[شرح] فك تشفير فيروس WannaCry عن طريق آداة WannaKey
خبر سار تقريبا بنسبة ٧٠٪ لكل الناس اللى تمت اصابتهم بال Ransomware المشهورة الاخيره WannaCry وهي طريقة مبدأية لعمل WannaCry Decrypting عن طريق آداة WannaKiwi أو WannaKey
الناس اللى طالع عينها وعماله تعمل research وبحث وتنقيب عن حلول ليكم توصلوا لشبه حل للبرمجية الخبيثة دى، شئ مفرح صح؟
- فيروس Ransomware يضرب أكثر من 70 دولة في هجمة Wanna-Cry
- الهاكرز يشنون هجوما واسع النطاق على مؤسسات حكومية في عشرات الدول حول العالم
WannaCry Decrypting with WannaKiwi or WannaKey tools
الشئ اللى مش مفرح بقى ان علشان الحل دا يكون فعال لازم يكون فى ظرفين علشان فك تشفير الملفات يتحقق ودا اللى جعل الحل نفسه حل مش عملى بنسبة ٨٠٪ ولكن يعتبر تقدم كبير جداً (مش هيقدر دا غير الناس اللى فاهماه والناس اللى تعرف يعنى ايه memory reversing)
- اول ظرف يشترط انك متكونش عملت reboot او اعادة تشغيل للكمبيوتر المصاب
- ثانى ظرف ودا اللى ساهم بنسبة ٩٠٪ من ال٨٠٪ المذكورة ان الحل دا ميكونش عملى انه ميكونش تمت استبدال او اعادة كتابة على المكانالمساحة المحجوزه اللى كان متواجد فيه WannaCry فى الذاكرة العشوائية RAM
بالنسبة للشخص العادى الكلام دا طلاسم كبيره، بكل بساطة متكونش عملت اعادة تشغيل للكمبيوتر بتاعك ولا حتى لمسته من ساعة ما تم اصابته (يعنى لا فتحت games ولا تطبيقات ولا اى شئ من وقت الاصابة).
الجزء دا للناس المتقدمة : لما الكمبيوتر بيتصاب ب WannaCry بتقوم WannaCry بتوليد pair of keys المفاتيح المولدة دى (المفتاح العام والمفتاح الخاص) بتعتمد على الاعداد الاولية بتقوم بعدين WannaCry بحذف ال private key دا من الكمبيوتر ..
ال researchers قدروا يتوصلوا ل hint او ملاحظة ان WannaCry مبيقومش بحذف ال prime numbers او الاعداد الاولية اللى استخدمتها WannaCry فى توليد المفاتيح السابق ذكرها دا معناه ان لو اى شخص توصل للاعداد الاولية دى هيقدر يعمل نفس اللى بتعمله WannaCry ويولد مفاتيح عامة وخاصة وساعتها هيبقى عالاقل فى احتمال ولو ٥٪ فى فك تشفير الملفات ..
وهتبقى المسألة مسألة وقت ومش مستحيلة، بناء على الاستنتناج دا قام الباحثين بتطوير اداه اسمها WannaKey كل اللى بتعمله الاداه دى انها بتدور على عملية او process اسمها wcry.exe ودى المسؤولة عن توليد المفاتيح واللى بتستخدم دوال CryptDestroyKey و CryptReleaseContext (ال trick ان الدوال دى مبتقومش بمسح الارقام الاولية المستخدمة فى التوليد حتى بعد انتهاء عملية التوليد نفسها) 😀 .
رابط تحميل اداة WannaKey هنا: https://goo.gl/rUW7mS
رابط تحميل اداة WannaKiwi هنا : https://goo.gl/sLAugW
دي آداة اخرى لفك التشفير بتشتغل بنفس الاسلوب تقريبا بس سهلة الاستخدام وبتشتغل على انظمة تشغيل معينة
رابط بيشرح ال research اللى اتعمل فى تطوير الاداتين السابق ذكرهم: https://goo.gl/ZPyGoK
البوست بالكامل من المتألق دائماً – الخبير الأمني أ/ Mohamed A. Baset
المصدر : Mohamed A. Baset Post