است که کامپیوتر قربانی نباید پس از آلودگی ریستارت شود یا قسمتی از حافظه که این کلیدها روی آن ذخیره شدهاند پاک شود. در واقع این ضعف در باجافزار از طرف هکرها نبوده و آنها از ابزار رمزنگار ویندوز به خوبی استفاده نمودهاند و این مساله در این ابزار وجود داشته که امکان بازتولید کلیدها را فراهم میکند.
خبر خوب بعدی ارائه رمزگشای دیگری با نام WannaKiwi است که میزان موفقیت بیشتری در رمزگشایی فایلها داشته است. این رمزگشا بر مبنای رمزگشای اولیه ساخته شده و توانسته پردازش فایلهای رمز شده را کاهش دهد. این رمزگشا روی ویندوزهای XP، 7، ویستا و سرور 2008 و 2013 موفق بوده است.
با اینکه ابزار رمزگشایی برای این باجافزار روی تعدادی از نسخههای ویندوز ارائه شده و یک هفته از وجود این باجافزار میگذرد همچنان دستگاههایی وجود دارند که به این باجافزار آلوده میشوند و تعداد دستگاههای آلوده به این باجافزار در حال افزایش است و لازم است کاربران نکات امنیتی برای پیشگیری از آلودگی به باجافزار را جدی بگیرند. در صورت آلوده شدن قبل از ریستارت کردن کامپیوتر خود حتما ابزارهای WannaKey و WAnnaKiwi را که از گیتهاب قابل دانلود هستند امتحان کنید تا شاید بتوانید فایلهای خود را بازگردانید.