باج افزار واناکرای رمزگشایی شد


واناکرای، باج افزار مخربی که هزاران رایانه را در سراسر دنیا قربانی خود کرده بود، با تلاش محققین رمزگشایی شد. 

بر اساس برآوردهایی که تاکنون صورت گرفته است، بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان موردحمله‌ی باج افزار واناکرای (WannaCry Ransomware) واقع‌ شده‌اند که از جمله قربانیان این حمله‌ی سایبری می‌توان به مراکز مهمی همچون سازمان ملی خدمات بهداشت انگلیس و وزارت کشور روسیه اشاره کرد. پس از خسارات گسترده‌ای که این باج افزار در پی داشت، اکنون امیدها برای حل این بحران بیشتر شده است.

 Wannacry attack

میزان گستردگی حملات باج افزار Wannacry

روز جمعه ۱۹ می، ابزاری منتشر شده است که به گفته‌ی محققین، می‌تواند بسیاری از رایانه‌های آلوده به این باج افزار را بدون پرداخت مبلغ باج رمزگشایی کند. این برنامه قادر خواهد بود اطلاعات رایانه‌های آلوده به این باج افزار که از سیستم‌عامل‌های ویندوز XP ،۷ و ۲۰۰۳ استفاده می‌کنند، بازیابی کند. همچنین به گفته‌ی یکی از محققان که در ساخت این برنامه مشارکت داشته است، این امکان وجود دارد که ابزار منتشرشده بتواند روی دیگر نسخه‌های ویندوز همچون ویندوز سرور ۲۰۰۸، R2 ۲۰۰۸ و ویستا نیز عملکرد درستی داشته باشد. این برنامه، موسوم به WannaKiwi، بر پایه‌ی ابزاری که پیش‌ازاین و با نام واناکی منتشرشده بود، کلید رمز را پیدا می‌کند. WannaKey، در روز ۱۸ می به‌منظور استخراج اطلاعات لازم برای ساخت کلید رمزنگاری در سیستم‌عامل‌های XP منتشر شد؛ ولی این ابزار نیازمند برنامه‌ی جداگانه‌ای برای تبدیل بیت‌های استخراج‌شده به کلید رمزگشایی است.

مت سوییش، از بنیان‌گذاران شرکت امنیت سایبری Comae Technologies، در توسعه و ارزیابی واناکیوی همکاری داشته و اعلام کرده است که این برنامه به‌درستی کار می‌کند و جزئیات فنی آن را نیز برای عموم منتشر کرده است. همچنین یورو پل و آژانس مجری قانون اتحادیه اروپا هم این برنامه را تأیید کرده‌اند.

europol wannakiwi

همچون واناکی، واناکیوی نیز از نقایص موجود در رابط برنامه‌نویسی برنامه‌های رمزنگاری مایکروسافت بهره می‌جوید؛ واناکرای و دیگر برنامه‌های کاربردی ویندوز هم از این رابط برای ساخت کلیدهای رمزنگاری و رمزگشایی استفاده می‌کنند. این رابط دارای توابعی برای پاک کردن کلیدهای ساخته‌شده، از حافظه‌ی کامپیوتر است؛ ولی نقص‌های این رابط باعث می‌شود گاهی اعداد اولی که برای ساخت کلید از آن‌ها استفاده می‌شود، در حافظه باقی بمانند. این اعداد را تا زمانی که رایانه خاموش نشده باشد یا آن قسمت از حافظه با مقدار جدیدی بازنویسی نشده باشد، می‌توان بازیابی کرد.

واناکیوی با جستجوی حافظه و یافتن مقادیر p و q که کلید رمزنگاری بر پایه‌ی آن‌ها ساخته‌شده است، کلید را بازیابی و سپس با استفاده از آن، فایل‌های قفل‌شده توسط باج افزار واناکرای را رمزگشایی می‌کند.

بنجامین دلپی، یکی از توسعه‌دهندگان واناکیوی این‌گونه بیان می‌کند که ابزار موجود تاکنون توانسته است رایانه‌های زیادی را رمزگشایی کند که برخی دارای سیستم‌عامل ۷ و ۲۰۰۳ بوده‌اند. او معتقد است که دیگر نسخه‌های ویندوز نیز می‌توانند به‌گونه‌ای مشابه بازیابی شوند. همچنین واناکیوی مزیت‌هایی نسبت به واناکی دارد، ازجمله رابط کاربری ساده و قابلیت تولید کلید رمزگشایی بدون نیاز به هیچ ابزار دیگری.

دلپی این‌گونه بیان می‌کند:

برای بازیابی فایل‌های خود، برنامه‌ی واناکیوی را دانلود کنید. اگر کلید رمزگشایی قابل بازیابی باشد، این برنامه آن را استخراج و شروع به رمزگشایی تمام فایل‌های قفل‌شده از هارد دیسکتان می‌کند، درست مانند زمانی که مبلغ باج را پرداخت کرده باشید. بااین‌حال در بسیاری از موارد این کلید قابلیت بازیابی ندارد و شانس کمی برای این کار وجود دارد.

wannakiwi

ابزار واناکیوی در حال بازگشایی فایل‌های رمزنگاری‌ شده

ابزار واناکیوی را می‌توانید از اینجا دانلود کنید (از آنجایی که این برنامه توسط ما تست نشده است، هرگونه پیشامد احتمالی بر عهده‌ی خودتان است و زومیت مسئولیتی بر عهده نمی‌گیرد).

باید توجه داشته باشید اگر سیستم ریستارت شده باشد یا مکانی از حافظه که اطلاعات لازم برای بازیابی کلید ذخیره‌شده است، با داده‌های جدیدی بازنویسی شده باشد؛ این برنامه‌ی رمزگشا همچون واناکی قادر به یافتن کلید و بازیابی اطلاعات نخواهد بود. واناکیوی هنوز به‌صورت گسترده روی رایانه‌هایی با پردازنده‌های ۶۴ بیتی تست نشده است؛ لذا این امکان وجود دارد که عملکرد آن بر این رایانه‌ها با مشکلاتی همراه باشد. با وجود تمام محدودیت‌هایی که این برنامه‌ی رمزگشا دارد، واناکیوی پیشرفتی بزرگ در مسیر جبران خسارات وارده و کمکی ارزشمند برای حل مشکل بسیاری از مردم محسوب می‌شود.



منبع :زومیت