BLOGTIMES
2017/05/20

WannaCry で暗号化されてしまったファイルを回復する「Wannakey」公開

 
このエントリーをはてなブックマークに追加

先週から世界で話題になっているランサムウェア WannaCry
これに感染してしまい、ファイルが暗号化されてしまった人のための、ファイルの暗号化を解除するためのプログラムが GitHub で公開されていたのでメモ。

但し、回復できるのは OS が Windows XP であり、感染してから再起動していないなど、かなり制限があります。これは、WannaCry がファイルの暗号化に利用している Windows CryptoAPI*1 の不備を利用して、メモリ上から削除されていない秘密鍵を盗んで復号化を行うためです。

以下の英文中の the prime numbers (素数)は、暗号に使われている鍵のことを差しています。

The main issue is that the CryptDestroyKey and CryptReleaseContext does not erase the prime numbers from memory before freeing the associated memory.

ある種のセキュリティホールを逆に利用しているんですね。
ちなみに Windows 10 では秘密鍵はメモリからきちんと削除されるようになっているため、この手段は使えないとのこと。

参考


トラックバックについて
Trackback URL:
お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9352
Trackbacks
このエントリにトラックバックはありません
Comments
愛のあるツッコミをお気軽にどうぞ。[policy]
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントはありません
Comments Form

コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。

OpenID を使ってログインすることができます。

Identity URL: Yahoo! JAPAN IDでログイン