[Frissítve] Wannakey - Wannacry in-memory key recovery for WinXP

 ( trey | 2017. május 19., péntek - 7:55 )

Azok a Windows XP felhasználók, akik beszívták a WannaCry-t és a fertőzés óta még nem indították újra a gépüket, esélyt kaphatnak a fájljaik eredeti állapotának visszaállítására a Wannakey eszköz jóvoltából. Az eszköz megpróbálja a WannaCry RSA privát kulcsának prímjeit kibányászni a memóriából. Az eszköz igazoltan csak Windows XP-n működik, köszönhetően annak, hogy a Windows XP nem takarítja a memóriát annyira akkurátusan (tkp. sehogy), mint például a Windows 10:

Idézet:
This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.

Az eszköz letölthető a GitHub-ról. Az eszközt Adrien Guinet, a francia Quarkslab biztonsági szakértője adta ki.

Frissítés: Közben kiadtak egy Wanakiwi nevű eszközt is, amellyel az XP mellett akár Windows 7, Windows Vista, Windows Server 2003 és 2008 rendszereken is szerencsét próbálhatunk.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szóval egy windóz security bug-al küzdenek a zsarolóvírus ellen... Csak nehogy idő előtt ezt is befoltozza az Ms!

Gyönyörü! :)

--
robyboy

Mint utólag kiderült, nem bug, ficsőr! :)

"Az eszköz igazoltan csak Windows XP-n működik, köszönhetően annak, hogy a Windows XP nem takarítja a memóriát annyira akkurátusan (tkp. sehogy)"
"Közben kiadtak egy Wanakiwi nevű eszközt is, amellyel az XP mellett akár Windows 7, Windows Vista, Windows Server 2003 és 2008 rendszereken is szerencsét próbálhatunk"

Egyre szebb! :)

Holnap jön a hír, hogy a München visszamigrál XP-re, mert gyorsabb a Win10-nél és a linuxnál is, kevesebb a hardverigénye, ezáltal jól elfut a régi hardvereken, valamint ilyen feature-ökkel rendelkezik.
--
"Sose a gép a hülye."

Most had írjam le én elsőnek :D
100 millió XP felhasználó!!!
Na ez jól esett.
Hajbazer hol vagy?

\o/

Sokat dolgozott érte :)
--
♙♘♗♖♕♔

Azt lehet tudni, mi volt a gond hajbazerrel?

Valószínűleg nagyjából az összes eddigi tevékenysége itt, a szüntelen ugyanarról való panaszkodás és észosztás, nem tudtad elkerülni, bármikor is jöttél fel, nagyjából bármelyik topic-ot olvasva.

Mi itt nagyon jol szorakoztunk rajta, a hozzanemertessel fuszerezett hatalmas arcan. Szamtalanszor tartottunk blezer napot, amikor mindenre az o okorsegeit mondtuk.
Kicsit sajnalom, hogy kitiltottak, de ugyis visszamaszik a....valami sotet helyrol, ahol a hozza hasonlokat tenyesztik :D

Az első egy-két topic-on még tudtam nevetni, de utána már rettenetesen bosszantott, annak örülnék, ha véglegesen is kitiltásra kerülne, az összes további alias-ával együtt, automatikusan.

Most HWSW kommentek kozott osztja az eszt amugy :)

--

"You can hide a semi truck in 300 lines of code"

Hátha hamarosan onnan is repül, de ott legalább nem tud topic-ot nyitni. :-)

"Ezt a hozzászólást eltávolították."

Ez gyors volt... Te meg valami latnok vagy-e masodallasban?

--

"You can hide a semi truck in 300 lines of code"

Igyekszik az ember.. :-) Ezt a rengeteg hülyeséget máshol sem tűrik, szerencsére, ahogy nézem.

Szerinte lehet weboldalt írni Assemblyben. Máris hiányzik. :D
http://imgur.com/a/yi6VB

--
Mobilbarát és reszponzív weboldal készítés

Márpedig a webassembly valós. Aki ezért kineveti, saját magáról állít ki szegénységi bizonyítványt

A webassembly célja nem az, hogy bárki is "assemblyben" írjon webet. Ez egy baromság. A webassembly célja az, hogy a böngészőben történő js->byte kód fordítást
meg lehessen spórolni, magyarul gyorsabban fog indulni, illetve kevesebb adat fog letöltődni.

Kontextusában kell nézni a dolgokat.

Értelmezd a mondatot, kérlek. Ha nem megy, próbáld addig, amíg nem sikerül.

--
Mobilbarát és reszponzív weboldal készítés

Szerintem ugy ertette, hogy generalni: https://github.com/thibaultduponchelle/x86-64-cgi-assembly-hello-world

Bar abban igaza van, hogy afele halad a vilag, hogy elofeldolgozott binaris formaban erkezzenek a cuccok a bongeszobe...

Vicces volt a link, de kb. sikerült azt a problémát bemutatni, ami miatt a PHP kialakult (C-ből printf-el html kódot kiírni sosem volt
túl fejlesztőbarát)

Az a HWSW-s kommentelő egy másik arc, a legtöbb fórumon Flashdesigner néven futott, legutóbb a Prohardveren LakiPali néven moderálták ki. Sokkal fiatalabb hajbazernél, azért lehet elsőre keverni őket, mert mindkettő az XP és a szerény hardver felsőbbrendűségét hirdeti.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Tudom ki Flashdesigner, regi szep idok (Felping remlik valakinek?). De szerintem a "hajbazer" nick mogott HWSW-n csak nem o van...

--

"You can hide a semi truck in 300 lines of code"

Igen, most már látom, hogy tényleg hajbazer nick is van, és nyomatja a szokásos profitmultis szöveget :D


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Modlog szerint kéthetes a tiltás, csak addig leszünk kénytelenek normális kérdésekre adott normális válaszokat olvasni a HUP-on. :D

Hat eleg sok aktiv tagot ki lehetne tiltani, ha a "szuntelen ugyanarrol valo panaszkodas es eszosztas" ertelmes alap lenne a kitiltasra.

Ha követted akár csak egy topic-ját, pontosan tudod, hogy teljesen megalapozott volt a tiltás.

Kovettem, es ebben egyaltalan nem ertunk egyet.

Ennyi? Volt egy véleménye, ami mellett érvelt és kiállt, de pár ember nem értett vele egyet, ezért ideiglenes tiltást kapott? Ez most remélem komoly, mert viccnek durva lenne.

Inkább a stílussal voltak gondok.

Nem lett volna gond a véleményével, és azzal, ha kiállt mellette. Sok jogos felvetése volt. Csakhogy nem érvelt, hanem vakon a saját meggyőződéseit tolta, nem volt nyitott egy gram realitásra sem, ráadásul aki kijavította, vagy más véleménnyel volt mint ő, azt fikázta, birkázta. Ráadásul ezt nem csak a saját témájában tette, hanem minden egyes témába belerondított, ahol egy kis kapaszkodót talált a saját véleményének a terjesztésére.

Szerk: Egyébként az indokokat jól mutatja, hogy egy kissé máshogy moderált oldalon (lásd hwsw) hajbazer kommentjei folyamatosan tűnnek le. Biztos ott is indokolatlanul :)

Ez alapján a top kommentelők nagy részét lehetne bannolni, akik munka mellett vagy inkább helyett egész nap itt osztják az észt.
"Papírja van, ceruzája van, feljelent." - mondta valahogy így Hofi egy állítolagos másik korszakban.

Most komolyan, te és akik ezt mondjátok: olvastad bármelyik topic-ját, követted akármelyik ámokfutását? Mert ha igen, szerintem nincs jóérzésű ember, aki nem a ban-ra szavazott volna, tényleg úgy gondolom, hogy nem teljesen egészséges mentálisan, nem ok nélkül tartom elmebetegnek.

>szerintem nincs jóérzésű ember

a.te.ervelesi.hibad/faszom.tudja.majd.kikeresed

Én nem szavaztam volna a banra, ha szavazás lett volna. Én simán át tudtam lépni kommentjein, és be tudtam csukni a böngésző fület, amin az unalmassá váló topicok voltak.

De nem volt szavazás. Többen panaszkodtak, és trey úgy ítélte, hogy igazuk van. Ennyi.

A más véleményével nekem se volt gondom, viszont az a csúfondáros mód ahogy előadta, mindent le bloat-ozva, mindekit lebirkázva és felelőssé téve a kínai rabszolgák miatt az engem is zavart.
--
:wq

rip

troll on
biztos WannaCRy-t takarít - mert az XP-ről lehet!
troll off
Hopsz!
Tévedtem...

Átköltözött a HWSW-re. :-)

Szerk: most látom, már többen is írtátok.

A Windows XP biztosan nem kapott "kiemelkedő" priorítást a "WannaCry" fejlesztőinél. - (Mostanság nem olvastak elég HUP-ot.)
:)

http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html

A cikk szerint, "...works on Windows XP, Windows 7, Windows Vista, Windows Server 2003 and 2008 operating systems."
A cikkben szereplő videóban Windows 7 -en tesztelték a WanaKiwi (https://github.com/gentilkiwi/wanakiwi/releases) nevű toolt. Remélhetőleg be fog válni mindenhol :)

már megint Hajbazernek volt igaza.

Hajj bazer!

--
robyboy

Mármint miben is volt igaza? Nem csak XP-n működik a visszafejtés. Amúgy bírom a csávót, arany pofa az XP-jével és a kőkorszaki gépeivel, csak ezt nem értem, hogy ezt a térítő misszionárius tevékenységét miért nem egy windowsos vagy microsoftos fórumon fejti ki, vagy egy vonatkozó, konteós-szcientológiai Faszbukk-csoportban. Tényleg felesleges neki egy linuxos, unixos portálon térítenie, itt híveket esélye nincs szerezni.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Az a vicc, hogy ha az energiáit minimal/bloatfree Linux rendszerekre fordította volna, akkor még valami hasznosat is csinálhatott volna.

Ezetleg dolgozhatott volna a Wine XP kompatibilitási rétegén is.

>miért nem egy windowsos vagy microsoftos fórumon fejti ki

dehát azt tette

Szegecs, Szegecs te lejaratni magad jarsz ide :)
Ha az elet mas teruleten lehetnel ilyen sikeres.... :D

Engem egy dolog lep meg, éspedig egy cég amiről eddig még nem hallottam megpróbál segíteni, előáll egy ötlettel, miközben a nagy vírusvédősök hallgatnak mint szar a fűben. Ha pedig meszólal valamelyik szakértőjük, akkor csak annyit mond, hogy lesz még ennél rosszabb vagy a következő támadás már folyamatban.

Az lenne a legszebb, ha decoding helyett egy újabb ransomware-t telepítene :) mint megoldást minden földi bajra...

--
robyboy

De mit kezd a wannacry a privát kulccsal?
Elküldi valahova?
Leteszi valahol az FS-ben?

Vagy kidobja az egészet, és akkor küldhetsz te bármennyi lóvét, már nem lesz meg a kulcs a visszafejtéshez?

>Ennyi ideje regisztrált felhasználó
>14 év

nyugi, nem járok ide túl sűrűn :)

Lehetett volna értelmesen is válaszolni, ha már nem olvasta végig:

If a valid prime is found in memory, the priv.key file will be generated in the current directory.
You can then use https://github.com/odzhan/wanafork/ to decrypt your files!

--
robyboy

A kerdes teljesen jogos, merthogy a szukseges privat kulcs hianyaban nem fog menni a visszaallitas. Ez a privat kulcs lehet a fertozott gepen generalt, vagy a tamadoe - utobbit nyilvan nem hajlando csak ugy odaadni a tamado, mert ezzel minden titkositott adat visszaallithato lenne, nem csak az erintett gepen levok.

>A kerdes teljesen jogos, merthogy fogalom nelkul vok mint mindig, továbbá lorum ipsum deus vult wir mussen die juden ausrotten.

O.K.

Lehet, hogy nem fogalmaztam tisztán, de nem azon filóztam, hogy a wannakey, wanafork mit csinál, hanem hogy az erdeti kártékony kód mit csinálhat. ;)

Lekódolja a támadók publikus kulcsával, és az orrod elé teszi. Ha fizetsz, akkor ezt elküldöd nekik, és ők visszaküldik az eredetit neked - vagy nem, ha olyanjuk van :-).

a télapóban is hiszel? kábé azonos esélye van, hogy látsz egyet.


"I'd rather be hated for who I am, than loved for who I am not."

Idézet:
Lehetett volna értelmesen is válaszolni

Nem nézted meg, kinek válaszolsz.

hehe.

Bár belegondolva lehet egy kicsit kevesebb személyeskedés lenne, ha az emberek nem azzal foglalkoznának, hogy kinek megy a válasz, hanem hogy mire válaszolnak

Na igen, meg azzal is kevesebb lenne, ha arra válaszolnék, amire kell :) ergo nem hibáznék.

--
robyboy

Ha elég sokan megkapják, előbb utóbb megtörik ezeket, persze, ha lehet.