※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2017-05-19 14:43:29
看板 Gossiping
作者 標題 Fw: [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:57:57 2017
※ [本文轉錄自 AntiVirus 看板 #1P7dxNTe ]
看板 AntiVirus
作者 標題 [情報] 針對 Windows XP 系統的勒索病毒恢復軟體
時間 Fri May 19 13:12:49 2017
針對 Windows XP 系統的勒索病毒恢復軟體
2017-5-18 22:30:49
法國 Quarkslab 研究員 Adrien Guinet 發佈了一款軟體,表示 Windows XP 系統如果遭
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。
到 WCry 勒索病毒的感染,那麼用戶可以自行解密資料,而不必支付 300 至 600 美元的
贖金。
Guinet 發佈了一款軟體。他表示,該軟體幫他發現了實驗室中被感染 Windows XP 電腦
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。
所需的資料解密密鑰。該軟體尚未在 Windows XP 系統中得到大範圍測試,而即使軟體有
效,也仍然存在限制。在上週 WCry 病毒爆發的過程中,Windows XP 系統並不是受影響
的重災區,因此這一恢復技術的價值有限。
他將這款軟體命名為 Wannakey。他表示:「這款軟體只在 Windows XP 下進行過測試,
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」
並且已知只對 Windows XP 有效。如果希望使用這款軟體,那麼電腦在被感染之後不能進
行過重啟。此外,你還需要一定的運氣,軟體可能不是對所有情況都有效。」
Comae Technologies 創始人、研究員 Matt Suiche 報告稱,Guinet 的解密工具沒有效
果。
WCry 勒索病毒也被稱作 WannaCry,在感染電腦後會對電腦上的所有資料進行加密,而黑
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰
。
客要求受害者支付 300 至 600 美元的贖金,從而獲得恢複資料的密鑰。該勒索軟體使用
了 Windows 中集成的微軟密碼 API(應用程序接口)去處理多項功能,包括生成文件的
加密解密密鑰。在創建並獲得密鑰後,在大部分版本的 Windows 中,API 會清除該密鑰
。
不過,Windows XP 存在的限制會導致 API 無法清除密鑰。因此,在電腦關機重啟之前,
用於生成 WCry 密鑰的主序列可能會一直駐留在內存中。WannaKey 能掃瞄 Windows XP
系統內存,提取其中的相關信息。
Guinet 表示:「如果你足夠幸運(即相關的內存塊尚未被重新分配或清除),這些主序
列可能仍駐留在內存裡。」
他同時在 Twitter 上表示:「我完整地完成瞭解密過程。我可以確認,在這台電腦上,
密鑰可以從 XP 中恢復。」 他在 Twitter 消息中提供了電腦屏幕截圖。
Wannakey 的下載地址:
https://github.com/aguinet/wannakey
GitHub - aguinet/wannakey: Wannacry in-memory key recovery for WinXP
wannakey - Wannacry in-memory key recovery for WinXP ...
wannakey - Wannacry in-memory key recovery for WinXP ...
wannakey/search_primes.exe at master · aguinet/wannakey · GitHub
wannakey - Wannacry in-memory key recovery for WinXP ...
wannakey - Wannacry in-memory key recovery for WinXP ...
資訊來源:月光博客
http://www.williamlong.info/archives/4977.html
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 112.105.245.21
※ 文章代碼(AID): #1P7dxNTe (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1495170775.A.768.html
推 : XP企業再戰十年(*゚∀゚)1F 05/19 13:17
→ : Wannakey2F 05/19 13:40
→ : !?!?!3F 05/19 13:43
推 : XP才是最安全的4F 05/19 13:54
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: abramtw (140.114.138.111), 05/19/2017 13:57:57
推 : XP再戰十年1F 05/19 13:59
→ aa1052026 …
推 : 為什麼不是取名為WannaHappy?3F 05/19 14:00
推 : XP再戰十年!!!4F 05/19 14:00
噓 : 從ID到連結都是病毒的駭客5F 05/19 14:00
→ : XP果然是本世紀最先進的造業系統6F 05/19 14:00
推 : XP可以再戰100年7F 05/19 14:00
推 : XP在戰10年8F 05/19 14:00
推 : 那是硬體太差才會當掉9F 05/19 14:01
→ : 跟系統本身無關
→ : 跟系統本身無關
推 : XP再戰10年!!11F 05/19 14:01
→ : 第六代i7還是可以灌XP 再戰10年!12F 05/19 14:03
推 : xp再戰10年!!!14F 05/19 14:08
推 : XP在戰十年15F 05/19 14:08
推 : XP再戰10年!!!我差威武16F 05/19 14:11
推 : ...17F 05/19 14:16
噓 : 別再戰十年了 這是剛好拿另一個漏洞來補這個漏洞18F 05/19 14:28
推 : XP系統現在開機連網還是會中標嗎??19F 05/19 14:30
→ : 鎖445 port 就不會了20F 05/19 14:33
推 : XP再戰十年!!!21F 05/19 14:33
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 181
作者 abramtw 的最新發文:
- 英國發現最新重組變異株XE在台現蹤!指揮中心醫療應變組副組長羅一鈞指出,目前國內 已有驗出一例為XE變異株個案,是一位3月18日從捷克入境的本國籍女性,落地採檢陽性 ,檢疫所Ct值是15,但屬於無症狀 …81F 48推 3噓
- 因應國內出現多起感染源待釐清病例,指揮中心今天呼籲,住在確診數較多的地區、曾到 確診者足跡熱區、有確診者接觸史者,可至全台540家診所索取家用快篩。 國內COVID-19(2019冠狀病毒疾病)疫情多 …24F 7推 4噓
- 俄烏戰爭延燒至今,西方國家針對俄羅斯祭出一系列制裁,民間企業也紛紛跟進,相繼撤 出俄羅斯市場。耶魯大學整理出尚未撤出俄羅斯市場的企業名單,並且不斷更新,主要是 希望能夠藉此向還未撤出的企業施壓;而在名 …587F 196推 105噓
- 原文標題:拜登宣布禁運俄羅斯石油 克宮:美國已向我們宣戰! (請勿刪減原文標題) 原文連結: (網址超過一行過長請用縮網址工具) 發布時間:2022/03/09 21:23 (請以原文網頁/報紙之發布 …94F 47推 10噓
- 澤倫斯基縮了,普丁拿到北約無法東擴的結果,烏東到嘴的肉大概也不會吐回去了。 看起來就是烏過度相信歐美的承諾,阿富汗+烏克蘭帶給台灣的啟示應該不必再講太多。 打輸了,你仍然要面對屈辱!所以澤倫斯基一開始 …725F 202推 100噓
點此顯示更多發文記錄
回列表(←)
分享