اگر جزو کسانی هستید که به باج‌افزار «گریه» آلوده شده‌اید، باید خبر خوبی را به شما اعلام کنیم. در حال حاضر ابزار رمزگشایی برای این باج‌افزار منتشر شده است و دیگر لازم نیست قربانیان برای بازیابی پرونده‌های خود به مهاجمان باج پرداخت کنند.

محقق فرانسوی به نام آدرین گیونت از شرکت Quarkslab، روشی را کشف کرد که به‌طور رایگان می‌توان کلیدهای رمزگشایی در باج‌افزار «گریه» را بدست آورد. گفتنی است این ابزار بر روی سامانه عامل‌های ویندوز ایکس‌پی، ویندوز ویستا، کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ کار می‌کند.

کلیدهای رمزگشایی باج‌افزار «گریه»
در رمزنگاری توسط باج‌افزار «گریه» با استفاده از اعداد اول، جفت کلیدهای عمومی و خصوصی برای رمزنگاری و رمزگشایی پرونده‌ها بر روی سامانه‌ی قربانی تولید می‌شود. باج‌افزار برای اینکه از دسترسی قربانی به کلید خصوصی و رمزگشایی پرونده‌ها جلوگیری کند، به‌طور کلی کلید خصوصی را از روی سامانه‌ی قربانی پاک می‌کند.

روشی برای پیدا کردن کلیدهای رمزگشایی: هرچند که باج‌افزار کلید خصوصی را از روی سامانه‌ی قربانی پاک می‌کند ولی اعداد اولی که برای تولید کلیدها مورد استفاده قرار گرفته بود، بر روی حافظه‌ی سامانه باقی می‌ماند. با توجه به این مسئله گیونت توانست ابزار رمزگشایی برای این باج‌افزار را با نام کلیدِ وانا «WannaKey» ارائه دهد. این ابزار اعداد اول را از حافظه‌ی سامانه بازیابی کرده و با استفاده از آن کلیدهای رمزگشایی را تولید می‌کند. این ابزار صرفاً بر روی سامانه عامل ویندوز ایکس‌پی عمل می‌کند.

این محقق در مورد این ابزار توضیح داد: «عملکرد این ابزار مبتنی بر جستجو در فرآیند wcry.exe است. این همان فرآیندی است که کلیدهای خصوصی RSA را تولید می‌کند. اشکال اصلی که در این باج‌افزار وجود دارد این است که توابع CryptDestroyKey و CryptReleaseContext قبل از آزادسازی فضای حافظه، اعداد اول را حذق نمی‌کنند.»

بنابراین نتیجه‌گیری که می‌توان داشت این است که:
• این ابزار تنها بر روی سامانه‌هایی عملیاتی است که پس از آلوده شدن به باج‌افزار، مجدداً راه‌اندازی نشده باشند.
• حافظه‌ی مربوط به فرآیند باج‌افزار آزاد نشده و به فرآیند دیگری تخصیص داده نشده باشد.

ابزار واناکی‌وی: ابزاری برای رمزگشایی باج‌افزار «گریه»
خبر خوب دیگری که داریم این است که یک محقق امنیتی دیگر به نام بنجامین دل‌پی ابزاری با نام واناکی‌وی (WanaKiwi) را منتشر کرده که استفاده از آن بسیار راحت است. در این ابزار نیز از یافته‌های گیونت استفاده شده است. تمامی کاربرانی که تحت تأثیر این باج‌افزار قرار گرفته‌اند، می‌توانند این ابزار را از روی گیت‌هاب بارگیری و نصب نمایند و برای اجرا نیز باید از خطِ فرمان ویندوز استفاده کنند.

گفتنی است ابزار وانا‌کی‌وی بر روی سامانه عامل‌های ویندوز ایکس‌پی، ویندوز ۷، ویندوز ویستا و کارگزار ویندوز ۲۰۰۳ و ۲۰۰۸ به‌خوبی کار می‌کند. هرچند به دلیل برخی محدودیت‌ها و وابستگی‌هایی که این ابزار رمزگشایی دارد، ممکن است برای تمامی کاربران به خوبی کار نکند ولی به هرحال خبر امیدوارکننده‌ای برای کاربرانی است که تحت تأثیر این باج‌افزار قرار گرفته‌اند.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

ابزار رمزگشایی برای باج‌افزار «گریه» منتشر شد؛ پرونده‌ها را بدون پرداخت باج رمزگشایی کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *