[Frissítve] Wannakey - Wannacry in-memory key recovery for WinXP

Címkék

Azok a Windows XP felhasználók, akik beszívták a WannaCry-t és a fertőzés óta még nem indították újra a gépüket, esélyt kaphatnak a fájljaik eredeti állapotának visszaállítására a Wannakey eszköz jóvoltából. Az eszköz megpróbálja a WannaCry RSA privát kulcsának prímjeit kibányászni a memóriából. Az eszköz igazoltan csak Windows XP-n működik, köszönhetően annak, hogy a Windows XP nem takarítja a memóriát annyira akkurátusan (tkp. sehogy), mint például a Windows 10:

This software allows to recover the prime numbers of the RSA private key that are used by Wanacry.

It does so by searching for them in the wcry.exe process. This is the process that generates the RSA private key. The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup.

Az eszköz letölthető a GitHub-ról. Az eszközt Adrien Guinet, a francia Quarkslab biztonsági szakértője adta ki.

Frissítés: Közben kiadtak egy Wanakiwi nevű eszközt is, amellyel az XP mellett akár Windows 7, Windows Vista, Windows Server 2003 és 2008 rendszereken is szerencsét próbálhatunk.

Hozzászólások

Szóval egy windóz security bug-al küzdenek a zsarolóvírus ellen... Csak nehogy idő előtt ezt is befoltozza az Ms!

"Az eszköz igazoltan csak Windows XP-n működik, köszönhetően annak, hogy a Windows XP nem takarítja a memóriát annyira akkurátusan (tkp. sehogy)"
"Közben kiadtak egy Wanakiwi nevű eszközt is, amellyel az XP mellett akár Windows 7, Windows Vista, Windows Server 2003 és 2008 rendszereken is szerencsét próbálhatunk"

Egyre szebb! :)

Holnap jön a hír, hogy a München visszamigrál XP-re, mert gyorsabb a Win10-nél és a linuxnál is, kevesebb a hardverigénye, ezáltal jól elfut a régi hardvereken, valamint ilyen feature-ökkel rendelkezik.
--
"Sose a gép a hülye."

Most had írjam le én elsőnek :D
100 millió XP felhasználó!!!
Na ez jól esett.
Hajbazer hol vagy?

Mi itt nagyon jol szorakoztunk rajta, a hozzanemertessel fuszerezett hatalmas arcan. Szamtalanszor tartottunk blezer napot, amikor mindenre az o okorsegeit mondtuk.
Kicsit sajnalom, hogy kitiltottak, de ugyis visszamaszik a....valami sotet helyrol, ahol a hozza hasonlokat tenyesztik :D

Az a HWSW-s kommentelő egy másik arc, a legtöbb fórumon Flashdesigner néven futott, legutóbb a Prohardveren LakiPali néven moderálták ki. Sokkal fiatalabb hajbazernél, azért lehet elsőre keverni őket, mert mindkettő az XP és a szerény hardver felsőbbrendűségét hirdeti.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Igen, most már látom, hogy tényleg hajbazer nick is van, és nyomatja a szokásos profitmultis szöveget :D

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Nem lett volna gond a véleményével, és azzal, ha kiállt mellette. Sok jogos felvetése volt. Csakhogy nem érvelt, hanem vakon a saját meggyőződéseit tolta, nem volt nyitott egy gram realitásra sem, ráadásul aki kijavította, vagy más véleménnyel volt mint ő, azt fikázta, birkázta. Ráadásul ezt nem csak a saját témájában tette, hanem minden egyes témába belerondított, ahol egy kis kapaszkodót talált a saját véleményének a terjesztésére.

Szerk: Egyébként az indokokat jól mutatja, hogy egy kissé máshogy moderált oldalon (lásd hwsw) hajbazer kommentjei folyamatosan tűnnek le. Biztos ott is indokolatlanul :)

Most komolyan, te és akik ezt mondjátok: olvastad bármelyik topic-ját, követted akármelyik ámokfutását? Mert ha igen, szerintem nincs jóérzésű ember, aki nem a ban-ra szavazott volna, tényleg úgy gondolom, hogy nem teljesen egészséges mentálisan, nem ok nélkül tartom elmebetegnek.

A Windows XP biztosan nem kapott "kiemelkedő" priorítást a "WannaCry" fejlesztőinél. - (Mostanság nem olvastak elég HUP-ot.)
:)

Mármint miben is volt igaza? Nem csak XP-n működik a visszafejtés. Amúgy bírom a csávót, arany pofa az XP-jével és a kőkorszaki gépeivel, csak ezt nem értem, hogy ezt a térítő misszionárius tevékenységét miért nem egy windowsos vagy microsoftos fórumon fejti ki, vagy egy vonatkozó, konteós-szcientológiai Faszbukk-csoportban. Tényleg felesleges neki egy linuxos, unixos portálon térítenie, itt híveket esélye nincs szerezni.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Engem egy dolog lep meg, éspedig egy cég amiről eddig még nem hallottam megpróbál segíteni, előáll egy ötlettel, miközben a nagy vírusvédősök hallgatnak mint szar a fűben. Ha pedig meszólal valamelyik szakértőjük, akkor csak annyit mond, hogy lesz még ennél rosszabb vagy a következő támadás már folyamatban.

De mit kezd a wannacry a privát kulccsal?
Elküldi valahova?
Leteszi valahol az FS-ben?

Vagy kidobja az egészet, és akkor küldhetsz te bármennyi lóvét, már nem lesz meg a kulcs a visszafejtéshez?

A kerdes teljesen jogos, merthogy a szukseges privat kulcs hianyaban nem fog menni a visszaallitas. Ez a privat kulcs lehet a fertozott gepen generalt, vagy a tamadoe - utobbit nyilvan nem hajlando csak ugy odaadni a tamado, mert ezzel minden titkositott adat visszaallithato lenne, nem csak az erintett gepen levok.

Ha elég sokan megkapják, előbb utóbb megtörik ezeket, persze, ha lehet.