眾所周知的 WannaCry 勒索病毒是針對 Windows 漏洞而來,特別是許多人仍持續使用但微軟已經不再更新的 Windows XP,目前已有解密組合 WannaKey+Wanafork 囉!雖然微軟在事發之後特別針對 XP、VISTA 發布更新檔,但若在安裝更新之前就已中毒的話,更新也無濟於事。目前來自 QuarksLab 表示它們已經針對 XP 開發出解密方式,但前提是得在電腦中毒後尚未重開機的狀況下才有效。
【防範中毒】WannaCry (WanaCrypt0r) 勒索病毒處理流程 (官方解法整理版)
根據 StatCounter 統計,目前全球 Windows 還有 6.67% 使用者使用 Windows XP,1.4% 使用 Windows Vista,由於 Microsoft 已經分別在 2014/4/8 與 2017/4/11 停止延伸支援,因此在這波勒索病毒行動被大肆報導之前,此兩系統的中毒風險最高,慶幸的是微軟除提供 Windows 7/8/8.1/10 的更新檔之外,也罕見的為已經停止支援的作業系統提供修補程式。
針對 WannaCry 的加密研究,法國資安研究人員 Adrien Guinet 發現 WannaCry 加密檔案時會產生兩組密鑰,一組用來加密檔案,另一組則用來解密檔案,但 WannaCry 為了避免解密檔案的密鑰被取得,因此會將它加密並把未加密的刪除。
▲ Guinet 成功取回金鑰畫面截圖。(來源)
進一步觀察,正常來說 WannaCry 刪除未加密的密鑰後會從記憶體中將它清除,但 Guinet 發現在 Windows XP 上系統並沒有真的清除,讓他有機會從記憶體找出產生密鑰的兩個質數並且產生密鑰,而取得密鑰後可透過 Wanafork 將檔案解密還原。
必須注意的是,如果電腦已經重開機或者記憶體內已被重新分配並清除資料的話就無法完成,因此使用上仍得靠運氣,此外,WannaKey 除了 XP 之外對其它系統無效。