Window XP 現有解密 WCry 的可能

Window XP 是 Microsoft 最長壽的作業系統,在 Microsoft 宣佈停止支援後仍有很多用戶,最近的勒索病毒 WCry 因牽連甚廣,Microsoft 也即時推出安全更新,連 Window XP 也有份。最近有研究人員發現,一個存在於 Window XP 內的限制,卻可能成為拯救用戶資料的一環。

法國 Quarkslab 研究員 Adrien Guinet 表示,如果 Windows XP 系統遭到 WCry 勒索病毒的感染,那麼用戶可以自行解密數據,而不必支付 300 至 600 美元的贖金。

Adrien 發佈了一款開源軟體,他將這款軟體命名為 Wannakey,並將之放上 Github。他表示,該軟體幫他發現了實驗室中被感染 Windows XP 電腦所需的數據解密密鑰。該軟體尚未在 Windows XP 系統中大範圍測試,而即使軟體有效,也仍然存在限制。他表示:「這款軟體只在 Windows XP 下進行過測試,並且已知只對 Windows XP 有效。如果希望使用這款軟體,必須確保電腦在被感染之後沒有曾經重新啟動。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」

WannaCry 勒索病毒使用了 Windows 中集成的 Microsoft 密碼 API 去處理多項功能,包括生成文件的加密解密密鑰。在建立並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰。不過,Windows XP 現存的限制會導致API 無法清除密鑰。因此,在電腦關機並重新啟動之前,用於生成 WCry 密鑰的主序列可能會一直駐留在記憶體中。WannaKey 理論上能掃瞄 Windows XP 系統記憶體,並提取其中的相關資訊。

但 Adrien 表示 WannaKey 除了要電腦未曾重新啟動,亦需要些微運氣。「如果你足夠幸運(即相關的記憶體區塊尚未被重新分配或清除),這些主序列可能仍駐留在記憶體內。」此外,另一位研究員很快的發佈了另一款以 WannaKey 為基礎,但更便於使用的軟體,名為 WanaKiwi

但目前未有研究人員嘗試證實此軟體的功用,甚至來自 Comae Technologies 的研究員 Matt Suiche 表示他未能成功使用 WannaKey 來取回資料。

不過,Window XP 目前並不是受 WannaCry 感染最嚴重的版本,Win 7 才是。根據香港電腦保安事故協調中心的報告,截至5月18日為止,香港有 33 宗個案,其中絕大多數是使用 Win 7 作業系統。

如果讀者有興趣了解 Wannakey,可以到其 Github 查看

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *