WanaKiwi : WannaCry Ransomware 암호 해독 도구 깃허브 소스
지난 금요일에 전세계를 망가 뜨린 중범 죄가 된 WannaCry에 PC가 감염 되었다면 사이버 범죄자에게 몸값 300 달러를 지불하지 않고도 잠긴 파일을 되 찾을 수 있습니다.
Quarkslab의 프랑스 보안 연구원 인 Adrien Guinet은 Windows XP, Windows 7, Windows Vista, Windows Server 2003 및 2008 운영 체제에서 작동하는 무료 WannaCry ransomware 에서 사용되는 비밀 암호 키를 검색하는 방법을 발견했습니다 .
WannaCry Ransomware 암호 해독 키
WannaCry의 암호화 체계는 피해자의 컴퓨터에 소수에 의존하는 한 쌍의 키를 생성함으로써 작동합니다. 공개 키와 시스템 파일을 각각 암호화하고 해독하는 개인 키가 생성됩니다.
피해자가 개인 키에 액세스하지 못하도록하고 잠긴 파일을 해독하지 못하도록 WannaCry 는 시스템에서 키를 지우고 피해자가 속임수를 지불하는 것을 제외하고는 해독 키를 검색 할 수있는 선택권을 남기지 않습니다.
그러나 여기에 키커가 있습니다. WannaCry는 "관련 메모리를 확보하기 전에 메모리에서 소수를 지우지 않습니다 . " 라고 Guinet은 말합니다.
이 발견을 바탕으로 Guinet은 기본적으로 WannaKey라는 이름의 WannaCry ransomware 암호 해독 도구를 출시했습니다.이 도구 는 기본적으로 메모리에서 암호화 키를 생성하는 수식에 사용되는 두 개의 소수를 검색하려고합니다.
" 이렇게하면 wcry.exe 프로세스에서 검색하여 RSA 개인 키를 생성하는 프로세스입니다. 주요 문제는 CryptDestroyKey 및 CryptReleaseContext가 연결된 메모리를 해제하기 전에 메모리에서 소수를 지우지 않는다는 것입니다. "Guinet이 말합니다.
즉,이 방법은 다음 경우에만 작동합니다.
해당 컴퓨터가 감염된 후 재부팅되지 않았습니다.
연관된 메모리가 다른 프로세스에 의해 할당 및 지워지지 않았습니다.
" 작동하려면 컴퓨터가 감염된 후 재부팅되어서는 안되며, 작동하려면 운이 필요합니다 (아래 참조). 따라서 모든 경우에 작동하지 않을 수도 있습니다! "라고 Guinet은 말합니다.
" Windows Crypto API를 제대로 사용하기 때문에 이것은 실제로 ransomware 제작자의 실수가 아닙니다. "
WannaKey는 영향을받는 컴퓨터의 메모리에서 소수만 가져 오지만이 소수를 사용하여 해독 키를 수동으로 생성하여 WannaCry에 감염된 PC의 파일을 해독 할 수있는 사용자 만이 도구를 사용할 수 있습니다.
WanaKiwi : WannaCry Ransomware 암호 해독 도구
좋은 소식은 다른 보안 연구원 인 Benjamin Delpy 가 WannaCry에 감염된 파일 암호 해독의 전체 과정을 단순화하는 Guinet의 발견을 기반으로하는 " WanaKiwi " 라는 사용하기 쉬운 도구 를 개발했다는 것입니다.
모든 피해자는 Github에서 WanaKiwi 도구를 다운로드 하고 영향을받는 Windows 컴퓨터에서 명령 줄 (cmd)을 사용하여 실행해야합니다.
WanaKiwi는 Windows XP, Windows 7, Windows Vista, Windows Server 2003 및 2008에서 작동하며 보안 회사 인 Comae Technologies의 Matt Suiche는 WanaKiwi를 사용하여 파일의 암호를 해독하는 방법을 보여주는 데모를 제공 했습니다.