 |
Nếu máy tính của bạn bị nhiễm WannaCry - thứ mã độc tống tiền đã hoành hành trên toàn thế giới vào thứ Sáu tuần trước (12/5), có thể bạn sẽ may mắn lấy lại được các tập tin bị khoá mà không phải trả khoản tiền chuộc 300 USD cho những tên tội phạm mạng.
Adrien Guinet, một nhà nghiên cứu an ninh của trung tâm nghiên cứu Quarkslab, Pháp đã phát hiện ra một cách hoàn toàn miễn phí để lấy ra các tệp tin bị mã độc tống tiền WannaCry mã hóa . Công cụ này hoạt động trên các hệ điều hành Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008.
Chìa khóa giải mã ransomware WannaCry
Chương trình mã hóa WannaCry hoạt động bằng cách tạo ra một cặp khóa trên máy tính của nạn nhân, dựa trên những con số chính, một khoá công khai và một khóa riêng tư để mã và giải mã các tệp tin trên hệ thống.
Để ngăn nạn nhân truy cập vào khoá riêng tư và tự giải mã các tập tin bị mã hóa, WannaCry sẽ xóa khóa này khỏi hệ thống, không để nạn nhân lấy được khóa để tự giải mã trừ khi trả tiền chuộc cho kẻ tấn công.
Nhưng điểm mấu chốt là: WannaCry "không xóa những con số chính đó khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan," ông Guinet nói.
Dựa trên phát hiện này, Guinet đã tung ra một công cụ giải mã ransomware WannaCry mang tên WannaKey, mà công cụ này về cơ bản là nhằm truy hồi hai số nguyên tố, được sử dụng trong công thức để tạo ra các khoá mã hóa từ bộ nhớ.
“Công cụ này làm được như vậy nhờ tìm kiếm các tiến trình wcry.exe. Tiến tình này sẽ tạo ra khóa riêng tư RSA. Vấn đề chính ở đây là CryotDestroyKey và CryptReleaseContext không xóa những con số chính này khỏi bộ nhớ trước khi giải phóng bộ nhớ liên quan”, ông Guinet cho biết.
Vì vậy, có nghĩa là, phương pháp này sẽ chỉ hoạt động nếu:
- Máy tính bị ảnh hưởng chưa được khởi động lại sau khi bị nhiễm;
- Bộ nhớ liên quan chưa được bị chia lại và xóa bởi một số tiến trình khác.
Guinet cho biết: "Để phương pháp này có hiệu quả, máy tính của bạn không được phép khởi động lại sau khi bị nhiễm. Cũng xin lưu ý rằng bạn cần chút may mắn để phương pháp này phát huy tác dụng (xem dưới đây), và nó có thể sẽ không có tác dụng trong mọi trường hợp!", Guinet bổ sung.
"Đây không phải là một sai lầm của những kẻ tạo ra loại ransomware vì những hacker này đã sử dụng API Windows Crypto đúng cách".
Mặc WannaKey đưa ra được những con số chính từ bộ nhớ của chiếc máy tính bị ảnh hưởng, nhưng công cụ này chỉ có thể được sử dụng bởi những người có thể dùng những con số chính đó để tạo ra khóa mở mã theo cách thủ công để giải mã những tệp tin của máy tính bị nhiễm WannaCry.
Tin mừng là nhà nghiên cứu bảo mật Benjamin Delpy đã phát triển thành công một công cụ dễ sử dụng được gọi là "WanaKiwi" dựa trên phát hiện của Guinet, giúp đơn giản hoá toàn bộ quá trình giải mã tệp tin dính mã độc WannaCry.
Tất cả những gì mà các nạn nhân phải làm là tải công cụ WanaKiwi từ Github và khởi chạy công cụ này trên máy tính Windows bị ảnh hưởng bằng cách sử dụng dòng lệnh (cmd).
WanaKiwi hoạt động trên Windows XP, Windows 7, Windows Vista, Windows Server 2003 và 2008, đã được chuyên gia an ninh Matt Suiche của công ty bảo mật Comae Technologies xác thực, đây cũng là người đã demo cách sử dụng WanaKiwi để giải mã các file của bạn.
Mặc dù công cụ này sẽ không phát huy tác dụng với mọi người dùng do tính phụ thuộc của nó, tuy nhiên nó vẫn đem đến đôi chút hy vọng cho các nạn nhân dính mã độc WannaCry.
